Би-би-си: В Великобритании обнаружили следы русских хакеров

Для собственной деятельности кибервзломщики использовали сервера, арендованные у компании Crookservers.

Когда известнейшие хакеры Российской Федерации взломали серверы из зарегистрированной в Англии компании, они оставили ключ к подсказкам.

Хакеры из группы Fancy Bear использовали сервера английской компании Crookservers для атак на сайт Бундестага и портал государственного Комитета Демократической партии США, пишет печатное издание ссылаясь на расследование британских корреспондентов BBC. Телевизионная компания приводит мнение знатоков, что данная группа, известная также как APT28, Sofacy, Iron Twilight и Pawn Storm, причастна ко взлому серверов государственного комитета Демократической партии США во время избирательной кампании 2016 г. Адрес интернет-протокола (IP-адрес), который был привязан к серверу, снятому через Crookservers, был потом найден во вредоносном программном коде, который употреблялся для этой кибератаки.

Действительно, адрес интернет-протокола (IP), который когда-то принадлежал выделенному серверу, нанятому через Crookservers, был найден во вредоносном коде, используемом при несоблюдении. Похожий бизнес целиком и на 100% ведется онлайн. Сами сдававшиеся сервера принадлежали другой компании и физически размещались во Франции и Канаде. Им оказался некто по имени Усман Ашраф (Usman Ashraf).

Судя по располагаемым достоверным сведениям в социальных сетях и остальных интернет-источниках, в этап с 2010 года до середины 2014 он был в Олдемі. В настоящее время он, судя по всему, проживает в Пакистане.

Невзирая на название компании («Crookservers» можно перевести как «серверы для жуликов»), он заявляет, что не знал, что среди его клиентов были хакеры.

Когда в 2015 г ему сообщили о деятельности хакеров, он, по его словам, немедленно аннулировал их учетные записи.

«Мы никогда не знаем, каким образом клиент использует сервер», — подчеркнул Ашраф.

Согласно изученным документам, клиенты Fancy Bear проводили транзакции через онлайн-сервсисы, которые впоследствии были ликвидированы в процессе специализированной операции, направленной на пресечение отмывания денег.

Хакеры Fancy Bear арендовали серверы в Crookservers не менее три года, заметая следы собственной деятельности при помощи фальшивых документов, виртуальных частных сетей (VPN) и систем платежей, использование которых тяжело отследить. При помощи серверов компании хакеры провели ряд собственных операций. Участники группы контактировали с компанией, используя псевдонимы, например, Роман Бреческу либо Николай Младенов.

Денежный учетную запись Младенова использовал и иных хакер, который выбрал псевдоним Клаус Вернер, чтобы взять в аренду в Crookservers дополнительные серверы. За услуги компании Младенов расплатился биткойнами через систему Perfect Money.

Хакеры использовали сервер до июня 2015 г., после этого его удалили по требованию Crookservers, когда СМИ сообщили о кибератаках.

На один из этих арендованных Вернером серверов, как показало расследование, поступал перенаправленный трафик с официального правительственного сайта Нигерии.

Один из серверов Crookservers и электронный адрес, с которого поступил запрос на его аренду, могут быть связаны с вредной программой, использовавшейся для взлома устройств на базе iOS.

Программа могла тайком от пользователя включить голосовую запись либо выкрасть текстовые сообщения. В том числе они пользовались Bitcoin, Liberty Reserve и Perfect Money.

Работники BBC отыскали биткоины на сумму в 100 тыс. долларов у хакеров Fancy Bear, которых связывают с российскими спецслужбами. Часть средств была приобретена на электронной бирже BTC-e.