Stfw.RuИсследователь в сфере информационной безопасности Рон Гильмет (Ron Guilmette) обнаружил сходство в регистрационных записях ряда web-сайтов, замеченных в распространении вредоносного ПО, использовавшегося в киберпреступной операции Carbanak. По данным «Лаборатории Касперского», в рамках кампании злоумышленники похитили порядка $1 млрд (в основном из российских банков).
К примеру, по свидетельствам многочисленных ИБ-исследователей, домены weekend-service.com, coral-trevel.com и freemsk-dns.com были задействованы в качестве центров по распространению вредоноса Carbanak. По информации эксперта Брайана Кребса, записи WHOIS всех трех доменов содержат одни и те же номера телефонов и факсов - 1066569215 и 1066549216 – с кодами +86 (Китай) и +01 (США). Как выяснилось, оба номера принадлежат китайской компании Xicheng Co. Кроме того, все записи содержат контактный электронный адрес williamdanielsen@yahoo.com. По данным ThreatConnect, этот адрес использовался при регистрации по меньшей мере 484 доменов, 304 из которых были связаны с вредоносным плагином, предположительно использованным в операции Carbanak.
В числе доменов эксперты обнаружили сайт cubehost.biz, в сентябре 2013 года зарегистрированный на жителя Перми Артема Тверитинова. Владельцем данного ресурса является российская ИБ-компания Infocube (встречается название Infokube), сайт которой также зарегистрирован на Тверитинова. Согласно пресс-релизу московской компании Falcongaze, Тверитинов является «исполнительным директором InfoKub». Как утверждается в собственном пресс-релизе InfoKube, фирма занимается созданием систем защиты от несанкционированного доступа для госорганов Пермского края, а также предоставляет консультационные услуги в рамках «связанных с безопасностью» проектов, разрабатываемых Министерством внутренних дел РФ.
По информации официального сайта InfoKube, предприятие сотрудничает с рядом известных ИБ-компаний, в том числе Symantec, «Лаборатория Касперского», Zyxel и ESET. По словам представителей Zyxel и ESET, компании никогда не имели дела с InfoKube. В «Лаборатории Касперского» признали факт сотрудничества, но отметили, что оно было весьма незначительным.
Брайану Кребсу удалось связаться с Артемом Тверитиновым по электронной почте и через страницу в «ВКонтакте». В процессе общения Тверитинов удалил свой профиль в соцсети, который он активно поддерживал с 2012 года. На вопрос Кребса о причастности к сайту cubehost.biz Тверитинов ответил, что никогда не регистрировал данный ресурс, а при регистрации сайта могли использоваться его похищенные персональные данные.
Как оказалось, компания InfoKube использует ряд IP-адресов, предоставляемых ООО «Санкт-Петербургская Интернет сеть». Значительное количество вышеуказанных доменов, связываемых специалистами с распространением Carbanak, используют предназначенное Cubehost адресное пространство. Дальнейшее расследование показало, что блок 146.185.239.0/24 связан с физическим адресом в эмирате Рас-аль-Хайма (ОАЭ), получившем репутацию отличного места для учреждения полностью анонимных офшорных компаний.
По словам Гильмета, адресное пространство InfoKube в течение нескольких лет использовалось в преступных целях. Например, в качестве C&C-серверов для управления банковскими троянами Citadel и Sinowal.
«Если Тверитинов знал или был даже в небольшой мере вовлечен в криминальную активность в адресном пространстве, вполне вероятно, что он принимал участие и в других операциях […] возможно даже Carbanak», - отметил Гильмет.
