У новому звіті компанії Halcyon, яка займається боротьбою з вірусами-здирниками, йдеться про те, що провайдер віртуальних приватних серверів Cloudzy використовується для розміщення шкідливого програмного забезпечення.
Згідно зі звітом, опублікованим цього тижня консультантом з безпеки та постачальником програмного забезпечення для боротьби з вірусами-вимагачами Halcyon, провайдер хмарного хостингу, який здається нешкідливим, може бути прикриттям для іранської компанії, що надає послуги з управління зловмисникам-вимагачам.
У звіті йдеться, що Cloudzy – це, в першу чергу, провайдер віртуальних приватних серверів, який приймає криптовалюту в якості оплати за свої послуги. Halcyon заявила, що виявила низку зловмисників, які користувалися послугами компанії в минулому, в тому числі групи APT, пов'язані з урядами Китаю, Ірану, Північної Кореї та Росії, серед інших. За словами Халсіона, Cloudzy також надавала послуги відомому постачальнику шпигунського програмного забезпечення і більш ніж одному злочинному синдикату. Компанія Cloudzy не відповіла на запити про коментарі.
За словами Halcyon, Cloudzy не вимагає від своїх клієнтів жодних реальних підтверджень особи, лише робочу адресу електронної пошти. Компанія нібито забезпечувала дотримання заборони на використання своїх послуг для будь-якої незаконної діяльності, але тільки тоді, коли ця діяльність стосувалася IPv4-адрес, зареєстрованих самою Cloudzy, а не тоді, коли вона відбувалася на інфраструктурі, орендованій у інших провайдерів.
Розслідування Halcyon, яке пов'язало незаконну діяльність з Cloudzy через ці мережеві блоки (блоки IP-адрес), також перевірило співробітників компанії. У звіті зроблено висновок, що присутність Cloudzy в США є принаймні частково фіктивною і існує переважно на папері. Насправді, йдеться у звіті, Cloudzy значною мірою управляється співробітниками іншої компанії під назвою abrNOC, яка базується в Тегерані.
Нова модель атаки вірусів-здирників
У звіті Halcyon зазначається, що "від 40% до 60%" всіх серверів, розміщених компанією, підтримують можливу шкідливу активність. Cloudzy, на думку Halcyon, є частиною нової моделі атак зловмисників-здирників, яка забезпечує апарат управління (C2P) для шкідливої діяльності через зовні легальне джерело. За словами директора з маркетингу Halcyon Райана Голдена, це інший підхід до проблеми. "Більшість операторів не витрачають час на те, щоб налаштувати свої операції так, щоб вони виглядали як легальний бізнес, оскільки вони є більш нішевими і хочуть швидше вийти на ринок. Ми використовуємо цю відмінність, щоб відрізнити останній тип провайдерів (зазвичай відомий як "куленепробивний хостинг"), який, як правило, ховається за мантією "абсолютистів свободи слова", від того, що ми називаємо C2P", – сказав він.
Виходить зловмисникам, які виглядають як пристойна американська компанія, набагато легше завойовувати довіру законних користувачів і приховувати діяльність хакерів. Трафік, пов'язаний з їхніми мережевими блоками, змішується з потенційно легальними додатками, тому зловмисникам легше ховатися у відкритому доступі.
Halcyon рекомендує користувачам перевірити свої системи на наявність підключень до серверів віддалених робочих столів, пов'язаних з Cloudzy, які детально описані в звіті.
Рекомендуємо прочитати: Революція в електроніці. Розроблено технологію виробництва біорозкладних друкованих плат
