Найдена ссылка русских хакеров «Fancy Bear»

Ноя 24, 2017, 15:12
Найдена ссылка русских хакеров «Fancy Bear»

Хакеры из группы Fancy Bear использовали сервера английской компании Crookservers для атак на сайт Бундестага и портал государственного Комитета Демократической партии США, пишет печатное издание ссылаясь на расследование британских репортеров BBC.

Хакерская группировка Fancy Bear, которую связывают с российскими спецслужбами, на протяжении 3-х лет арендовала серверы у английской компании Crookservers, узнали репортеры BBC в итоге проведенного расследования. По утверждению управляющих компании, их взаимодействие с Fancy Bear было прекращено, как только они узнали о шпионской деятельности хакеров.

Согласно предоставленным документам Crookservers корреспондентам из Би-би-си, их клиенты, проводили платежи через онлайн-сервисы и потратили на ее услуги не менее 6 тыс. долларов, однако часть из них впоследствии была закрыта в процессе операции по пресечению отмывания денег. Как предполагают специалисты, Fancy Bear, также известная как APT28, Sofacy, Iron Twilight и Pawn Storm, также причастна ко взлому серверов государственного комитета демократической партии США во время избирательной кампании в прошлом году.

Действительно, адрес интернет-протокола (IP), который когда-то принадлежал выделенному серверу, нанятому через Crookservers, был найден во вредоносном коде, используемом при несоблюдении.

Хакеров из Fancy Bear, промышляющих кибершпионажем (также известных как APT28, Sofacy, Iron Twilight и Pawn Storm), обвиняют в связях с российскими спецслужбами и действиях по их указаниям, напоминает Русская служба Би-би-си. Из технических и финансовых документов компании, которые изучили корреспонденты ВВС, следует, что участники Fancy Bear имели доступ к значимым финансовым средством. IP-адрес того же сервера фигурировал и во вредной программе, которую использовали для взлома аккаунтов некоторых гостей авиасалона в Фарнборо в прошлом году, информирует ВВС. Последний арендовал у Crookservers сервер, который после этого связали с атакой на Бундестаг. Сервер он использовал до июня позапрошлого года, пока СМИ не проинформировали об инциденте и Crookservers потребовала закончить аренду.

На один из этих арендованных Вернером серверов, как показало расследование, поступал перенаправленный трафик с официального правительственного сайта Нигерии.

В целом группировка потратила на услуги Crookservers $6 тыс. Перевод платежей осуществлялся через финансовые сервисы, обеспечивающие высокий уровень анонимности. В числе их Bitcoin, Liberty Reserve и Perfect Money.

Также он проинформировал, что устроил «контрольную проверку», в результате которой были закрыты еще приблизительно 60-70% аккаунтов, которые Ашраф подозревал в несоблюдении правил, так как он, по его словам, категорически против похожих злоупотреблений. Система Liberty Reserve позже была закрыта, по результатам интернационального расследования об отмывании денег.

Elliptic вычислила электронный кошелек, из которого Crookservers переводились средства за услуги, проинформировал ВВС ведущий специалист компании Том Робинсон.

Elliptic удалось выяснить, что некоторые средства в кошельке были куплены на электронной бирже BTC-e. BTC-e была известна среди русских киберпреступников, однако ВВС подчеркивает, что не отыскала свидетельств того, что руководство биржи знало, что среди ее клиентов были хакеры Fancy Bear. По утверждению исследователей, им еще предстоит изучить немало документов и вполне вероятно, что открытий в клубке финансовых нарушений будет значительно больше. Чего, однако, нельзя сказать о деятельности Fancy Bear.

Вам может понравиться