Един от най-известните доставчици на удобен за злоупотреби „непробиваем“ уеб хостинг за киберпрестъпници е започнал да насочва операциите си през мрежи, управлявани от руската антивирусна  фирма Kaspersky Lab, научи KrebsOnSecurity.

Експерти по сигурността твърдят, че базираният в Русия доставчик на услуги Prospero OOO (тройното О е руската версия на „ООД“) отдавна е постоянен източник на зловреден софтуер, ботнет контролери и поток от фишинг уебсайтове. Миналата година френската фирма за сигурност Intrinsec подробно описа връзките на Prospero с непробиваеми услуги, рекламирани в руските форуми за киберпрестъпност под имената Securehost и BEARHOST.

Непробиваемият доставчик на хостинг BEARHOST. Тази снимка е машинно преведена от руски език. Снимка: Ke-la.com.

Непробиваемите хостове се наричат така, когато си спечелят или развият репутация на пренебрегващи правни искания и жалби за злоупотреби. А BEARHOST култивира репутацията си поне от 2019 г. насам.

„Ако имате нужда от сървър за ботнет, за зловреден софтуер, брут софтуер, сканиране, фишинг, фалшификати и всякакви други задачи, моля, свържете се с нас“, съветва обявата на BEARHOST в един форум. „Ние напълно игнорираме всички злоупотреби без изключение, включително SPAMHAUS и други организации“.

Intrinsec установи, че Prospero е ухажвал някои от най-мракобесните руски киберпрестъпни групи, като през последните две години е хоствал контролни сървъри за множество банди за рансъмуер. Intrinsec заяви, че анализът ѝ е показал, че Prospero често хоства операции със зловреден софтуер като SocGholish и GootLoader, които се разпространяват предимно чрез фалшиви актуализации на браузъри на хакнати уебсайтове и често създават предпоставки за по-сериозни кибератаки – включително рансъмуер програми.

Фалшива страница за актуализация на браузъра, която разпространява мобилен зловреден софтуер. Снимка: Intrinsec.

BEARHOST се гордее със способността си да избягва блокиране от Spamhaus – организация, на която разчитат много доставчици на интернет услуги по света, за да идентифицират и блокират източници на зловреден софтуер и спам. По-рано тази седмица Spamhaus съобщи, че е забелязала, че Prospero внезапно се свързва с интернет, като маршрутизира през мрежи, управлявани от Лаборатория Касперски в Москва.

Kaspersky не отговори на многократните искания за коментар.

Kaspersky започва да продава антивирусен софтуер и софтуер за сигурност в САЩ през 2005 г. Изследователите на компанията, занимаващи се със зловреден софтуер, са спечелили признанието на общността по сигурността за много важни открития през годините. Но през септември 2017 г. Министерството на вътрешната сигурност (DHS) забрани на федералните агенции на САЩ да използват софтуера на Kaspersky, като задължи премахването му в рамките на 90 дни.

Репортерът по киберсигурност Ким Зетър отбелязва, че през 2017 г. DHS не е посочило конкретна обосновка за забраната си, но в медийни съобщения, цитиращи анонимни правителствени служители, се споменават два инцидента. Зетър пише:

Според една от историите изпълнител на NSA, който разработва инструменти за хакерски атаки за шпионската агенция, е имал инсталиран софтуер на Kaspersky на домашния си компютър, на който е разработвал инструментите, и софтуерът е открил изходния код като злонамерен и го е изтеглил от компютъра му, както е предвидено за антивирусния софтуер. В друга история се твърди, че израелски шпиони са хванали руски правителствени хакери, които са използвали софтуер на Kaspersky, за да търсят в системите на клиентите файлове, съдържащи американски тайни.

От Kaspersky отрекоха някой да е използвал софтуера им за търсене на секретна информация на клиентски машини и заявиха, че инструментите на машината на служителя на АНС са били открити по същия начин, по който всички антивирусни програми откриват файлове, които смятат за подозрителни, и след това ги поставят под карантина или ги извличат за анализ. След като Kaspersky открива, че кодът, който неговият антивирусен софтуер открива на машината на работника на NSA, не е злонамерена програма, а изходен код, разработван от правителството на САЩ за неговите хакерски операции, главният изпълнителен директор Евгений Касперски казва, че е наредил на работниците да изтрият кода.

Миналата година Министерството на търговията на САЩ забрани продажбата на софтуер на Kaspersky в САЩ, считано от 20 юли 2024 г. Американските служители твърдяха, че забраната е необходима, тъй като руското законодателство изисква от местните компании да сътрудничат във всички официални разследвания и по този начин руското правителство би могло да принуди Kaspersky тайно да събира разузнавателна информация от негово име.

Данните за фишинг, събрани миналата година от Interisle Consulting Group, класираха хостинг мрежите по техния размер и концентрация на спам-хостове и установиха, че Prospero има по-висок резултат за спам от всеки друг доставчик досега.

AS209030, собственост на „Лаборатория Касперски“, осигурява свързаност с непробиваемия хост Prospero (AS200593). Снимка: cidr-report.org.

Остава неясно защо Kaspersky осигурява транзит към Prospero. Дъг Мадори, директор на отдела за интернет анализи в Kentik, заяви, че записите за маршрутизация показват, че връзката между Prospero и Kaspersky е започнала в началото на декември 2024 г.

Мадори каза, че мрежата на Kaspersky изглежда е хостинг на няколко финансови институции, включително най-голямата в Русия – Alfa-Bank. Kaspersky продава услуги, които помагат на клиентите да се защитят от разпределени атаки за отказ на услуга (DDoS), и Мадори каза, че може да се окаже, че Prospero просто купува тази защита от Kaspersky.

Но ако случаят е такъв, това не прави ситуацията по-добра, каза Зак Едуардс, старши изследовател на заплахи във фирмата за сигурност Silent Push.

„В някои отношения осигуряването на DDoS защита на добре познат доставчик на хостинг услуги може да е дори по-лошо, отколкото просто да им позволите да се свързват с останалата част на интернет през вашата инфраструктура“, каза Едуардс.

Източник: krebsonsecurity.com