Nach Beginn einer umfassenden Invasion in Russland verstärkten Fehlinformationen und Hackerangriffe, die von Pro -Government -Gruppen der Russischen Föderation koordiniert wurden. 2019 PQ.Hosting . Dieses Unternehmen ist auf die Bereitstellung von Hosting -Diensten im Internet spezialisiert und verfügt über Serverausrüstung in mehr als 30 Ländern.
Trotz der Sanktionen ist das Hosting in Russland weit verbreitet und arbeitet seit 2022 in einem Netzwerk von Stark Industries Solutions Limited, das von John Neculiti im Vereinigten Königreich registriert ist.
In einem seiner Werbemaßnahmen erklärt Ivan, was der Zweck der britischen Firma: „Im Moment zeigen unsere IP -Adressen nicht mehr, dass sie zum PQ -Hosting gehören. Es gibt noch einen neutralen Namen. " Ihm zufolge beteiligt sich das britische Unternehmen überhaupt nicht an Zahlungsgeschäften, sondern einfach an der Geschäftstätigkeit. Mit anderen Worten, jeder, der ein Unternehmen mit Stark Industries Solutions betreibt, führt tatsächlich ein Unternehmen mit PQ -Hosting durch, außer dass Außenstehende es nicht sofort sehen werden.
Das Maskieren des Unternehmensnetzwerks ist ein Zufluchtsort für pro -russische Cyberaktivisten, die illegale Aktivitäten gegen ukrainische Bürger durchführen und dem FSB -Verfolgen von Deserteuren und Vertretern im Land durch Phishing Resources of "Legion Freedom of Russland" und "Russian Freiwillige" helfen. Infrastruktur für DDOS-Angriffe europäischer Länder.
Spezifische Beispiele:
- 21.12.2023 Die Computer -Reaktionsgruppe der Ukraine registrierte Angriffe auf ukrainische Benutzer mit elektronischen Newslettern mit der SBU -Überschrift und infiziert sie mit Remcosrat -Virus, das unter dem AS44477 (Stark Industries Sol.
- Zuvor berichtete Cert-UA auch über einen Angriff mit 5 verschiedenen Programmen, das von der UAC-0082-Gruppe (Sandworm) initiiert wurde, die mit dem staatlichen Sicherheitsdienst der Ukraine unter Verwendung von Stark Industries Solutions Ltd Infrastructure verbunden war.
- Angriff auf ukrainische Nutzer mit der Überschrift "vor Gericht".
- Artem Tamoyan, ein russischer Oppositionsaktivist und Programmierer, sagte auf Twitter eine Geschichte über seine Beobachtungen zur Yandex -Förderung von Phishing -Ressourcen zuvor erwähnter LSR und RDCs, die Daten über Russen sammeln, die sich ihren Reihen anschließen möchten. Einige Beschwerden mit Anfragen nach Tamoyans Blockierung befassten sich mit der Cloudflare -Verwaltung. Eine der Antworten des Dienstes stellte fest, dass der Hosting -Anbieter der gefälschten Stätten der Legion "Freedom of Russland" Stark Industries war.
Darüber hinaus wurde die Untersuchung des Bundesberichts der Schweiz des Bundes durch die Linie der Multi -Day -Angriffe an die Infrastruktur der Behörden und der großen Gemeinden erwähnt, in denen die pro -russische Gruppe Noname057 (16) erwähnt wird, die Stark Injustria -Server verwenden.
Darüber hinaus verwendete die Infrastruktur der Neculiti -Brüder die Bluecharlie Bluechroment -Gruppe und Diebstahl von Daten in den Ländern der Ukraine und der NATO.
In ähnlicher Weise ist das PQ -Hosting laut den Hyas -Berichten ein häufiger "Gast", der Cybersicherheitsvorfälle untersucht. So beschrieben sie die Aktivitäten von PQ Hosting im Bericht vom 6. Mai 2024:
AS44477 im Zusammenhang mit Stark Industries arbeitet als vorhersehbarer kugelsicherer Wirt mit Verbindungen mit Russland. Insbesondere die beobachtete Aktivität, insbesondere das Vorhandensein von Redline Stealer und der mit dem Botnetz verbundene Datenverkehr weist auf eine böswillige Absicht hin, die darauf abzielt, die Daten von Benutzern zu beeinträchtigen und Botnet -Netzwerke zu erweitern. Stark Industries kann als kugelsicheres Hosting arbeiten, das die Cyberkriminalität fördert. Das Vorhandensein von Redline -Steler besteht darin, sich auf Datendiebstahl und potenzielle Monetarisierung gestohlener Informationen zu konzentrieren.
Oder in einem früheren Bericht:
AS44477 ist eine autonome System (ASN), die einer von Network kontrollierten Stark Industries zugeordnet ist und eines kugelsicheren Hosts mit Verbindungen zu Russland verdächtigt wird. Oft kommt der problematische Verkehr von Stark Industries. Nach unseren Daten ist dieser Datenverkehr hauptsächlich Redline Stealer, der die personenbezogenen Daten durch den Browser stiehlt und die Opfergeräte mit dem Botnetz -Spoo verbindet.
Schädliche Aktivität: AS44477 wurde mit komplexen Cyberangriffen in Verbindung gebracht, wie z. Die von dieser ASN verwendeten Übeltäter können Organisationen in verschiedenen Sektoren ansprechen, wobei die Anfälligkeit ihre Ziele erreichen kann.
Das soziale Netzwerk von Twitter (x) ähnelt den Verweise auf die Organisationen, die Cyberkriminalität entgegenwirken
In den thematischen Foren werden sie als "Missbrauchsresistentes Hosting" empfohlen,
oder in Telegramm erwähnen:
Die Platzierung von Arzneimittelvermarktern stört das Unternehmen auch nicht, und Ressourcen wie RR-SEEDSHOP081.XYZ arbeiten stillschweigend mit ihren Ausrüstungen.
Gleiches Konto als Casino:
Casinochanslots.com
bizzocosino.sk
crazytime.eu.com
22-bet.nl
tonybetourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobcasino.de.de
tonybet
Beobachtete auch die Platzierung von Ressourcen, die Dienstleistungen im Zusammenhang mit Kryptowährungsbetrug ähneln:
yamga.org
deenair.org
betchan-exclusive.com
Bemerkenswerterweise bevorzugt diese Art von Ressourcen, das Netzwerk speziell in den Niederlanden zu nutzen.
In dem Constella Intelligence-Datenverfolgungsdienst wird berichtet, dass Ivan Neculiti mehrere Online-Konten per E-Mail [E-Mail-Schutz] . Die Intel 471 Cyber Exploration zeigt, dass diese E -Mail -Adresse seit 2008 mit dem DFYZ -Benutzernamen in mehr als einem halben Dutzend Cyberkriminalitätsforen in Russisch zusammenhängt. Der DFYZ -Benutzer von SearchEngines.ru im Jahr 2008 hat andere Teilnehmer des Forums gebeten, den Krieg zu sehen.
Zu diesem Zeitpunkt verkaufte DFYZ "Abusus -Server für jeden Zweck", was bedeutete, dass das Hosting -Unternehmen absichtlich Beschwerden über den Missbrauch oder die Sicherheitsanfragen für die Aktivitäten seiner Kunden ignorierte.
Domaintools können auch betonen, dass mindestens 33 Domainnamen [E -Mail -geschützt] Einige dieser Domänen haben die Bedeutung von Ivan Neculiti in ihren Registrierungsunterlagen, einschließlich Tracker-Free.cn, das bei [E-Mail-Protected] und in ihren ursprünglichen Registrierungsdatensätzen an das Mercenaries-Team verwiesen wurde.
DFYZ verwendete auch den Spitznamen von Donchicho, der auch abusa-resistente Hosting-Dienste und den Zugang zu kaputten Internet-Servern verkaufte. Im Jahr 2014 reichte das berühmte Mitglied der russischen Gemeinde Antichat eine Beschwerde gegen Donchicho ein und sagte, dieser Benutzer habe sie überschüttet und eine E -Mail -Adresse verwendet [E -Mail -Schutz] .
In der Beschwerde heißt es, Donchicho hat bei Antichat von der Internetadresse von Transnistria 84.234.55 registriert. 29.
Die Suche nach dieser Adresse in Constella zeigt, dass sie verwendet wurde, um nur fünf Online -Konten zu registrieren, die im Laufe der Jahre erstellt wurden, einschließlich eines auf Ask.ru, bei dem sich der Benutzer bei der E -Mail -Adresse [E -Mail geschützt] . Constella kehrt auch mit dem Namen "Ivan" auf memoraleak.com und 000Webhost.com für diese E -Mail -Adresse zurück.
Constella ist der Ansicht, dass das am häufigsten von der E -Mail -Adresse [E -Mail geschützte] Filecast am häufigsten verwendet wurde und dass dieses Kennwort mehr als 90 E -Eile -Adressen zugeordnet ist. Unter ihnen gehören ungefähr zwei Dutzend Adressen, die als "Neculiti" genannt werden, sowie Adresse [E -Mail -geschützt] .
Laut Intel 471 hat Donchicho in mehreren russischen Cyberkriminforen veröffentlicht, dass [E -Mail -geschützte] seine Adresse war und dass er in Cybercrime -Foren fast ausschließlich aus der Internetadresse in Tiraspol, Transnistria, aufgenommen wurde. Ein Überblick über Donchicho -Beiträge zeigt, dass diese Person 2014 in mehreren Foren wegen Betrugs mit anderen Benutzern unterhalten wurde.
Casted Exemplare von Donchicho (Donchicho.ru) zeigen, dass es 2009 ein Spamer war, der gefälschte Medikamente durch RX-Promotion verkaufte, einst eine der größten Apothekenspam für russischsprachige Filialen.
Wenn Sie zum zu Beginn erwähnten Sanktionen zurückkehren, können Sie die interessanten Beobachtungen von Correpiv feststellen, die ihre "zahnlosen" im Fall von Brüdern hervorhob:
„EU -Sanktionen gegen russische Unternehmen und Einzelpersonen hinter den Fehlinformationen RRN -Websites verbieten europäische Unternehmen, mit ihnen Geschäfte zu machen. Während Stark Industries Lösungen als britisches Unternehmen und PQ -Hosting als Moldawienunternehmen nicht der EU -Gesetzgebung unterliegen. "
