После начала полномасштабного вторжения России в Украину активизировались дезинформационные кампании и хакерские атаки, координируемые провластными группировками РФ. Установлено, что в реализации таких операций принимали участие два брата из Молдовы – Иван и Юрий Neculiti, которые в 2019 году основали компанию PQ.Hosting . Эта компания специализируется на предоставлении хостинг-услуг в Интернете и владеет серверным оборудованием более чем в 30 странах мира.
Несмотря на санкции, хостинг достаточно распространен в России, работая с 2022 года на сети, принадлежащей Stark Industries Solutions Limited, зарегистрированной Иваном Neculiti в Великобритании.
В одном из своих промо-интервью Иван объясняет, какова цель британской компании: «На данный момент наши IP-адреса больше не показывают, что они принадлежат PQ Hosting. Есть другое, нейтральное название». По его словам, британская компания вообще не участвует в платежных операциях, а просто для того, чтобы облегчить бизнес. Иными словами, кто-то, кто ведет бизнес с Stark Industries Solutions, на самом деле ведет бизнес с PQ Hosting, за исключением того, что посторонние не сразу это увидят.
Маскируя свою корпоративную сеть, PQ Hosting стал убежищем для пророссийских киберактивистов, осуществляющих незаконную деятельность против граждан Украины и помогающих ФСБ отслеживать дезертиров и агентов внутри страны через фишинговые ресурсы «Легиона свобода России» и «Русского добровольческого корпуса», а также продвигает «Яндекс» на первые позиции поиска.
Конкретные примеры:
- 21.12.2023 Компьютерная группа реагирования на чрезвычайные ситуации Украины зарегистрировала атаки на украинских пользователей посредством электронных рассылок с заголовком «Запрос СБУ», заражая их вирусом RemcosRAT, серверы управления которым работали в рамках автономной сети AS44477 (STARK INDUSTRIES SOLUTIONS LTD).
- Ранее CERT-UA также сообщила об атаке с помощью 5 различных программ, инициаторами которой была группировка UAC-0082 (Sandworm), ассоциированная с ГУ ГШ ВС РФ, используя инфраструктуру STARK INDUSTRIES SOLUTIONS LTD.
- Атака на украинских пользователей с названием «Повестка в суд».
- Артем Тамоян, российский оппозиционный активист и программист, поведал в Twitter историю о своих наблюдениях на тему продвижения «Яндексом» фишинговых ресурсов ранее упомянутых ЛСР и РДК, собирающих данные о россиянах, желающих вступить в их ряды. Некоторые жалобы с просьбами о блокировке Тамоян адресовал администрации CloudFlare. В одном из ответов сервиса говорилось, что хостинг-провайдером поддельных сайтов легиона "Свобода России" была компания Stark Industries.
К тому же, исследуя отчет Федерального управления кибербезопасности Швейцарии, было упомянуто о линии многодневных DDoS атак, направленных на инфраструктуру органов власти и крупных муниципалитетов, где упоминается пророссийская группировка NoName057(16), использующая серверы Stark Industries.
Кроме того, инфраструктуру братьев Neculiti использовала группировка BlueCharlie, занимающаяся шпионажем и кражей данных в Украине и странах НАТО.
Так же PQ Hosting является частым гостем по упоминаниям в отчетах организации HYAS, занимающейся расследованием инцидентов в сфере кибербезопасности. Вот как ими была описана деятельность PQ Hosting в отчете за 6 мая 2024:
AS44477, связанный со STARK INDUSTRIES, работает как предполагаемый пуленепробиваемый хост со связями с Россией. Наблюдаемая активность, в частности, наличие Redline stealer и трафика, связанного с ботнетом, указывает на злонамеренное намерение, направленное на компрометацию данных пользователей и расширение сетей ботнетов. STARK INDUSTRIES может работать как пуленепробиваемый хостинг, способствующий киберпреступной деятельности. Присутствие Redline stealer предполагает сосредоточение внимания на краже данных и потенциальной монетизации украденной информации.
или же в более раннем отчете:
AS44477 – это номер автономной системы (ASN), присвоенный сети, управляемой STARK INDUSTRIES, подозреваемому пуленепробиваемому хосту с соединениями с Россией. Часто проблемный трафик происходит от STARK INDUSTRIES. По нашим данным, этот трафик в основном является Redline stealer, который ворует личные данные браузера и присоединяет устройства жертвы к ботнету SPOO.
Вредоносная деятельность: AS44477 была связана со сложными кибератаками, такими как развертывание программ-вымогателей и попытки эксфильтрации данных. Злоумышленники, использующие этот ASN, могут нацелиться на организации в разных секторах, используя уязвимости для достижения своих целей.
В социальной сети Twitter (X) схожая ситуация с упоминаниями от организаций, противодействующих киберпреступности
На тематических форумах их рекомендуют как «абузостойкий хостинг»
или упоминание в Telegram:
Размещение маркетплейсов по продаже наркотиков также не смущает компанию, и такие ресурсы, как rr-seedshop081.xyz, спокойно ведут свою деятельность на их оборудовании.
Равным счетом так же казино:
casinochanslots.com
bizzocasino.sk
crazytime.eu.com
22-bet.nl
tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de
tonybetsourcing.com
Также было замечено размещение ресурсов, напоминающих сервисы, связанные с мошенничеством в сфере криптовалют
ymanga.org
deenair.org
betchan-exclusive.com
Что примечательно, для подобного рода ресурсов предпочитают использовать сеть именно в Нидерландах.
Служба отслеживания утечек данных Constella Intelligence сообщает, что Иван Neculiti зарегистрировал несколько онлайн-аккаунтов по адресу электронной почты [email protected] . Киберразведывательная фирма Intel 471 показывает, что этот адрес электронной почты связан с именем пользователя dfyz на более чем полудюжине форумов по киберпреступности на русском языке с 2008 года. Пользователь dfyz на Searchengines.ru в 2008 году попросил других участников форума просмотреть war.md и сказал, что они являются частью MercenarieS TeamM.
В то время dfyz продавал «абузостойкие серверы для любых целей», что означало, что хостинговая компания намеренно игнорировала жалобы на злоупотребления или запросы силовых структур об активности своих клиентов.
С помощью DomainTools также можно подчеркнуть, что на [email protected] зарегистрировано не менее 33 доменных имен. Некоторые из этих доменов имеют значение ФИО Ivan Neculiti в своих регистрационных записях, включая tracker-free.cn, который был зарегистрирован на Ivan Neculiti по адресу [email protected] и ссылался на MercenarieS TeaM в своих оригинальных регистрационных записях.
Dfyz также использовал псевдоним DonChicho, продававший абузостойкие услуги хостинга и доступ к сломанным интернет-серверам. В 2014 году известный член русскоязычного сообщества киберпреступников Antichat подал жалобу на DonChicho, заявив, что этот пользователь обманул их и использовал адрес электронной почты [email protected] .
В жалобе говорилось, что DonChicho зарегистрировался в Antichat по интернет-адресу Приднестровья 84.234.55. 29.
Поиск этого адреса в Constella показывает, что он был использован для регистрации только пяти аккаунтов онлайн, которые были созданы за эти годы, в том числе один на ask.ru, где пользователь зарегистрировался с адресом электронной почты [email protected] . Constella также возвращает для этого адреса электронной почты пользователю с именем Иван на memoraleak.com и 000webhost.com.
Constella считает, что пароль, наиболее часто используемый адресом электронной почты [email protected] , был «filecast», и что с этим паролем связано более 90 адресов электронной почты. Среди них примерно два десятка адресов с названием Neculiti, а также адрес [email protected] .
Intel 471 говорит, что DonChicho опубликовал на нескольких российских форумах по киберпреступности, что [email protected] был его адресом, и что он входил на форумы по киберпреступности почти исключительно из интернет-адресов в Тирасполе, столице Приднестровья. Обзор постов DonChicho показывает, что этот человек был забанен на нескольких форумах в 2014 году за мошенничество с другими пользователями.
Кэшированные копии тщеславного домена DonChicho (donchicho.ru) показывают, что в 2009 году он был спамером, продававшим подделки рецептурных лекарств через Rx-Promotion, когда-то одно из крупнейших аптечных спам-программ для русскоязычных филиалов.
Возвращаясь к упомянутой в начале теме санкций, можно отметить любопытное наблюдение Correctiv, подчеркнувшее их «беззубость» в случае компании братьев:
«Санкции ЕС в отношении российских компаний и частных лиц, стоящих за дезинформационными веб-сайтами RRN, запрещают европейским компаниям вести с ними бизнес. В то время как Stark Industries Solutions как британская компания и PQ Hosting как молдавская компания не подпадают под действие законодательства ЕС».
