После начала полного вторжения в Россию, кампании дезинформации и хакерские атаки, координируемые профессиональными группами Российской федерации, усилились. PQ.Hosting в 2019 году - участвовали в реализации таких операций . Эта компания специализируется на предоставлении услуг хостинга в Интернете и имеет серверное оборудование в более чем 30 странах.
Несмотря на санкции, хостинг довольно распространен в России, работая с 2022 года в сети, принадлежащей Stark Industries Solutions Limited, зарегистрированной Джоном Некулити в Соединенном Королевстве.
В одном из своих рекламных акций Иван объясняет, какова цель британской компании: «На данный момент наши IP -адреса больше не показывают, что они принадлежат PQ Hosting. Есть другое, нейтральное имя. По его словам, британская компания вообще не участвует в платежных сделках, а просто для облегчения бизнеса. Другими словами, любой, кто ведет бизнес с Stark Industries Solutions, на самом деле ведет бизнес с хостингом PQ, за исключением того, что посторонние не увидят его сразу.
Маскируя свою корпоративную сеть, PQ Hosting стал убежищем для профессиональных киберактивистов, которые проводят незаконную деятельность против украинских граждан и помогают FSB -следу дезертиров и агентов в стране с помощью фишинговых ресурсов «Свобода России легиона» и «российских добровольцев». Инфраструктура для DDOS-атак в европейских странах.
Конкретные примеры:
- 21.12.2023 Группа компьютерного реагирования Украины зарегистрированные атаки на украинских пользователей с электронными информационными бюллетенями с заголовком SBU, заражая их вирусом remcosrat, который работает под AS44477 (Stark Industries Sol.
- Ранее, CERT-UA также сообщал об атаке с использованием 5 различных программ, которая была инициирована группой UAC-0082 (Sandworm), связанной с службой государственной службы безопасности Украины, с использованием инфраструктуры STARK Industries Solutions Ltd.
- Атака на украинских пользователей с заголовком «подлежит суду».
- Артем Тамоян, российский активист и программист, рассказал в Твиттере историю о своих наблюдениях за продвижением яндекса фишинговых ресурсов ранее упомянутых LSR и RDC, которые собирают данные о русских, которые хотят вступить в свои ряды. Некоторые жалобы с запросами на блокирование Тамояна направлены на администрирование CloudFlare. В одном из ответов службы говорится, что хостинговым поставщиком фальшивых мест легиона «Свобода России» был Stark Industries.
Кроме того, изучение федерального отчета Федерального управления Шв.
Кроме того, инфраструктура братьев Neculiti использовала группу Bluecharlie Bluechroment и кражу данных в странах Украины и НАТО.
Точно так же PQ Hosting является частым «гостем», согласно отчетам HYAS, который исследует инциденты кибербезопасности. Вот как они описали деятельность PQ Hosting в отчете 6 мая 2024 года:
AS44477, связанный со Stark Industries, работает как предсказуемый пуленепробиваемый хозяин с связями с Россией. Наблюдаемая деятельность, в частности, наличие краж в красной линии и трафик, связанный с ботнетом, указывает на злонамеренное намерение, направленное на компромисс данных пользователей и расширение сетей ботнеров. Stark Industries может работать как пуленепробиваемый хостинг, который способствует киберпреступности. Наличие Redline Steler включает в себя сосредоточение внимания на краже данных и потенциальной монетизации украденной информации.
Или в более раннем отчете:
AS44477 -это номер автономной системы (ASN), назначенный сетевым Stark Industries, подозреваемый в пуленепробиваемом хосте с соединениями с Россией. Часто проблематичный трафик исходит от Stark Industries. Согласно нашим данным, этот трафик в основном является Redline Sheareer, который крадет личные данные браузера и соединяет устройства жертвы с ботнетом «Spoo».
Вредная деятельность: AS44477 был связан со сложными кибератаками, такими как развертывание программ и попытки с помощью эксфиксов данных. Малыши, используемые этим ASN, могут ориентироваться на организации в разных секторах, используя уязвимость для достижения своих целей.
Социальная сеть Twitter (x) аналогична ссылкам на организации, которые противодействуют киберпреступности
На тематических форумах они рекомендуются как «Устойчивый к злоупотреблению» хостинг »
или упоминать в Telegram:
Размещение маркетологов наркотиков также не беспокоит компанию, и такие ресурсы, как RR-Seedshop081.xyz, тихо работают на своем оборудовании.
Равный счет как казино:
Casinochanslots.com
bizzocosino.sk
crazytime.eu.com
22-bet.nl
tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de.de
tonybet
Также заметил размещение ресурсов, напоминающих услуги, связанные с мошенничеством с криптовалютой:
yamga.org
deenair.org
betchan-exclusive.com
Примечательно, что для такого рода ресурсов предпочитают использовать сеть специально в Нидерландах.
Служба отслеживания данных Constella Intelligence сообщает, что Иван Neculiti зарегистрировал несколько онлайн-учетных записей по электронной почте [электронная почта защищена] . Кибер -исследование Intel 471 показывает, что этот адрес E -Mail связан с именем пользователя DFYZ на более чем полудюжине форумов киберпреступности на русском языке с 2008 года. Пользователь DFYZ на Searchengines.Ru в 2008 году попросил других участников форума посмотреть War.md и сказал, что они являются частью Mercenaries Teamm.
В то время DFYZ продал «серверы Abusus для любых целей», что означало, что хостинговая компания намеренно проигнорировала жалобы на злоупотребление или запросы на безопасность для деятельности своих клиентов.
Domaintools также может подчеркнуть, что по крайней мере 33 доменных имен зарегистрированы [защите электронной почты] Некоторые из этих доменов имеют важность Ивана Neculiti в их регистрационных записях, включая Tracker-free.cn, который был зарегистрирован у Ивана Neculiti по [электронной почте, защищенной] и направлена на команду наемников в их первоначальных регистрационных записях.
DFYZ также использовал прозвище Donchicho, которое также продавало Abusa-устойчивые услуги хостинга и доступ к сломанным интернет-серверам. В 2014 году знаменитый член российско -языкового сообщества Античат подал жалобу на Дончихо, заявив, что этот пользователь осыпал их и использовал адрес E -Mail [электронная почта защищена] .
В жалобе говорится, что Дончичо зарегистрировался в Античате с интернет -адреса Transnistria 84.234.55. 29
Поиск этого адреса в Constella показывает, что он использовался для регистрации только пяти онлайн -учетных записей, которые были созданы за эти годы, в том числе один на Ask.ru, где пользователь зарегистрировался по адресу E -Mail [электронная почта защищена] . Constella также возвращается к пользователю с именем «ivan» на Memoraleak.com и 000webhost.com для этого адреса электронной почты.
Constella считает, что пароль, наиболее часто используемый адресом электронной почты [по электронной почте, был Filecast, и что этот пароль связан с более чем 90 адресами E -Mail. Среди них около двух десятков адресов, называемых «Neculiti», а также адрес [по электронной почте защищен] .
Intel 471 говорит, что Donchicho опубликовал на нескольких российских форумах по киберпреступности, которые [по электронной почте защищен] было его адресом, и что он был включен на форумы киберпреступности, почти исключительно с адреса Интернета в Тирасполе, Transnistria. Обзор постов Дончичо показывает, что этот человек был развлечен на нескольких форумах в 2014 году для мошенничества с другими пользователями.
Копии Donchicho (Donchicho.ru) показывают, что в 2009 году это был спамер, который продавал поддельные лекарства через RX-промотюцию, когда-то один из крупнейших аптечных спамов для русскоязычных филиалов.
Вернувшись к теме санкций, упомянутых в начале, вы можете отметить интересные наблюдения за корректией, которые подчеркнули их «беззубые» в случае братьев:
«Санкции ЕС в отношении российских компаний и частных лиц, стоящих за дезинформационными веб -сайтами RRN, запрещают европейским компаниям вести с ними бизнес. В то время как Stark Industries Solutions как британская компания и PQ Hosting в качестве молдованской компании не подлежат законодательству ЕС.
