以下はこの記事の翻訳です(プライベートメッセージにコメントを書いてください)。
最も有名なサイバー犯罪グループは、Carbanakグループです。 東ヨーロッパのこれらのハッカーは、銀行から10億ドル以上を盗んだと非難されています。 今日は、Carbanakとロシアのセキュリティ会社との関係を示すいくつかの説得力のある証拠を見ていきます。ロシアのセキュリティ会社は、いくつかの最大のサイバーセキュリティブランドと協力していると主張しています。
Carbanakグループは、無数のサイバー窃盗で使用された悪意のある銀行ソフトウェアからその名前を得ました。 このグループはおそらく、感染したMicrosoft Officeファイルを使用して銀行ネットワークに侵入し、このアクセスを使用してATMで現金を発行することで最もよく知られています。 Kaspersky Labの推定によると、Carbanakは、主にロシアの銀行から10億ドル以上を盗まれた可能性が高いとのことです。
私は最近、情報セキュリティ研究者のRon Guilmetteから、以前Carbanakグループで使用されたマルウェア配布の原因であったWebサイトのログに興味深い類似点があることを発見したと聞きました。
たとえば、ドメインweekend-service [dot] com、coral-trevel [dot] com、およびfreemsk-dns [dot] comは、いくつかのセキュリティ会社によってCarbanak詐欺配送センターとして識別されています。 3つのドメインすべてのWHOIS履歴レコードには、Xicheng Co.が所有する同じ電話番号とFAX番号が含まれています。 中国では-1066569215および1066549216で、それぞれ+86(中国のダイヤルコード)または+01(米国)で始まります。 各エントリには、同じ電子メール「williamdanielsen@yahoo.com」も含まれています。
ThreatConnectによると、少なくとも484個のドメインがwilliamdanielsen@yahoo.comまたは同じ電話番号と中国企業に関連付けられている26のメールアドレスのいずれかに登録されています。 「これらのドメインの少なくとも304は、以前Carbanakに起因していた悪意のあるプラグインに関連付けられていました」とThreatConnectが報告しています。
これらの2つの電話番号、1066569215と1066549216に戻りましょう。一見、それらは一貫しているように見えますが、よく見ると、中央でわずかに異なることがわかります。 マルウェアの起動には見られなかったこれらの中国の番号で登録されたごく少数のドメインの中に、「cubehost [dot] biz」と呼ばれるウェブサイトがあります。2013年9月に市の28歳のArtem Tveritinovによって登録されましたペルミ、ロシア。
Cubehost [dot] bizは現在は非アクティブなサイトですが、ロシアの会社Infocubeに属しているようです。 InfoCube Webサイト-infokube.ru-もArtyom Tveritinovに登録されています。 infokube.ruのWHOIS履歴には多数のレコードがありますが、2011年の元の最も古いレコードのみにメールアドレスatveritinov@gmail.comが含まれています
VKontakteのPermからArtyom Tveritinovのプロファイルを登録するために、同じメールアドレスが使用されました 。
トベリティノフ氏は、ロシアの商業研究機関で「データ保護と人事監視」を実施するためにInfoKubeと提携したモスクワのセキュリティ組織FalconGazeのプレスリリースに 「InfoKub CEO」としてリストされています。
ところで、Falonggazeは昨日、Telegramメッセージを傍受する技術を持っていることを発表しました。PavelDurov は、彼らのプログラムはトロイの木馬だと答えました。
InfoKube自身のプレスリリースでは、同社はPermおよびPerm Territoryの「不正アクセスから情報を保護するためのシステム」を開発しているほか、ロシア内務省と共同で実施する「情報セキュリティ」に関連する多くのコンサルティングプロジェクトにも関与していると述べています。
同社のWebサイトは、InfoKubeがシマンテックやカスペルスキーを含むさまざまなセキュリティ会社と連携していると主張しています。 後者は、InfoKubeがKaspersky Labの「非常に重要でないパートナー」であり、主にシステムの統合に参加したことを確認しています。 Zyxelは、InfoKubeという名前のパートナーがいないと報告しています。 ESETによると、「InfokubeはロシアのESETのパートナーではなく、これまでパートナーでもありませんでした。」
ギルメットの調査結果に関連して、電話番号がサイバー犯罪と同義語となった中国のオブジェクトの電話番号とファックス番号が、キューブホストのウェブサイトのWHOISに正確にコピーされた方法をトベリティノフ氏に尋ねました。 私は、Tveritinov氏に電子メールと彼のVKページを通じて問い合わせを送りました。
最初は、私のリクエストに対する好奇心と、彼のメールをどのように見つけたのかという質問を、メールでフレンドリーに返信しました。 より詳細な質問をまとめている最中に、2012年4月からTveritinovが定期的に管理していたVKontakteのプロファイルが完全に削除されていることに気付きました。 Artemのプロフィールページと彼の写真は、私が別のモニターで手紙を書いている最中に、私のモニターの画面から実際に消えました。
TveritinovのVKページが削除されて間もなく、彼から電子メールを受け取りました。 ソーシャルプロファイルの突然の消失に関する私の質問を無視して、Tveritinovはcubehost.bizを登録せず、彼の個人情報が盗まれ、cubehost.bizの登録レコードで使用されたと述べました。
「当社は違法行為を行ったことはなく、ロシア連邦の法律に従ってすべての活動を行っています」と彼は電子メールで述べました。 「さらに、情報セキュリティの分野の専門家であるため、犯罪に使用されるドメインを登録するために個人データを使用するのはかなりばかげています。」
InfoKube / Cubehostは、サンクトペテルブルクのインターネットサービスプロバイダーであるサンクトペテルブルクインターネットネットワークLLC(「PIN」)が管理する多数のIPアドレスも使用していることがわかりました。
たとえば、サイバーセキュリティ会社がCarbanakディストリビューションに関連付ける前述のドメイン名の多く(たとえば、freemsk-dns [dot] .com)は、Cubehostのインターネットアドレスでホストされています。 ブロック146.185.239.0/24のレジストリ検索により、アラブ首長国連邦のラスアルカイマ地域の物理アドレスが明らかになりました。 この地域は、タックスシェルターとしての評判を確立し、完全に匿名のオフショア企業を簡単に作成できる場所を目指しています。 同じRIPEリストでは、このブロック内のインターネットアドレスに関する苦情は「info@cubehost.biz」に送信する必要があるとされています。
PINのサンクトペテルブルクにあるこのホスティングプロバイダーは、悪名高いレベルを達成しており、あらゆる種類のオンライン悪役の避難所としての評判を考えると、おそらくさらなる研究に値するでしょう。
実際、 Dynのインターネット分析のディレクターであるDoug Madoryは、サンクトペテルブルクインターネットネットワークLLCを「...おそらく「Mos Eisley Internet」という名前の主要な入札者と呼んでいました(外国人犯罪者でいっぱいの宇宙港 、 1977年の映画「スターウォーズ」で)。
マドリーは、サンクトペテルブルクインターネットネットワークLLCの評判が非常に悪いのは、実際には彼に属さないインターネットアドレスブロックの巨大な断片を隠すというプロバイダーの傾向に起因していることを説明します。
彼については、ギルメットは、明らかにTveritinovと彼の会社が所有するインターネットアドレス空間で行われる他の嫌な活動の10年間の重要性を指摘しています。 たとえば、2013年に、MicrosoftはCitadelのオンラインバンキングマルウェアの制御ノードとして使用される多くのドメインを捕捉しました。これらのドメインはすべて、WHOISレコードに同じ「Xicheng Co.」データがありました。 2011年9月、dynamoo.comのセキュリティブログレポートで、このXicheng Coのいくつかのドメインが指摘されました 。 WHOIS情報は、オンラインバンキングの盗難にSinowalトロイの木馬が使用されたことを示しており、2006年に発見されました。
「Tveritinov氏が自分のアドレス空間内で起きている犯罪者のごく一部を知っているか、直接関与している場合、他の追加の犯罪会社での役割を果たしている可能性... ...信頼性と信頼性が高まっています」とギルメットは言います。
Carbanakグループがどの程度活動しているのかは不明のままです。 先月、ロシア当局は、ロシア、中国、ウクライナ、およびヨーロッパの他の地域出身の組織的なサイバー犯罪グループに関連する50人を拘留しました。 この行動は、ロシアで最大の金融ハッカーの拘留として発表されました。
これは記事の翻訳であることを思い出させてください。 コメント、プライベートメッセージを書いてください。