Siber suçlular için istismar dostu “kurşun geçirmez” web barındırma en kötü şöhretli sağlayıcılarından biri, operasyonlarını Rus antivirüs ve güvenlik firması tarafından yürütülen ağlar aracılığıyla yönlendirmeye başladı. Kaspersky laboratuvarKrebsonsecurity öğrendi.
Güvenlik uzmanları Rusya merkezli hizmet sağlayıcısını söylüyor Prospero Ooo (Üçlü O, “LLC” nin Rus versiyonudur) Uzun zamandır kalıcı bir kötü amaçlı yazılım, botnet denetleyicileri ve bir kimlik avı web sitelerinin torrent kaynağı olmuştur. Geçen yıl, Fransız güvenlik firması İçsel Detaylı Prospero’nun Rus siber suç forumlarında isimler altında ilan edilen kurşun geçirmez hizmetlerle bağlantıları Emniyetli Ve Bearhost.
Kurşun geçirmez barındırma sağlayıcısı Bearhost. Bu ekran görüntüsü Rusya’dan makineye dönüştürüldü. Resim: ke-la.com.
Kurşun geçirmez ana bilgisayarlar, yasal talepleri ve kötüye kullanım şikayetlerini görmezden gelme konusunda bir üne sahip olduklarında veya geliştirdiklerinde bu şekilde adlandırılır. Ve Bearhost en az 2019’dan beri itibarını geliştiriyor.
“Kötü amaçlı yazılım, kaba, tarama, kimlik avı, sahte ve diğer görevler için bir botnet için bir sunucuya ihtiyacınız varsa, lütfen bizimle iletişime geçin”. “Spamhaus ve diğer kuruluşlar da dahil olmak üzere istisnasız tüm istisnaları tamamen görmezden geliyoruz.”
Intrinsec, Prospero’nun Rusya’nın en kötü siber suç gruplarından bazılarını kurduğunu ve son iki yılda birden fazla fidye yazılımı çetesi için kontrol sunucularına ev sahipliği yaptığını buldu. Intrinsec, analizinin Prospero’nun sık sık Socgholish ve GoOtloader gibi kötü amaçlı yazılım işlemlerine ev sahipliği yaptığını ve öncelikle saldırıya uğramış web sitelerinde sahte tarayıcı güncellemeleri yoluyla yayıldığını ve genellikle fidye yazılımı da dahil olmak üzere daha ciddi siber saldırılar için zemin hazırladığını söyledi.
Mobil kötü amaçlı yazılımları iten sahte tarayıcı güncelleme sayfası. Resim: Intrinsec.
Bearhost, dünyanın dört bir yanındaki birçok internet servis sağlayıcısının kötü amaçlı yazılım ve spam kaynaklarını tanımlamaya ve engellemeye yardımcı olduğu bir kuruluş olan Spamhaus’un engellemeden kaçınma yeteneğinden gurur duyuyor. Bu haftanın başlarında Spamhaus, Prospero’nun Moskova’daki Kaspersky Lab tarafından işletilen ağlar aracılığıyla yönlendirerek aniden internete bağlandığını fark ettiğini söyledi.
Kaspersky, tekrarlanan yorum taleplerine yanıt vermedi.
Kaspersky, 2005 yılında Amerika Birleşik Devletleri’nde antivirüs ve güvenlik yazılımı satmaya başladı ve şirketin kötü amaçlı araştırmacıları yıllar boyunca birçok önemli keşif için güvenlik topluluğundan övgüler kazandı. Ancak Eylül 2017’de İç Güvenlik Bakanlığı (DHS) ABD federal ajanslarının Kaspersky yazılımını kullanmasını engelledi ve 90 gün içinde kaldırılmasını zorunlu kıldı.
Siber güvenlik muhabiri Kim Zetter DHS’nin 2017’deki yasağı için belirli bir gerekçe belirtmediğini not eder, ancak anonim hükümet yetkililerine alıntı yapan medya raporları iki olaydan bahsetti. Zetter şöyle yazdı:
Bir hikayeye göre, casus ajansı için saldırgan hackleme araçları geliştiren bir NSA yüklenicisi, ev bilgisayarında araçları geliştirdiği Kaspersky yazılımı kurdu ve yazılım kaynak kodu kötü amaçlı kod olarak algıladı ve antivirüs yazılımı yapmak için tasarlandığı için bilgisayarından çıkardı. İkinci bir hikaye, İsrail casuslarının Rus hükümet bilgisayar korsanlarını Kaspersky yazılımını kullanarak ABD sırlarını içeren dosyalar için aramak için yakaladığını iddia etti.
Kaspersky, herkesin müşteri makineleri hakkında gizli bilgi aramak için yazılımını kullandığını reddetti ve NSA çalışanı makinesindeki araçların tüm antivirüs yazılımı, şüpheli olduğunu düşündüğü ve daha sonra karantina olduğunu veya analiz için çıkardığı gibi algılandığını söyledi. Kaspersky, antivirüs yazılımının NSA işçisinin makinesinde tespit ettiği kodun kötü amaçlı programlar olmadığını, Hacking operasyonları için ABD hükümeti tarafından geliştirilen kaynak kodu olduğunu keşfettiğinde, CEO Eugene Kaspersky, işçilere kodu silmesini emrettiğini söyledi.
Geçen yıl, ABD Ticaret Departmanı ABD 2024’ü yürürlüğe giren ABD’de Kaspersky yazılımının satışını yasakladı. ABD yetkilileri, Rus yasalarının yerli şirketlerin tüm resmi soruşturmalarda işbirliği yapmasını gerektirdiği için yasağın gerekli olduğunu savundu ve böylece Rus hükümeti Kaspersky’yi gizlice istihbarat toplamaya zorlayabilir.
Geçen yıl toplanan kimlik avı verileri Interlale Danışmanlık Grubu Spambot ana bilgisayarlarının boyutlarına ve konsantrasyonuna göre barındırma ağları sıraladı ve Prospero’nun diğer sağlayıcılardan daha yüksek bir spam skoruna sahip olduğunu buldu.
Kaspersky Lab’a ait AS209030, kurşun geçirmez ana bilgisayar Prospero’ya (AS200593) bağlantı sağlıyor. Resim: CIDR-Report.org.
Kaspersky’nin neden Prospero’ya geçiş sağladığı belli değil. Doug Madoryİnternet analizi direktörü Yüzlüdedi yönlendirme kayıtları Prospero ve Kaspersky arasındaki ilişkinin Aralık 2024 başında başladığını gösteriyor.
Madory, Kaspersky’nin ağının Rusya’nın en büyüğü de dahil olmak üzere çeşitli finansal kurumlara ev sahipliği yaptığını söyledi. Alfa bankası. Kaspersky, müşterileri dağıtılmış hizmet reddi (DDOS) saldırılarından korumaya yardımcı olmak için hizmetler satıyor ve Madory, Prospero’nun sadece Kaspersky’den bu korumayı satın aldığını söyledi.
Ama eğer durum buysa, durumu daha iyi hale getirmez, dedi Zach Edwardsgüvenlik firmasında kıdemli bir tehdit araştırmacısı Sessiz itme.
Edwards, “Bazı açılardan, iyi bilinen bir kurşun geçirmez barındırma sağlayıcıya DDoS koruması sağlamak, internetin geri kalanına altyapınız üzerinden bağlanmalarına izin vermekten bile daha kötü olabilir” dedi.