Этим летом в Сети появились новости о «русском следе» в хакерской атаке на сервера Демократической партии США. Атака была успешной, и в ее ходе были слиты в сеть гигабайты данных. Это личная переписка, внутренние документы партии, данные членов партии и многое другое. После расследования инцидента стало ясно, что хакеры имели доступ к сети партии в течение года. Директор национальной разведки США Джеймс Клэппер даже заявил, что за атакой стоят хакеры, которые работают в интересах иностранных государств (в основном, подразумевались Россия и Китай).
Но все это лирика. Как недавно оказалось, «русский след» в атаках на демократическую партию США в Иллинойсе был выражен не так уж и активно. А один из основных агрументов в пользу «следа» оказалось использование злоумышленниками наших серверов. Мы — российская компания, и, видимо, американцы решили, что если злоумышленники воспользовались нашими серверами, то они тоже из России.
Насколько мы знаем, злоумышленники работали не только с нашими серверами, но внимание СМИ привлекло именно то, что задействована в ходе атаки оказалась российская компания. Самое интересное то, что до 15 сентября на сервера, которые использовали киберпреступники, не приходили жалобы и обращения. Никто не предпринимал никаких попыток изъять сервера или хотя бы попробовать связаться с нами. После того, как мы узнали о проблеме, сервера сразу же были отключены от Сети.
Мы провели тщательное расследование. Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке (ну или разведчики хорошо замаскировались). Дело в том, что у нас сохранились все логи досупа к адмиистративной панели управления серверами после зачистки ПО, которое использовали хакеры. Мы проанализировали логи и получили список из примерно 10 различных IP адресов злоумышленников. Ни один из этих IP не является российским.
«Серверы работали с мая 2016 года, т, е несколько месяцев. Сегодня после статьи, были отключены. Никаких жалоб за это время мы не получали, никаких запросов от Нидерландской полиции не было. Логи авторизаций показывают, что входы были через IP принаждлежащим странам Скандинавии (Норвегия, Швеция) и Европейского Союза (Италия), IP Российских компаний мы не нашли», — говорит Владимир Фоменко, глава King Servers.
Плюс ко всему, злоумышленники обращались в нашу службу поддержки на ломаном английском языке. Со стороны «русских разведчиков» было бы довольно странно так себя вести. Плюс ко всему, те, кто арендовал наши серверы, остались должны 290 долларов США за услуги аренды серверов. Думаем, что логичным шагом будет выслать счет президенту той страны, которую объявят виновной в проведении атаки :)
Оплата за серверы производилась при помощи довольно известной в России полу-анонимной платежной системы. В России она известна своим сотрудничеством с американскими органами безопасности. Оба арендуемых злоумышленниками сервера, скорее всего, контролировались одним лицом. Дело в том, что IP входа совпадает и там, и там (на момент входа в систему). Этот человек (или команда) не слишком хорошо знают английский, что подтверждается обращениями в тикет. Плюс ко всему, при регистрации этот человек использовал ник Robin Good (а не Hood).
Сейчас у нас есть все материалы расследования, копии серверов и лог-файлов, плюс переписку. Если потребуется, можем предоставить эти данные правоохранительным органам и СМИ в соответствии с законодательством.
Мы хотели бы подчеркнуть, что считаем своим долгом донести данную информацию до общественности и отдельно благодарим пресс-службу компании ChronoPay, любезно согласившуюся оказать содействие в данном вопросе.
Но все это лирика. Как недавно оказалось, «русский след» в атаках на демократическую партию США в Иллинойсе был выражен не так уж и активно. А один из основных агрументов в пользу «следа» оказалось использование злоумышленниками наших серверов. Мы — российская компания, и, видимо, американцы решили, что если злоумышленники воспользовались нашими серверами, то они тоже из России.
Насколько мы знаем, злоумышленники работали не только с нашими серверами, но внимание СМИ привлекло именно то, что задействована в ходе атаки оказалась российская компания. Самое интересное то, что до 15 сентября на сервера, которые использовали киберпреступники, не приходили жалобы и обращения. Никто не предпринимал никаких попыток изъять сервера или хотя бы попробовать связаться с нами. После того, как мы узнали о проблеме, сервера сразу же были отключены от Сети.
Мы провели тщательное расследование. Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке (ну или разведчики хорошо замаскировались). Дело в том, что у нас сохранились все логи досупа к адмиистративной панели управления серверами после зачистки ПО, которое использовали хакеры. Мы проанализировали логи и получили список из примерно 10 различных IP адресов злоумышленников. Ни один из этих IP не является российским.
«Серверы работали с мая 2016 года, т, е несколько месяцев. Сегодня после статьи, были отключены. Никаких жалоб за это время мы не получали, никаких запросов от Нидерландской полиции не было. Логи авторизаций показывают, что входы были через IP принаждлежащим странам Скандинавии (Норвегия, Швеция) и Европейского Союза (Италия), IP Российских компаний мы не нашли», — говорит Владимир Фоменко, глава King Servers.
Плюс ко всему, злоумышленники обращались в нашу службу поддержки на ломаном английском языке. Со стороны «русских разведчиков» было бы довольно странно так себя вести. Плюс ко всему, те, кто арендовал наши серверы, остались должны 290 долларов США за услуги аренды серверов. Думаем, что логичным шагом будет выслать счет президенту той страны, которую объявят виновной в проведении атаки :)
Оплата за серверы производилась при помощи довольно известной в России полу-анонимной платежной системы. В России она известна своим сотрудничеством с американскими органами безопасности. Оба арендуемых злоумышленниками сервера, скорее всего, контролировались одним лицом. Дело в том, что IP входа совпадает и там, и там (на момент входа в систему). Этот человек (или команда) не слишком хорошо знают английский, что подтверждается обращениями в тикет. Плюс ко всему, при регистрации этот человек использовал ник Robin Good (а не Hood).
Сейчас у нас есть все материалы расследования, копии серверов и лог-файлов, плюс переписку. Если потребуется, можем предоставить эти данные правоохранительным органам и СМИ в соответствии с законодательством.
Мы хотели бы подчеркнуть, что считаем своим долгом донести данную информацию до общественности и отдельно благодарим пресс-службу компании ChronoPay, любезно согласившуюся оказать содействие в данном вопросе.
