3 марта в 17:53

Наши сервера и хакерская атака на демократов США: продолжение истории



Наши сервера и хакерская атака на демократов США: продолжение истории.

В прошлом году в Сети много говорили о том, что сервера Демократической партии США были атакованы хакерами, оставившими «русский след». Напомним, что атака была вполне успешной, в результате чего хакеры получили гигабайты данных, имеющих отношение к политической деятельности ряда известных людей. Это личная переписка, документы партии и все прочее. Джеймс Клэппер, директор национальной разведки США, заявил, что за этой атакой стоят хакеры, работающие в интересах таких государств, как Россия и Китай.

Как оказалось, «русский след» был обнаружен только потому, что хакеры для работы воспользовались нашими серверами (расположенными, кстати, в Нидерландах). Ну а поскольку мы российская компания, то и хакеры стали российскими. В этом месяце к нам обратились представители Forbes с просьбой рассказать о том, что в действительности произошло. Кстати, до этого интервью у Владимира Фоменко, руководителя King-Servers, брали журналисты New York Times. Некоторые детали интервью, уверены, будут интересны Хабру.

Изначально журналисты Forbes поинтересовались, что мы думаем о ситуации, озвученной ФБР. Тогда представители Бюро заявили, что шесть из восьми IP-адресов, используемых злоумышленниками, принадлежали нашим серверам. После того, как о «русском следе» стало известно, к нам приехал журналист NYT Эндрю Крамер, который детально обо всем расспросил. Ему была предоставлена вся информация по делу, в целом, интервью было конструктивным.

Но когда статья была готова и опубликована, оказалось, что Крамер обратил слова Владимира Фоменко против него самого. В статье, в частности, говорилось, что руководитель King Servers связан со злоумышленниками, и вообще оказался едва ли не вдохновителем всех российских киберпреступников. Понятно, что изданию нужны просмотры материала, но получилось как-то совсем уж некрасиво.

После этого мы решили связаться с организацией ThreatConnect, которая помогает различным организациям избежать различных киберугроз или же определить, кто стоит за той либо иной атакой. Изначально именно специалисты ThreatConnect определили, что хакеры, атаковавшие сервера политической партии в США, использовали сервера King Servers. Ответ от руководства этой компании был получен достаточно быстро. Говорилось в нем следующее: «Исходя из характера деятельности (злоумышленников) и то, что ваши ресурсы были использованы неидентифицированными преступниками, мы предлагаем предоставить всю информацию властям России и США, с тем, чтобы мы могли начать конструктивный и прозрачный диалог. Что касается статьи в New York Times, то термин „информационное звено“ — слова автора, а не наши. Мы предлагаем вам связаться с автором для урегулирования проблемы. Что касается нашего опубликованного исследования, то мы просто определили, что IP-адреса, с которых осуществлялась атака, зарегистрированы на вас и вашу компанию. Пожалуйста, дайте нам знать, если мы можем еще чем-то помочь».

В общем-то, все логично, в отличие от статьи NYT. В самом деле, как использование серверов нашей компании может служить доказательством, что за взломом стоят русские хакеры? Хостинг-компания должна работать в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. Ну и да — неужели бы опытные взломщики, которым удалось осуществить удачную атаку на сервера политической партии, не пытались бы замести следы, работая, фактически, напрямую? Кроме того, NYT обращает внимание на «русские серверы» и никак не упоминает два других, которые не связаны с King Servers.

image

Кстати, журналист Forbes поинтересовался у Владимира Фоменко, что он думает о национальности взломщиков, равно, как и о некоторых других деталях личности хакеров. Ответ был следующим: «Мы не в состоянии узнать их национальность, также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований. Все, что мы знаем, это то, что у взломщиков нет национальности».

Кстати, компания ThreatConnect, которая проводила аналитику относительно источника атаки, заявила, что после изучения ситуации «вопросов больше, чем ответов». Самое интересное то, что ответы никто и не стремится получить. Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки. Не были запрошены логи, никто не просит поделиться платежной информацией, которую указали злоумышленники при аренде серверов. Ничего.

В общем, так и происходит, когда взлом расследуют не технические специалисты, а журналисты. Хотелось бы надеяться, что в дальнейшем ситуация прояснится — нам самим очень интересно, что произошло в реальности.

В завершении лишь хочется повторить, что King Servers работает исключительно в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. И так будет всегда. Также хочется процитировать комментарии руководителя King Servers на одном из интервью: «Мы не можем нести ответственность за действия третьих лиц. Это все равно, что обвинить Илона Маска, что Тесла сбила кого-то из демократов…”

P.S.: если кому-то интересно, то так называемый “русский след” использовал выделенные сервера с процессорами Intel серии E3, 8Gb RAM.

Автор: @itNews
King Servers
рейтинг 35,30
Компания прекратила активность на сайте

Комментарии (26)

  • +10
    Почему бы тогда вам самим не провести расследование и не огласить результаты?
    • +5
      Потому что за это им никто не заплатит. Это не принесет пользы их бизнесу.
      А рекламу ребята на этом себе сделают. Почему бы и нет.
      • +1
        Акция! Промо-тариф «русский след»*


        *выделенные сервера ЦП Intel E3 ОЗУ 8Гб

        Только до 20 января 2017г гарантированная полоса пропускания до всех gov-подсетей Дяди Сэма:))

        DISCLAIMER: шутка в поддержку black PR авторов
    • +2
      да они вроде как и провели в меру возможностей.
      для дальнейшего расследования, как мне видится, нужны соответствующие разрешения в органах (обращение за логами к провайдерам, например).
    • +2
      Может, им жить нравится. Их, в общем-то, как я понял, никто не приглашает влезать в большую политику и делать разоблачения на уровне руководства и спецслужб США.
  • +4
    Так наоборот, же. Если опубликуют результаты расследования, то сделают себе дополнительно рекламу. Разве нет?
    • +5

      Это бесполезно. Скажут что русские выгораживают русских. Нужен независимый исследователь.

      • +6
        Скажет, не скажут… Мне, например, было-бы интересно узнать с каких айпишников использовались эти серверы. С каких айпишников оплачивалась аренда. А так статья ни о чем…

        Ну про нас там что-то написали. Доказательств у нас никаких нет, но вы держитесь, А мы хорошие, конечно-же.
        • +2
          +1

          Опубликуйте всё что есть, может всем интернетом поищем концы и ниточки.
          • +4
            Конструктивное предложение, полностью поддерживаю. Осталось дождаться ответа компании.
            • 0
              Что-то мне подсказывает, что публикация логов может быть потом классифицирована, как раскрытие улик или что-то в этом духе. А если дела не завели — то на хостера могут наехать уже и сами хакеры, ибо нарушение договора.
              • +2
                Да, дело в том, что мы коммерческая организация и действуем в интересах бизнеса клиентов и в строгом соответствии с законом, поэтому не можем распространять внутреннюю информацию включая логи, платежные данные клиентов и прочую информацию. Но можем сообщить следующее: даже обладая всей информацией, которой мы располагаем крайне затруднительно определить национальность, так называемых хакеров.
                • 0
                  О, а тогда резонный вопрос — а есть ли у вас обязательства (по закону или договору) хранить эту информацию, и если не секрет, то сколько времени вы её храните?
              • +1
                Открытие логов VPN-серверов -так себе реклама для сервиса VPN-серверов. Сегодня они открыли логи для демократов США, а завтра откроют логи для «демократов» России или коммунистов Китая, даже если их об этом и не просят.
        • 0
          С каких айпишников оплачивалась аренда.

          Конечно прямо с домашнего майора Пупкина. Будь там русский IP, это может быть прокси, если не русский, то тоже может быть прокси. Что вам даст знание IP?
          • 0
            При известном везении, можно прокоррелировать цепочку proxy по netflow-ным данным.
  • 0
    Точно помню, что видел либо на хабре, либо на гиктаймс статью с подробным расследованием этой атаки от какой-то чешской или словакской фирмы, занимающейся ИБ (может avast, но не уверен). Всё обшарил, пытался загуглить разными запросами, но так и не смог найти. Может быть кто-нибудь помнит, как называлась та статья? Хочется вспомнить аргументы «стороны обвинения».
  • +4
    Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки.


    … также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований ..


    Неудивительно, видимо основная цель получение и раскрутка продукта — «русский след».
    • 0

      А наши почему тогда сидят тихо, если это не "русский след"? Расследовали бы, на весь мир громко заявили "смотрите, кто!"? Не?

      • +1
        Громче это как? Все российские СМИ об этом трубят на весь мир. Но что это даст если 80% всех СМИ в мире принадлежит США…
        • 0

          О чём — об этом? Выше сказали: никто к ним не обращался за информацией для расследования, ни с той, ни с нашей стороны.


          Я тут не рассматриваю вопрос правдивости статьи в целом, кстати.

  • +1

    Хорошо было бы это на реддит вбросить, дабы просветить "русский хакер — пиу пиу — красные идут" людей.

  • +3
    Если следовать этой «логике», то тот факт, что хакеры использовали произведенные в США сервера является неопровержимым доказательством причастности компании интел к хакерам. А так как это американская компания, то национальность преступников доказано является американской. )))
  • 0
    пробовал оформить заказ, ввожу «habrapeople201» в поле «Use promo code» и получаю ответ «Coupon is not valid» :(
    может я что-то не так делаю?
    • 0
      Здравствуйте. Была ошибка, поправили. Попробуйте сейчас :)
  • 0
    Из вашего сообщения кажется что все доказательства только ваши IP что не подтверждается репортом.
    В репорте https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf кстати ваша компания вообще не упоминается, она как operational infrastructure.
    Но руководству следовало б задуматься что в случае поездок в развитые страны ФБР может захотеть поговорить с ним и выдать ордер на выдачу.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Администрирование