Наши сервера и хакерская атака на демократов США: продолжение истории



    Наши сервера и хакерская атака на демократов США: продолжение истории.

    В прошлом году в Сети много говорили о том, что сервера Демократической партии США были атакованы хакерами, оставившими «русский след». Напомним, что атака была вполне успешной, в результате чего хакеры получили гигабайты данных, имеющих отношение к политической деятельности ряда известных людей. Это личная переписка, документы партии и все прочее. Джеймс Клэппер, директор национальной разведки США, заявил, что за этой атакой стоят хакеры, работающие в интересах таких государств, как Россия и Китай.

    Как оказалось, «русский след» был обнаружен только потому, что хакеры для работы воспользовались нашими серверами (расположенными, кстати, в Нидерландах). Ну а поскольку мы российская компания, то и хакеры стали российскими. В этом месяце к нам обратились представители Forbes с просьбой рассказать о том, что в действительности произошло. Кстати, до этого интервью у Владимира Фоменко, руководителя King-Servers, брали журналисты New York Times. Некоторые детали интервью, уверены, будут интересны Хабру.

    Изначально журналисты Forbes поинтересовались, что мы думаем о ситуации, озвученной ФБР. Тогда представители Бюро заявили, что шесть из восьми IP-адресов, используемых злоумышленниками, принадлежали нашим серверам. После того, как о «русском следе» стало известно, к нам приехал журналист NYT Эндрю Крамер, который детально обо всем расспросил. Ему была предоставлена вся информация по делу, в целом, интервью было конструктивным.

    Но когда статья была готова и опубликована, оказалось, что Крамер обратил слова Владимира Фоменко против него самого. В статье, в частности, говорилось, что руководитель King Servers связан со злоумышленниками, и вообще оказался едва ли не вдохновителем всех российских киберпреступников. Понятно, что изданию нужны просмотры материала, но получилось как-то совсем уж некрасиво.

    После этого мы решили связаться с организацией ThreatConnect, которая помогает различным организациям избежать различных киберугроз или же определить, кто стоит за той либо иной атакой. Изначально именно специалисты ThreatConnect определили, что хакеры, атаковавшие сервера политической партии в США, использовали сервера King Servers. Ответ от руководства этой компании был получен достаточно быстро. Говорилось в нем следующее: «Исходя из характера деятельности (злоумышленников) и то, что ваши ресурсы были использованы неидентифицированными преступниками, мы предлагаем предоставить всю информацию властям России и США, с тем, чтобы мы могли начать конструктивный и прозрачный диалог. Что касается статьи в New York Times, то термин „информационное звено“ — слова автора, а не наши. Мы предлагаем вам связаться с автором для урегулирования проблемы. Что касается нашего опубликованного исследования, то мы просто определили, что IP-адреса, с которых осуществлялась атака, зарегистрированы на вас и вашу компанию. Пожалуйста, дайте нам знать, если мы можем еще чем-то помочь».

    В общем-то, все логично, в отличие от статьи NYT. В самом деле, как использование серверов нашей компании может служить доказательством, что за взломом стоят русские хакеры? Хостинг-компания должна работать в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. Ну и да — неужели бы опытные взломщики, которым удалось осуществить удачную атаку на сервера политической партии, не пытались бы замести следы, работая, фактически, напрямую? Кроме того, NYT обращает внимание на «русские серверы» и никак не упоминает два других, которые не связаны с King Servers.

    image

    Кстати, журналист Forbes поинтересовался у Владимира Фоменко, что он думает о национальности взломщиков, равно, как и о некоторых других деталях личности хакеров. Ответ был следующим: «Мы не в состоянии узнать их национальность, также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований. Все, что мы знаем, это то, что у взломщиков нет национальности».

    Кстати, компания ThreatConnect, которая проводила аналитику относительно источника атаки, заявила, что после изучения ситуации «вопросов больше, чем ответов». Самое интересное то, что ответы никто и не стремится получить. Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки. Не были запрошены логи, никто не просит поделиться платежной информацией, которую указали злоумышленники при аренде серверов. Ничего.

    В общем, так и происходит, когда взлом расследуют не технические специалисты, а журналисты. Хотелось бы надеяться, что в дальнейшем ситуация прояснится — нам самим очень интересно, что произошло в реальности.

    В завершении лишь хочется повторить, что King Servers работает исключительно в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. И так будет всегда. Также хочется процитировать комментарии руководителя King Servers на одном из интервью: «Мы не можем нести ответственность за действия третьих лиц. Это все равно, что обвинить Илона Маска, что Тесла сбила кого-то из демократов…”

    P.S.: если кому-то интересно, то так называемый “русский след” использовал выделенные сервера с процессорами Intel серии E3, 8Gb RAM.

    Метки:
    King Servers 35,33
    Хостинг-провайдер «King Servers»
    Поделиться публикацией
    Комментарии 26
    • +10
      Почему бы тогда вам самим не провести расследование и не огласить результаты?
      • +5
        Потому что за это им никто не заплатит. Это не принесет пользы их бизнесу.
        А рекламу ребята на этом себе сделают. Почему бы и нет.
        • +1
          Акция! Промо-тариф «русский след»*


          *выделенные сервера ЦП Intel E3 ОЗУ 8Гб

          Только до 20 января 2017г гарантированная полоса пропускания до всех gov-подсетей Дяди Сэма:))

          DISCLAIMER: шутка в поддержку black PR авторов
        • +2
          да они вроде как и провели в меру возможностей.
          для дальнейшего расследования, как мне видится, нужны соответствующие разрешения в органах (обращение за логами к провайдерам, например).
          • +2
            Может, им жить нравится. Их, в общем-то, как я понял, никто не приглашает влезать в большую политику и делать разоблачения на уровне руководства и спецслужб США.
          • +4
            Так наоборот, же. Если опубликуют результаты расследования, то сделают себе дополнительно рекламу. Разве нет?
            • +5

              Это бесполезно. Скажут что русские выгораживают русских. Нужен независимый исследователь.

              • +6
                Скажет, не скажут… Мне, например, было-бы интересно узнать с каких айпишников использовались эти серверы. С каких айпишников оплачивалась аренда. А так статья ни о чем…

                Ну про нас там что-то написали. Доказательств у нас никаких нет, но вы держитесь, А мы хорошие, конечно-же.
                • +2
                  +1

                  Опубликуйте всё что есть, может всем интернетом поищем концы и ниточки.
                  • +4
                    Конструктивное предложение, полностью поддерживаю. Осталось дождаться ответа компании.
                    • 0
                      Что-то мне подсказывает, что публикация логов может быть потом классифицирована, как раскрытие улик или что-то в этом духе. А если дела не завели — то на хостера могут наехать уже и сами хакеры, ибо нарушение договора.
                      • +2
                        Да, дело в том, что мы коммерческая организация и действуем в интересах бизнеса клиентов и в строгом соответствии с законом, поэтому не можем распространять внутреннюю информацию включая логи, платежные данные клиентов и прочую информацию. Но можем сообщить следующее: даже обладая всей информацией, которой мы располагаем крайне затруднительно определить национальность, так называемых хакеров.
                        • 0
                          О, а тогда резонный вопрос — а есть ли у вас обязательства (по закону или договору) хранить эту информацию, и если не секрет, то сколько времени вы её храните?
                        • +1
                          Открытие логов VPN-серверов -так себе реклама для сервиса VPN-серверов. Сегодня они открыли логи для демократов США, а завтра откроют логи для «демократов» России или коммунистов Китая, даже если их об этом и не просят.
                    • 0
                      С каких айпишников оплачивалась аренда.

                      Конечно прямо с домашнего майора Пупкина. Будь там русский IP, это может быть прокси, если не русский, то тоже может быть прокси. Что вам даст знание IP?
                      • 0
                        При известном везении, можно прокоррелировать цепочку proxy по netflow-ным данным.
                • 0
                  Точно помню, что видел либо на хабре, либо на гиктаймс статью с подробным расследованием этой атаки от какой-то чешской или словакской фирмы, занимающейся ИБ (может avast, но не уверен). Всё обшарил, пытался загуглить разными запросами, но так и не смог найти. Может быть кто-нибудь помнит, как называлась та статья? Хочется вспомнить аргументы «стороны обвинения».
                  • +4
                    Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки.


                    … также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований ..


                    Неудивительно, видимо основная цель получение и раскрутка продукта — «русский след».
                    • 0

                      А наши почему тогда сидят тихо, если это не "русский след"? Расследовали бы, на весь мир громко заявили "смотрите, кто!"? Не?

                      • +1
                        Громче это как? Все российские СМИ об этом трубят на весь мир. Но что это даст если 80% всех СМИ в мире принадлежит США…
                        • 0

                          О чём — об этом? Выше сказали: никто к ним не обращался за информацией для расследования, ни с той, ни с нашей стороны.


                          Я тут не рассматриваю вопрос правдивости статьи в целом, кстати.

                    • +1

                      Хорошо было бы это на реддит вбросить, дабы просветить "русский хакер — пиу пиу — красные идут" людей.

                      • +3
                        Если следовать этой «логике», то тот факт, что хакеры использовали произведенные в США сервера является неопровержимым доказательством причастности компании интел к хакерам. А так как это американская компания, то национальность преступников доказано является американской. )))
                        • 0
                          пробовал оформить заказ, ввожу «habrapeople201» в поле «Use promo code» и получаю ответ «Coupon is not valid» :(
                          может я что-то не так делаю?
                          • 0
                            Здравствуйте. Была ошибка, поправили. Попробуйте сейчас :)
                          • 0
                            Из вашего сообщения кажется что все доказательства только ваши IP что не подтверждается репортом.
                            В репорте https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf кстати ваша компания вообще не упоминается, она как operational infrastructure.
                            Но руководству следовало б задуматься что в случае поездок в развитые страны ФБР может захотеть поговорить с ним и выдать ордер на выдачу.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое