Пермская компания «ИнфоКуб» опубликовала свое видение ситуации с кражей 1 млрд рублей, в причастности к которой фирму обвинил американский журналист Брайан Кребс.
Напомним, в июле текущего года Пермскую компанию «ИнфоКуб» заподозрили в связях с преступной группой, которая похитила около миллиарда долларов при помощи вредоносной программы Carbanak. Факты, которые обосновывают эти подозрения, опубликовал сайт Krebs on Security.
Червь Carbanak был обнаружен в 2014 году в ходе расследования, которое вели «Лаборатория Касперского», Европол и Интерпол. При помощи заражённых документов, рассылаемых сотрудникам банков, злоумышленники проникали в банковские сети, а затем использовали это для того, чтобы тем или иным способом вывести деньги — как правило, через банкоматы. Большинство банков, ставших жертвой преступников, располагались в России.
Выводы о подконтрольности «ИнфоКубу» вредоносного сайта cubehost.biz и адреса электронной почты info@cubehost.biz [2] сделаны исключительно на основании наличия фрагментарной персональной информации компании и её руководителя в Whois и RIPE указанных сетевых ресурсов (несмотря на общеизвестную возможность любому пользователю Интернета использовать произвольные данные – в т.ч. похищенные чужие – при регистрации доменов), сообщается на сайте «ИнфоКуб». Обоснования принадлежности этого домена и электронной почты Кребс, который выступил с обвинениями, не предоставил. «Очевидно, этот факт ему кажется доказанным уже в силу простого созвучия слов cubehost.biz и «ИнфоКуб», отметили в компании.
При этом факт кражи своих данных фирма установила в 2015 году по итогам расследования, после этого размещённые в сети детальные сведения на компанию и её руководителя (за исключением контактного адреса электронной почты) были удалены. «Ни домен cubehost.biz, ни адрес электронной почты info@cubehost.biz [2] группе компаний «ИнфоКуб» никогда не принадлежали и не принадлежат», сообщается на сайте.
«Отмечаем, что аналогичным образом находящиеся в открытом доступе официальные контактные данные с сайта любой компании, расположенной в любой стране, могут быть украдены киберпреступниками и использоваться затем для регистрации вредоносных сайтов от чужого имени», говорится в сообщении.
Также, по сообщению компании, начиная с 14 июля 2016 года (т.е. уже спустя 4 дня после получения последнего письма от г-на Кребса и всего за двое суток до выхода его статьи) на входящем шлюзе ГК «ИнфоКуб» резко возросло количество попыток несанкционированного входа. Позднее специалистами фирмы фиксировались все новые и новые попытки. Анализ установил, что попытки взлома проводились при помощи сокрытия ip-адресов, с которых осуществлялись кибератаки.
«Достоверно установлено, что с 22 июля по 2 августа 2016 года наиболее активно попытки взлома проводились с адреса 66.240.236.119, который является хостом census6.shodan.io, Сан-Диего, США (8929 Complex Drive, San Diego, CA, 92123, US)», говорится в сообщении.
В дальнейшем компания для установления исполнителей и организаторов произошедшего намерена обратиться в компетентные органы США. Также специалисты компании считают необходимым проверить самого Брайана Кребса на причастность к кибератакам.
Полный текст расследования можно найти по ссылке [3]