Раскрытие информации о поставщиках услуг даркнета: Абузоустойчивый Хостинг

[Man]

1. Аннотация​

Услуги абузоустойчивого хостинга (пуленепробиваемого хостинга или от английского "bulletproof hosting" - "BPH") предоставляют инфраструктуру для киберпреступной деятельности, позволяя преступникам обходить правовые ограничения и часто используемые для вредоносных программ, хакерских атак, мошеннических веб-сайтов, спама и т. д. Сеть абузоустойчивого хостинга, известная как поставщик услуг темного интернета, представляет собой среду, специально предоставляющую вредоносную инфраструктуру для киберпреступной деятельности.

Будучи важным «невидимым помощником» для современных киберпреступных действий, абузоустойчивый хостинг представляет собой существенную проблему для глобальной кибербезопасности. Для исследователей кибербезопасности, правоохранительных органов и связанных с ними предприятий выявление и понимание абузоустойчивого хостинга может лучше реагировать на все более серьезные угрозы кибербезопасности. Исследователи кибербезопасности, которые владеют навыками выявления абузоустойчивых сетей хостинга, могут более эффективно обнаруживать потенциальные источники вредоносной деятельности; правоохранительные органы, усиливающие борьбу с вредоносными поставщиками интернет-услуг, могут нанести удар по корню киберпреступности; связанные предприятия, понимающие режим работы и потенциальные угрозы абузоустойчивого хостинга, могут разрабатывать более совершенные стратегии защиты безопасности. Подводя итог, можно сказать, что абузоустойчивые хостинговые сервисы являются неотъемлемой частью глобальной экосистемы киберпреступности. Выявление и эффективное реагирование на эту угрозу может лучше защитить кибербезопасность стран и предприятий.

В этой статье мы сначала представляем услуги абузоустойчивого хостинга, затем фокусируемся на описании киберпреступной деятельности поставщика услуг абузоустойчивого хостинга ELITETEAM и его собственного сегмента сети «185.215.113.0/24». Наконец, на основе поисковой системы киберпространства ZoomEye [1] в сочетании с концепцией «поведенческого картирования» мы наблюдаем и анализируем данные картирования активов этого сегмента сети. С помощью открытых портов, значений субъектов сертификатов SSL, отпечатков пальцев сертификатов SSL, значений JARM и уникального контента HTTP мы пытаемся связать и расширить, чтобы обнаружить больше подозреваемых сетей абузоустойчивого хостинга.

2. Обзор​

На основе IP-адресов Redline C2, опубликованных исследователем кибербезопасности «Fox_threatintel» в Twitter [2], мы обнаружили, что три IP-адреса (185.215.113.25, 185.215.113.9 и 185.215.113.67) имели открытый порт 7766 и находились в одном сегменте сети. В ходе анализа этого сегмента сети было обнаружено, что поставщик услуг для этого сегмента, ELITETEAM, является надежным поставщиком услуг хостинга [3], тесно связанным с вредоносной деятельностью в Интернете.

Рисунок 1: Твит исследователя кибербезопасности «Fox_threatintel»

Согласно отчету «Обзор поставщика услуг абузоустойчивого хостинга ELITETEAM» [3], выпущенному исследовательской группой S2 в сентябре 2022 года, этот сегмент сети представляет собой сеть абузоустойчивого хостинга, которой управляет компания ELITETEAM. Название организации в информации WHOIS сегмента сети — «1337TEAM LIMITED», базирующаяся на Сейшельских островах, при этом фактическим контроллером по-прежнему является компания ELITETEAM.

3. Введение в услуги абузоустойчивого хостинга​

3.1 Краткое введение в услуги абузоустойчивого хостинга​

Абузоустойчивый хостинг — это специализированная услуга хостинга в сфере кибербезопасности, которая обеспечивает высокозащищенную интернет-инфраструктуру, часто используемую преступниками для уклонения от юридического надзора. Услуги абузоустойчивого хостинга позволяют пользователям загружать и размещать практически любой тип контента, включая, помимо прочего, вредоносное ПО, серверы управления и контроля ботнетов (C&C), спам-платформы, нелегальный контент (такой как порнография, азартные игры), а также разжигание ненависти и дезинформацию [4]. Эта услуга в первую очередь предлагается злонамеренным злоумышленникам, стремящимся скрыть свою личность и действия.

Ключевой особенностью услуг абузоустойчивого хостинга является выбор местоположения: эти провайдеры обычно размещают центры обработки данных в странах или регионах с мягким правовым регулированием, таких как Россия, Украина, Молдова, Болгария, Сейшельские Острова и т. д., что позволяет им обходить законы нескольких юрисдикций [4].

Проще говоря: услуги абузоустойчивого хостинга предоставляют «безопасное убежище» для киберпреступников, позволяя им осуществлять незаконную деятельность без отслеживания или подавления в нерегулируемой среде. Даже контент, ограниченный обычными хостинг-провайдерами (контент для взрослых, вредоносное ПО, спам и т. д.), не удаляется поставщиками услуг абузоустойчивого хостинга.

3.2 Характеристики услуг абузоустойчивого хостинга​

В отличие от традиционных хостинг-провайдеров, компании, предоставляющие услуги абузоустойчивого хостинга, обладают рядом уникальных характеристик, которые в основном отражаются в следующих аспектах:

• Политика мягкого контента: большинство обычных хостинговых сервисов строго проверяют типы контента, чтобы предотвратить размещение незаконного или неэтичного контента. Напротив, защищенный хостинг не накладывает таких ограничений и даже допускает загрузку вредоносного ПО, незаконных азартных игр, порнографического контента и т. д.
• Уклонение от правового регулирования: Провайдеры услуг абузоустойчивого хостинга обычно выбирают местоположения в странах или регионах с более свободным регулированием или большим количеством юридических лазеек. Обеспечение соблюдения законов в этих странах слабее, что затрудняет для правоохранительных органов принятие эффективных правовых мер против этих услуг. Таким образом, услуги абузоустойчивого хостинга предлагают относительно безопасное пространство для вредоносной деятельности [5].
• Неудаление контента: Провайдеры абузоустойчивого хостинга обычно не реагируют на запросы об удалении контента и могут даже сотрудничать с пользователями, чтобы противостоять постановлениям суда или правоохранительных органов об удалении, что позволяет осуществлять долгосрочное размещение незаконного контента.

Популярность абузоустойчивого хостинга обусловлена его эффективностью в помощи пользователям обходить интернет-цензуру, особенно в жестко регулируемых средах. Например, некоторые компании абузоустойчивого хостинга, расположенные в России, предоставляют относительно «бесплатное» пространство, помогая транснациональным преступным группировкам в крупномасштабной деятельности, такой как фишинг, распространение вредоносного ПО и атаки программ-вымогателей.

Поставщики услуг абузоустойчивого хостинга обычно взимают более высокую плату, поскольку они предлагают узкоспециализированные возможности маскировки и устойчивости, что делает их цены значительно выше, чем у обычных хостинговых услуг. Однако, несмотря на высокие затраты, абузоустойчивый хостинг продолжает привлекать большое количество злоумышленников, расширяя свое применение далеко за пределы области кибербезопасности [5].

Таблица 1: Услуги абузоустойчивого хостинга по сравнению с обычными услугами хостинга

Это сравнение подчеркивает существенные различия между услугами абузоустойчивого хостинга и обычными услугами хостинга, особенно с точки зрения политики в отношении контента и соблюдения законодательства.

3.3 Вред услуг абузоустойчивого хостинга​

Услуги абузоустойчивого хостинга способствовали распространению киберпреступности в глобальном масштабе. Например, группа APT28 с 2015 года провела более 80 атак, используя услуги абузоустойчивого хостинга для крупномасштабного фишинга, кражи данных и шпионской деятельности против государственных учреждений. Используя услуги абузоустойчивого хостинга, расположенные в России и Нидерландах, они успешно избежали вмешательства правоохранительных органов и продолжили свои атаки [6].

Такое поведение демонстрирует, как услуги абузоустойчивого хостинга могут стать питательной средой для долгосрочных операций преступников, создавая серьезные проблемы для фирм по кибербезопасности и правоохранительных органов. Услуги абузоустойчивого хостинга обеспечивают надежную логистическую поддержку для вредоносных действий, таких как фишинг, программы-вымогатели и шпионаж, позволяя этим действиям осуществляться через границы.

3.4 Резюме​

В этой главе обсуждались характеристики, вред и ключевая роль служб абузоустойчивого хостинга в киберпреступной деятельности. Понимая методы работы этих служб, мы можем ясно увидеть, как они предоставляют убежище киберпреступникам и позволяют вредоносной деятельности продолжаться, избегая правового надзора.

4. Киберпреступная деятельность ELITETEAM​

4.1 Введение​

ELITETEAM — известный поставщик услуг абузоустойчивого хостинга, часто участвующий в глобальной киберпреступной деятельности. Компания известна своей поддержкой вредоносных операций и способностью избегать вмешательства правоохранительных органов. ELITETEAM предлагает своим клиентам услуги хостинга с высокой степенью скрытности и антицензурности, помогая киберпреступникам избегать юридического и нормативного отслеживания. Это поддерживает целый ряд незаконных действий, включая фишинг, распространение вредоносного ПО, атаки программ-вымогателей, хостинг серверов управления и контроля (C&C) и трансграничное мошенничество с криптовалютой.

ELITETEAM была зарегистрирована на Сейшельских островах 13 ноября 2020 года, но фактически контролируется российской организацией, в основном владеющей одной автономной системой (AS): AS51381. Как показано ниже, запрос информации WHOIS AS показывает, что 1337TEAM LIMITED и ELITETEAM могут управляться одним и тем же контроллером, глубоко вовлеченным в глобальную киберпреступную деятельность, особенно в защищенный хостинг, фишинг, распространение вредоносного ПО и мошенничество с криптовалютой, связанное с рынками даркнета.

Рисунок 2: Диаграмма информации WHOIS для AS51381

4.2 Киберпреступность и ее влияние​

（1）Вредоносные IP-адреса и фишинговая деятельность

Дело: IP-адреса, управляемые 1337team Limited (например, 185.215.113.0/24), неоднократно отмечались как вредоносные на VirusTotal и ThreatFox и использовались в крупномасштабных фишинговых атаках под видом инвестиционных и криптовалютных платформ.

Влияние: Согласно исследованию фишинговых сетей Interisle за 2021 год, эта подсеть, насчитывающая всего 256 IP-адресов, заняла 8-е место в мире по вредоносной активности, что подчеркивает ее доминирующую роль в фишинговых атаках. [3]

Рисунок 3: Рейтинги рынка фишинга в 2021 году

（2）Атаки на веб-приложения

Случай: Глобально IP-адреса его хостинговых служб, часто используемые для попыток подбора пароля против WordPress и других веб-сайтов, были рассмотрены исследовательской группой безопасности Cloudflare. Атаки в основном сосредоточены на страницах /wp-login.php и '/xmlrpc.php/xmlrpc.php, пытаясь использовать известные уязвимости для получения доступа и злоупотребления IPDB.

Последствия: Эти атаки нарушили работу малых и средних предприятий и персональных веб-сайтов во многих странах, что привело к утечкам данных и простоям. [7]

（3）Распространение программ-вымогателей и поддержка ботнетов

Случай: Глобальная разведка угроз Trend Micro обнаружила, что ее инфраструктура тесно связана с вредоносным ПО, таким как Quakbot и Emotet. Это в первую очередь программы-вымогатели, используемые для проникновения в корпоративные сети и шифрования данных с целью получения выкупа.

Влияние: В первом квартале 2023 года количество обнаружений вредоносного трафика достигло 200 000 случаев, причем 140 000 случаев были обнаружены только на Сейшельских островах. [8]

（4）Связь с рынками Dark Web

Дело: Его услуги использовались для поддержки криптовалютных мошенничеств на рынке даркнета Hydra, облегчая незаконные транзакции и отмывание денег. Инфраструктура также напрямую связана с печально известными семействами вредоносных программ, такими как Redline Stealer и Agent Tesla.

Воздействие: Такая деятельность усугубляет угрозы мировой финансовой системе, что приводит к многочисленным запросам со стороны Интерпола на проведение расследований в отношении его оперативной сети. [8]

5. Ассоциация анализа данных киберактивов​

5.1 Обзор сегмента сети​

Сетевой сегмент «185.215.113.0/24» расположен в России и принадлежит AS51381. Запрос информации WHOIS для этого сетевого сегмента показывает, что он принадлежит «ELITETEAM» (1337TEAM LIMITED).

Рисунок 4: Диаграмма информации WHOIS для 185.215.113.0/24

Используя платформу Virustotal для проверки вредоносного статуса IP-адресов в этом сегменте сети, было обнаружено, что все 256 IP-адресов являются вредоносными. Если мы используем процент вредоносных IP-адресов, выявленных Virustotal в сегменте сети, в качестве стандарта для определения абузоустойчивых сетей хостинга, этот результат должен быть весьма показательным.

С помощью платформы ThreatFox было обнаружено, что в 2024 году несколько IP-адресов в этом сегменте сети были помечены такими IOC, как «Amadey» и «RedLine», как показано ниже.

Рисунок 5: Схема маркировки платформы ThreatFox

Используя следующий синтаксис поиска на платформе ZoomEye для запроса данных сопоставления активов для этого сегмента сети, было получено 1737 записей сопоставления, включающих 229 IP-адресов. Подробный анализ этих записей сопоставления представлен ниже.

cidr=="185.215.113.0/24"

5.2 Открытые порты​

Наблюдая за распределением портов в данных картографирования этого сегмента сети, можно выделить основные типы портов: порты удаленного входа (22/3389), веб-порты (80/443), порты FTP (21), порты службы электронной почты (25/465/587/143/993/110/995) и порты C2 (7766).

На основе данных картографирования этого сегмента сети за 2024 год было обнаружено, что на 10 IP-адресах открыты порты служб электронной почты (25/465/587/143/993/110/995), что позволяет предположить, что эти 10 IP-адресов используются для рассылки спама по электронной почте.

Для остальных IP-адресов среди открытых портов уникальной значимости не обнаружено.

5.3 Значения субъектов SSL-сертификата​

С помощью функции агрегированного анализа ZoomEye значения субъекта SSL-сертификата в данных сопоставления этого сегмента сети были статистически проанализированы, как показано на следующем рисунке:

Рисунок 6: Диаграмма совокупной статистики ZoomEye

При индивидуальном поиске данных об активах, соответствующих этим значениям субъекта, были выявлены три сценария:

1. Общие значения субъекта, используемые многими объектами интеллектуальной собственности в Интернете.
2. Уникальные значения субъекта, используемые только активами IP в этом сегменте сети.
3. Уникальные значения субъекта, используемые несколькими другими активами ИС, помимо тех, что находятся в этом сегменте сети.

Большинство значений Subject относятся к первым двум сценариям, и только одно значение Subject относится к третьему сценарию: «api.garageserviceoperation.com». Значение Subject сертификата SSL «api.garageserviceoperation.com», вероятно, контролируется и используется той же хакерской группой, которая контролирует соответствующие активы IP в этом сегменте сети. (Примечание: результаты запроса платформы Virustotal указывают на то, что garageserviceoperation.com является вредоносным доменом)

Мы искали другие активы IP сегмента сети с SSL-сертификатом со значением субъекта «api.garageserviceoperation.com», используя следующий синтаксис запроса, и нашли в общей сложности 2 записи, соответствующие IP-адресам «185.208.158.114» и «185.208.158.115». Эти два IP-адреса будут проанализированы в последующих главах.

ssl.cert.subject.cn="api.garageserviceoperation.com" && cidr!="185.215.113.0/24"

5.4 Отпечатки SSL-сертификатов​

Используя функцию совокупного анализа ZoomEye, отпечатки сертификатов SSL в данных сопоставления этого сегмента сети были статистически проанализированы, как показано на следующем рисунке:

Рисунок 7: Диаграмма совокупной статистики ZoomEye

При индивидуальном поиске данных об активах, соответствующих этим отпечаткам сертификатов SSL, только первое значение отпечатка «C416E381FAF98A7E6D5B5EC34F1774B728924BD8» оказалось уникальным и использовалось другими IP-адресами сегментов сети.

Мы искали другие активы IP сегмента сети с отпечатком сертификата SSL «C416E381FAF98A7E6D5B5EC34F1774B728924BD8», используя следующий синтаксис запроса, найдя в общей сложности 2 записи, соответствующие IP-адресам «185.208.158.114» и «185.208.158.115», что согласуется с двумя IP-адресами, определенными в предыдущем разделе. Эти два IP-адреса будут проанализированы в последующих главах.

ssl.cert.fingerprint=="C416E381FAF98A7E6D5B5EC34F1774B728924BD8" && cidr!="185.215.113.0/24"

5.5 Значения JARM​

Используя функцию агрегированного анализа ZoomEye, значения JARM в данных картографирования этого сегмента сети были статистически проанализированы. При индивидуальном поиске данных активов, соответствующих этим значениям JARM, все они оказались общими значениями JARM.

5.6 Уникальный HTTP-контент​

С помощью функции анализа агрегации ZoomEye было обнаружено, что в данных отображения этого сегмента сети имеется весьма уникальный HTTP-контент. Заголовок HTTP содержит только поля Server/Date/Content-Type/Connection, при этом поле Server — это «nginx/1.18.0 (Ubuntu)», а поле Connection — это либо «keep-alive», либо «close»; содержимое тела HTTP состоит исключительно из строки «none».

Рисунок 8. Схематическая диаграмма поиска ZoomEye

Мы использовали следующий поисковый запрос для поиска активов со схожими характеристиками и подтвердили их один за другим, получив три IP-адреса с идентичными характеристиками: «77.91.68.21», «147.45.47.102» и «109.107.182.45».

http.header.status_code==200 && http.header="HTTP/1.1 200 OK Server: nginx/1.18.0 (Ubuntu) Date: " && (http.header="GMT Content-Type: text/html; charset=UTF-8 Connection: close" || http.header="GMT Content-Type: text/html; charset=UTF-8 Connection: keep-alive") && "none" && cidr!="185.215.113.0/24"

5.7 Расширение ассоциации сегмента сети​

В предыдущих разделах на основе характеристик отпечатков SSL-сертификатов и значений субъекта мы связали и расширили, чтобы получить два IP-адреса «185.208.158.114» и «185.208.158.115»; на основе сильной уникальности функций HTTP-контента мы связали и расширили, чтобы получить три IP-адреса «77.91.68.21», «147.45.47.102» и «109.107.182.45»; эти пять IP-адресов предположительно связаны с защищенной хостинговой сетью ELITETEAM «185.215.113.0/24».

Затем мы изучили информацию AS сегментов сети, в которых находятся эти пять связанных IP-адресов расширения, и запросили статус вредоносной маркировки этих IP-адресов сегментов сети на платформе Virustotal, как показано в таблице ниже.

Таблица 2. Информация о AS и вредоносная маркировка VT, связанная с соответствующим сетевым сегментом

Поскольку AS198178, AS215789 и AS216024 не связаны с AS исходного сегмента сети, мы считаем, что вероятность того, что эти три сети являются защищенными хостинговыми сетями, низкая.

На основании следующих причин мы полагаем, что сетевой сегмент «185.208.158.0/24» предположительно является абузоустойчивой хостинговой сетью:

• AS-организация сегмента сети расположена на Сейшельских островах, как и исходный сегмент сети.
• На основе отношений импорта и экспорта маршрута AS сегментов сети этот сегмент сети имеет связь с исходным сегментом сети.
• Два IP-адреса в этом сегменте сети, а также шесть IP-адресов из исходного сегмента сети совместно используют SSL-сертификаты с одинаковым отпечатком; эти восемь времен сопоставления IP-активов приходятся на период с 10 сентября 2024 года по 7 ноября 2024 года, что указывает на то, что в этот период эти восемь IP-адресов, вероятно, контролировались одной и той же хакерской группой.
• Используя платформу Virustotal для запроса вредоносного статуса IP-адресов этого сегмента сети, было обнаружено, что из 256 IP-адресов в сегменте сети 95 были отмечены как вредоносные.

6. Заключение​

На основе IP-адресов Redline C2, опубликованных в твите исследователем по кибербезопасности «Fox_threatintel», мы обнаружили, что три из этих IP-адресов расположены в защищенной хостинговой сети.

Следуя этой подсказке, мы сначала кратко представили услуги абузоустойчивого хостинга, описав поставщика услуг абузоустойчивого хостинга ELITETEAM и деятельность сетевых преступников в сегменте сети «185.215.113.0/24».

Затем, используя поисковую систему киберпространства ZoomEye, мы проанализировали данные сопоставления активов сегмента сети «185.215.113.0/24» и через открытые порты, значения субъектов сертификата SSL, отпечатки пальцев сертификата SSL, значения JARM и отличительный контент HTTP, связанные и расширенные, чтобы идентифицировать сегмент сети «185.208.158.0/24» как предполагаемую защищенную хостинговую сеть:

• AS-организация этого сегмента сети расположена на Сейшельских островах, как и исходный сегмент сети.
• На основе импортно-экспортных отношений маршрута AS этого сегмента сети он ассоциируется с исходным сегментом сети.
• Два IP-адреса в этом сегменте сети, а также шесть IP-адресов из исходного сегмента сети совместно используют SSL-сертификаты с одинаковым отпечатком; эти восемь времен сопоставления IP-активов приходятся на период с 10 сентября 2024 года по 7 ноября 2024 года, что указывает на то, что в этот период эти восемь IP-адресов, вероятно, контролировались одной и той же хакерской группой.
• Используя платформу Virustotal для запроса вредоносного статуса IP-адресов этого сегмента сети, было обнаружено, что из 256 IP-адресов в сегменте сети 95 были отмечены как вредоносные.

7. Ссылки на источники​

[1] Поисковая система киберпространства ZoomEye
https://www.zoomeye.hk/v2/
[2] Справочный твит
https://x.com/banthisguy9349/status/1850953224150192479
[3] Обзор поставщика услуг Абузоустойчивого Хостинга ELITETEAM
https://www.team-cyru.com/post/seychelles-seychelles-on-the-c-2-shore
[4] Википедия для Абузоустойчивого Хостинга
https://en.wikipedia.org/wiki/Bulletproof_hosting
[5] Введение в Абузоустойчивый Хостинг
https://www.sentinelone.com/cybersecurity-101/threat-intelligence/bulletproof-hosting/
[6] Возрождение Абузоустойчивого Хостинга
https://krebsonsecurity.com/2016/08/the-reincarnation-of-a-bulletproof-hoster/
[7] Навигация по лабиринту Magecart
https://blog.cloudflare.com/navigating-the-maze-of-magecart/
[8] Международное сотрудничество полиции + Trend Micro борется с африканскими сетями киберпреступности
https://www.trendmicro.com/research/us/h3/2023/research-h3/african-cybercrime-networks.html

Источник