ХАКЕРИ НА ГРУ АТАКУВАЛИ САЩ, ФРАНЦИЯ И УКРАЙНА ОТ СЪРВЪРИ НА БЪЛГАРСКИ ФИРМИ

DCLeaks, Marconleaks и вирусът Not Petya имат един и същи почерк и идват от български IP-адреси. Властите нехаят. Атанас Чобанов януари 14, 2020





https://bivol.bg/gru-bulgaria-cyberattacks.html?fbclid=IwAR2AHbyccUbpEe36DSVH-Lg1T9pWdYiZE-CERQ2TyhwO0o9Yszdby54fRsI

Атаките на ГРУ срещу цели в САЩ, Франция, Украйна и Южна Корея са предприети чрез сървъри наети от българска компания, собственост на украинец. Хакерите са се възползвали от възможността да наемат сървърите анонимно и непроследимо. Репортер на Биволъ също успя да наеме такъв сървър като се регистрира с фалшива самоличност и го плати с биткойн. Успяхме да се свържем с украинския собственик, който декларира, че е готов да сътрудничи на евентуално разследване за атаките. Засега обаче никой не го търси, защото българските служби не се интересуват от тези разкрития.

Информацията, че руските хакери са използвали свързани с България сървъри излезе още в средата на ноември 2019 г. в статия на известния американски журналист Анди Грийнбърг за списание Wired. Специалисти от фирмата за киберсигурност FireEye са идентифицирали IP-адресите използвани при фишинг-атаките срещу американската Демократическа партия (DCLeaks), партията на Макрон (Макронлийкс), Олимпийските игри в Сеул, украинското електроразпределение и вирусът NotPetya, нанесъл щети за 6 милиарда долара.

Навсякъде експертите са открили почерка на хакерската група на ГРУ известна като “Пясъчен червей” от поделение 74455 на ГРУ. То е идентифицирано в разследването на прокурора Мълър за руското вмешателство в американските избори през 2016 г. 12 руски офицери от военното разузнаване, бяха обвинени от Мълър за проникването в сървърите на Демократическата партия и източването на кореспонденция, впоследствие публикувана с цел да се повлияе на изборите.

Списъкът с IP адреси използвани от хакерите на ГРУ е установен от Майк Матонис от компанията FireEye. Източник: Wired

Биволъ проучи IP-адресите установени от FireEye при различните атаки и се оказа, че четири от тях водят към сървъри хоствани от българската фирма ХЗ Хостинг ЕООД – 185.80.53.22, 5.149.248.67, 5.149.249.172,  5.149.254.114,  която е регистрирана в Пловдив.

Фантомна фирма, купена през посолството ни в Киев

ХЗ Хостинг ЕООД е правната форма на хостинг провайдъра HostZealot, предлагащ интернет сървъри под наем.  Наш репортер посети адреса на фирмата в Пловдив на ул. Любен Каравелов 2 етаж 3 офис 5, където намери единствено офиса на адв. Александър Филев и на счетоводна кантора.

Хостинг фирмата се оказа фантом.

Фирмата съществува в правния мир от 2015 г., когато е регистрирана от пловдивския адвокат Филев под името “Глобал Индустриал Компани” със собственик и управител Вилко Любенов Дамянов.

Проучване на това лице показва, че то се явява номинален собственик в няколко подобни фирми, регистрирани на адрес  Сан Стефано 23 А в София или Любен Каравелов 2 в Пловдив. Общото между тях е, че впоследствие са продадени на чужденци.

Същото се случва и с “Глобал Индустриал Компани” само месец след като е създадена. Като собственик във фирмата влиза Данило Ерьомка от Украйна, представляван от адв. Филев с пълномощно, издадено от посолството ни в Киев.

Адвокат Александър Филев прехвърля фирмата на Еремка с пълномощно, издадено в Киев.

На практика Ерьомка не е стъпвал в България, за да придобие и завърти бизнеса с фирмата. Счетоводството се извършва от пловдивската кантора “Кепитъл 2011”,  където също не са му виждали очите, установи нашия репортер. Цялото обслужване на ХЗ Хостинг се извършва дистанционно по имейл.

Да наемеш сървър анонимно

Дейността на ХЗ Хостинг ЕООД  обаче е реална. Фирмата генерира обороти и обявява нетни приходи от продажби 1,3 милиона лева за 2018 г. според последния годишен финансов отчет. На сайта hostzealot.com може да се поръча сървър и да се плати с някоя от популярните криптовалути, без да се остави следа, отвеждаща до клиента.

Репортери на Биволъ извършиха проверка, като регистрираха анонимен имейл адрес в tutanota.com, достъпвайки го през VPN, за да се маскира оригиналния IP-адрес. След това с този имейл адрес и фалшива самоличност на Ivan Ivanov от САЩ поръчаха сървър в сайта hostzealot.com и го заплатиха с биткойн.

Биволъ нае сървър от hostzealot.com с фалшива непроследима самоличност и плащане с криптовалута.

Фактурата за сървъра платен с биткойни е издадена от българската фирма и съответно трябва да бъде осчетоводена от нея. Но клиентът реално може да е фалшив и няма начин да се стигне до него.

Целият процес по регистрацията и плащането на сървъра мина гладко и от няколко дни на въпросната машина има  linux инсталация с уеб сървър, показващ текста “Този сървър е купен анонимно и платен с биткойн за нуждите на журналистическо разследване на Bivol.bg”.

Това доказва, че всеки, включително и руски хакер от ГРУ, може за минути да си купи от България интернет ресурс без да оставя следи, след което да атакува чрез него набелязаната цел.

Ерьомка ще съдейства на органите ако го потърсят

С помощ от украински колеги от YouControl, Биволъ намери подробна информация за собственика на ХЗ Хостинг и hostzalot.com. Украинският гражданин Данило Ерьомка се оказа реален човек, живеещ в Харков.

Данило Еремка. Снимка от профила му в LinkedIn https://www.linkedin.com/in/dan-ieromka-42171425/

Ерьомка (изписва се ЄРЬОМКА) е IT-специалист, който обаче не развива бизнес в родната си Украйна. Там се появява единствено като основател на местния футболен клуб “Тесла”. През 2012 той започва бизнес за предоставяне на интернет услуги с фирмата Fortunix Networks L.P., регистрирана във Великобритания. От името на тази фирма купува домейна hostzealot.com в края на 2012 г.

Fortunix Networx L.P. не просъществува дълго във Великобритания, но името ѝ все още е асоциирано с IP-адресите, преминали в собственост на ХЗ Хостинг.

Биволъ се свърза с Даниел Ерьомка, който разясни, че е преместил бизнеса си в България, защото не искал да използва офшорна регистрация. Освен това имал трудности да отвори банкова сметка във Великобритания с Fortunix Networx L.P.

Ерьомка започва бизнеса на HostZealot от името на британска фирма през 2012 г.

Попитан за коментар относно факта, че продаваните от него сървъри са предпочитани от руските хакери, Ерьомка заяви, че фирмата му не следи какво правят клиентите. Но е готов да окаже съдействие ако бъде потърсен по официален ред от властите.

Съдействието обаче може да се окаже безполезно заради анонимността в целия процес на наемане и плащане на сървърите. Данило Ерьомка коментира, че фирмата му прави оценки на риска, но не е възможно да бъдат засечени всички рискови клиенти. Той призна, че пазаруването на сървъри с криптовалути е особено проблемно и обеща програмистите му да въведат допълнителни контроли за идентификация на клиентите.

От Бангладеш до Ямбол

Българската следа в действията на руските държавни хакери обаче не се изчерпва с пловдивската фирма ХЗ Хостинг.  Още два IP – адреса използвани от тях – 130.185.250.77 и 130.185.250.171, принадлежат на BeeHosted – Internet Services & Hosting Provider от Бангладеш, но според сайта IPINFO.io се локализират в… Ямбол.

Друга услуга за локализация на IP-адреси свързва тези адреси с българската фирма Lir.bg. Експерти, до които Биволъ се допита коментираха, че вероятно става дума за стара регистрация на цялата мрежа с адреси, която в момента се свързва с холандската фирма Global Layer BV, посочена и в изследването на FireEye.

Адресът 130.185.250.171 е засечен и от специалистите по киберсигурност от ESET в проучване за вируса NotPetya, атакувал Украйна. На него е регистриран домейнът transfinance.com[.]ua, използван за разпространение на вируса, както и командно-контролна програма на Tor сървър с име severalwdadwajunior.

Дори тази връзка с България да е случайна, тя все пак заслужава подробно проучване и от българските служби, тъй като е обезпокоително страната ни да се използва като платформа за глобални дестабилизиращи операции на руското разузнаване.

Биволъ се обърна с въпроси към ДАНС и правителствената пресслужба относно разкритията, че свръзани с България ресурси са използвани за атаките на ГРУ, но не получи отговор. Източник от МВР, занимаващ се с киберсигурност сподели, че проучвания за конкретните IP-адреси, разкрити от експертите, до момента не са правени.

По темата работиха Атанас Чобанов и Димитър Стоянов