Хакери на ГРУ атакували САЩ, Франция и Украйна от сървъри на български фирми

DCLeaks, Marconleaks и вирусът Not Petya имат един и същи почерк и идват от български IP-адреси. Властите нехаят.
by Атанас Чобанов

Атаките на ГРУ срещу цели в САЩ, Франция, Украйна и Южна Корея са предприети чрез сървъри наети от българска компания, собственост на украинец. Хакерите са се възползвали от възможността да наемат сървърите анонимно и непроследимо. Репортер на Биволъ също успя да наеме такъв сървър като се регистрира с фалшива самоличност и го плати с биткойн. Успяхме да се свържем с украинския собственик, който декларира, че е готов да сътрудничи на евентуално разследване за атаките. Засега обаче никой не го търси, защото българските служби не се интересуват от тези разкрития.

Информацията, че руските хакери са използвали свързани с България сървъри излезе още в средата на ноември 2019 г. в статия на известния американски журналист Анди Грийнбърг за списание Wired. Специалисти от фирмата за киберсигурност FireEye са идентифицирали IP-адресите използвани при фишинг-атаките срещу американската Демократическа партия (DCLeaks), партията на Макрон (Макронлийкс), Олимпийските игри в Сеул, украинското електроразпределение и вирусът NotPetya, нанесъл щети за 6 милиарда долара.

Навсякъде експертите са открили почерка на хакерската група на ГРУ известна като “Пясъчен червей” от поделение 74455 на ГРУ. То е идентифицирано в разследването на прокурора Мълър за руското вмешателство в американските избори през 2016 г. 12 руски офицери от военното разузнаване, бяха обвинени от Мълър за проникването в сървърите на Демократическата партия и източването на кореспонденция, впоследствие публикувана с цел да се повлияе на изборите.

Списъкът с IP адреси използвани от хакерите на ГРУ е установен от Майк Матонис от компанията FireEye. Източник: Wired

Биволъ проучи IP-адресите установени от FireEye при различните атаки и се оказа, че четири от тях водят към сървъри хоствани от българската фирма ХЗ Хостинг ЕООД185.80.53.22, 5.149.248.67, 5.149.249.1725.149.254.114,  която е регистрирана в Пловдив.

Фантомна фирма, купена през посолството ни в Киев

ХЗ Хостинг ЕООД е правната форма на хостинг провайдъра HostZealot, предлагащ интернет сървъри под наем.  Наш репортер посети адреса на фирмата в Пловдив на ул. Любен Каравелов 2 етаж 3 офис 5, където намери единствено офиса на адв. Александър Филев и на счетоводна кантора.

Хостинг фирмата се оказа фантом.

Фирмата съществува в правния мир от 2015 г., когато е регистрирана от пловдивския адвокат Филев под името “Глобал Индустриал Компани” със собственик и управител Вилко Любенов Дамянов.

Проучване на това лице показва, че то се явява номинален собственик в няколко подобни фирми, регистрирани на адрес  Сан Стефано 23 А в София или Любен Каравелов 2 в Пловдив. Общото между тях е, че впоследствие са продадени на чужденци.

Същото се случва и с “Глобал Индустриал Компани” само месец след като е създадена. Като собственик във фирмата влиза Данило Ерьомка от Украйна, представляван от адв. Филев с пълномощно, издадено от посолството ни в Киев.

Адвокат Александър Филев прехвърля фирмата на Еремка с пълномощно, издадено в Киев.

На практика Ерьомка не е стъпвал в България, за да придобие и завърти бизнеса с фирмата. Счетоводството се извършва от пловдивската кантора “Кепитъл 2011”,  където също не са му виждали очите, установи нашия репортер. Цялото обслужване на ХЗ Хостинг се извършва дистанционно по имейл.

Да наемеш сървър анонимно

Дейността на ХЗ Хостинг ЕООД  обаче е реална. Фирмата генерира обороти и обявява нетни приходи от продажби 1,3 милиона лева за 2018 г. според последния годишен финансов отчет. На сайта hostzealot.com може да се поръча сървър и да се плати с някоя от популярните криптовалути, без да се остави следа, отвеждаща до клиента.

Репортери на Биволъ извършиха проверка, като регистрираха анонимен имейл адрес в tutanota.com, достъпвайки го през VPN, за да се маскира оригиналния IP-адрес. След това с този имейл адрес и фалшива самоличност на Ivan Ivanov от САЩ поръчаха сървър в сайта hostzealot.com и го заплатиха с биткойн.

Биволъ нае сървър от hostzealot.com с фалшива непроследима самоличност и плащане с криптовалута.

Фактурата за сървъра платен с биткойни е издадена от българската фирма и съответно трябва да бъде осчетоводена от нея. Но клиентът реално може да е фалшив и няма начин да се стигне до него.

Целият процес по регистрацията и плащането на сървъра мина гладко и от няколко дни на въпросната машина има  linux инсталация с уеб сървър, показващ текста “Този сървър е купен анонимно и платен с биткойн за нуждите на журналистическо разследване на Bivol.bg”.

Това доказва, че всеки, включително и руски хакер от ГРУ, може за минути да си купи от България интернет ресурс без да оставя следи, след което да атакува чрез него набелязаната цел.

Ерьомка ще съдейства на органите ако го потърсят

С помощ от украински колеги от YouControl, Биволъ намери подробна информация за собственика на ХЗ Хостинг и hostzalot.com. Украинският гражданин Данило Ерьомка се оказа реален човек, живеещ в Харков.

Данило Еремка. Снимка от профила му в LinkedIn https://www.linkedin.com/in/dan-ieromka-42171425/

Ерьомка (изписва се ЄРЬОМКА) е IT-специалист, който обаче не развива бизнес в родната си Украйна. Там се появява единствено като основател на местния футболен клуб “Тесла”. През 2012 той започва бизнес за предоставяне на интернет услуги с фирмата Fortunix Networks L.P., регистрирана във Великобритания. От името на тази фирма купува домейна hostzealot.com в края на 2012 г.

Fortunix Networx L.P. не просъществува дълго във Великобритания, но името ѝ все още е асоциирано с IP-адресите, преминали в собственост на ХЗ Хостинг.

Биволъ се свърза с Даниел Ерьомка, който разясни, че е преместил бизнеса си в България, защото не искал да използва офшорна регистрация. Освен това имал трудности да отвори банкова сметка във Великобритания с Fortunix Networx L.P.

Ерьомка започва бизнеса на HostZealot от името на британска фирма през 2012 г.

Попитан за коментар относно факта, че продаваните от него сървъри са предпочитани от руските хакери, Ерьомка заяви, че фирмата му не следи какво правят клиентите. Но е готов да окаже съдействие ако бъде потърсен по официален ред от властите.

Съдействието обаче може да се окаже безполезно заради анонимността в целия процес на наемане и плащане на сървърите. Данило Ерьомка коментира, че фирмата му прави оценки на риска, но не е възможно да бъдат засечени всички рискови клиенти. Той призна, че пазаруването на сървъри с криптовалути е особено проблемно и обеща програмистите му да въведат допълнителни контроли за идентификация на клиентите.

От Бангладеш до Ямбол

Българската следа в действията на руските държавни хакери обаче не се изчерпва с пловдивската фирма ХЗ Хостинг.  Още два IP – адреса използвани от тях – 130.185.250.77 и 130.185.250.171, принадлежат на BeeHosted – Internet Services & Hosting Provider от Бангладеш, но според сайта IPINFO.io се локализират в… Ямбол.

Друга услуга за локализация на IP-адреси свързва тези адреси с българската фирма Lir.bg. Експерти, до които Биволъ се допита коментираха, че вероятно става дума за стара регистрация на цялата мрежа с адреси, която в момента се свързва с холандската фирма Global Layer BV, посочена и в изследването на FireEye.

Адресът 130.185.250.171 е засечен и от специалистите по киберсигурност от ESET в проучване за вируса NotPetya, атакувал Украйна. На него е регистриран домейнът transfinance.com[.]ua, използван за разпространение на вируса, както и командно-контролна програма на Tor сървър с име severalwdadwajunior.

Дори тази връзка с България да е случайна, тя все пак заслужава подробно проучване и от българските служби, тъй като е обезпокоително страната ни да се използва като платформа за глобални дестабилизиращи операции на руското разузнаване.

Биволъ се обърна с въпроси към ДАНС и правителствената пресслужба относно разкритията, че свръзани с България ресурси са използвани за атаките на ГРУ, но не получи отговор. Източник от МВР, занимаващ се с киберсигурност сподели, че проучвания за конкретните IP-адреси, разкрити от експертите, до момента не са правени.

По темата работиха Атанас Чобанов и Димитър Стоянов

***

Приятели, радваме се, че стигнахте дотук. Dear Friends, glad to see you finished reading the article.

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find this article usefull, you can support our efforts to keep doing independent investigative reporting.

Платете Данъкъ Биволъ! / Pay Bivol Tax!

Въведете сума по избор и номера на Вашата кредитна или дебитна карта. Изберете дали да ни подкрепите еднократно или всеки месец:

Подкрепа за Биволъ

Support Bivol
Or enter your payment details below

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Ако използвате Apple Pay или G-Pay и виждате съответния бутон, можете да кликнете директно на него, без да въвеждате номер на картата. Bivol is not keeping track of your card number. We relay on Stripe for card, Apple Pay and G-Pay processing.

Можете също да се включите с ЕДНОКРАТЕН ДАНЪК през PayPal или Epay/банков превод или със СМС, или да станете един от нашите редовни, МЕСЕЧНИ ДАНЪКОПЛАТЦИ Научете повече за Данъкъ Биволъ тук.

You can also support us with ONE TIME TAX through PayPal, or become one of our regular, MONTHLY TAXPAYERS .

This post is also available in: English Russian French

Вижте също / Read Also