Хакери на ГРУ атакували САЩ, Франция и Украйна от сървъри на български фирми

DCLeaks, Marconleaks и вирусът Not Petya имат един и същи почерк и идват от български IP-адреси. Властите нехаят.
Атанас Чобанов

Атаките на ГРУ срещу цели в САЩ, Франция, Украйна и Южна Корея са предприети чрез сървъри наети от българска компания, собственост на украинец. Хакерите са се възползвали от възможността да наемат сървърите анонимно и непроследимо. Репортер на Биволъ също успя да наеме такъв сървър като се регистрира с фалшива самоличност и го плати с биткойн. Успяхме да се свържем с украинския собственик, който декларира, че е готов да сътрудничи на евентуално разследване за атаките. Засега обаче никой не го търси, защото българските служби не се интересуват от тези разкрития.

Информацията, че руските хакери са използвали свързани с България сървъри излезе още в средата на ноември 2019 г. в статия на известния американски журналист Анди Грийнбърг за списание Wired. Специалисти от фирмата за киберсигурност FireEye са идентифицирали IP-адресите използвани при фишинг-атаките срещу американската Демократическа партия (DCLeaks), партията на Макрон (Макронлийкс), Олимпийските игри в Сеул, украинското електроразпределение и вирусът NotPetya, нанесъл щети за 6 милиарда долара.

Навсякъде експертите са открили почерка на хакерската група на ГРУ известна като “Пясъчен червей” от поделение 74455 на ГРУ. То е идентифицирано в разследването на прокурора Мълър за руското вмешателство в американските избори през 2016 г. 12 руски офицери от военното разузнаване, бяха обвинени от Мълър за проникването в сървърите на Демократическата партия и източването на кореспонденция, впоследствие публикувана с цел да се повлияе на изборите.

Списъкът с IP адреси използвани от хакерите на ГРУ е установен от Майк Матонис от компанията FireEye. Източник: Wired

Биволъ проучи IP-адресите установени от FireEye при различните атаки и се оказа, че четири от тях водят към сървъри хоствани от българската фирма ХЗ Хостинг ЕООД185.80.53.22, 5.149.248.67, 5.149.249.1725.149.254.114,  която е регистрирана в Пловдив.

Фантомна фирма, купена през посолството ни в Киев

ХЗ Хостинг ЕООД е правната форма на хостинг провайдъра HostZealot, предлагащ интернет сървъри под наем.  Наш репортер посети адреса на фирмата в Пловдив на ул. Любен Каравелов 2 етаж 3 офис 5, където намери единствено офиса на адв. Александър Филев и на счетоводна кантора.

Хостинг фирмата се оказа фантом.

Фирмата съществува в правния мир от 2015 г., когато е регистрирана от пловдивския адвокат Филев под името “Глобал Индустриал Компани” със собственик и управител Вилко Любенов Дамянов.

Проучване на това лице показва, че то се явява номинален собственик в няколко подобни фирми, регистрирани на адрес  Сан Стефано 23 А в София или Любен Каравелов 2 в Пловдив. Общото между тях е, че впоследствие са продадени на чужденци.

Същото се случва и с “Глобал Индустриал Компани” само месец след като е създадена. Като собственик във фирмата влиза Данило Ерьомка от Украйна, представляван от адв. Филев с пълномощно, издадено от посолството ни в Киев.

Адвокат Александър Филев прехвърля фирмата на Еремка с пълномощно, издадено в Киев.

На практика Ерьомка не е стъпвал в България, за да придобие и завърти бизнеса с фирмата. Счетоводството се извършва от пловдивската кантора “Кепитъл 2011”,  където също не са му виждали очите, установи нашия репортер. Цялото обслужване на ХЗ Хостинг се извършва дистанционно по имейл.

Да наемеш сървър анонимно

Дейността на ХЗ Хостинг ЕООД  обаче е реална. Фирмата генерира обороти и обявява нетни приходи от продажби 1,3 милиона лева за 2018 г. според последния годишен финансов отчет. На сайта hostzealot.com може да се поръча сървър и да се плати с някоя от популярните криптовалути, без да се остави следа, отвеждаща до клиента.

Репортери на Биволъ извършиха проверка, като регистрираха анонимен имейл адрес в tutanota.com, достъпвайки го през VPN, за да се маскира оригиналния IP-адрес. След това с този имейл адрес и фалшива самоличност на Ivan Ivanov от САЩ поръчаха сървър в сайта hostzealot.com и го заплатиха с биткойн.

Биволъ нае сървър от hostzealot.com с фалшива непроследима самоличност и плащане с криптовалута.

Фактурата за сървъра платен с биткойни е издадена от българската фирма и съответно трябва да бъде осчетоводена от нея. Но клиентът реално може да е фалшив и няма начин да се стигне до него.

Целият процес по регистрацията и плащането на сървъра мина гладко и от няколко дни на въпросната машина има  linux инсталация с уеб сървър, показващ текста “Този сървър е купен анонимно и платен с биткойн за нуждите на журналистическо разследване на Bivol.bg”.

Това доказва, че всеки, включително и руски хакер от ГРУ, може за минути да си купи от България интернет ресурс без да оставя следи, след което да атакува чрез него набелязаната цел.

Ерьомка ще съдейства на органите ако го потърсят

С помощ от украински колеги от YouControl, Биволъ намери подробна информация за собственика на ХЗ Хостинг и hostzalot.com. Украинският гражданин Данило Ерьомка се оказа реален човек, живеещ в Харков.

Данило Еремка. Снимка от профила му в LinkedIn https://www.linkedin.com/in/dan-ieromka-42171425/

Ерьомка (изписва се ЄРЬОМКА) е IT-специалист, който обаче не развива бизнес в родната си Украйна. Там се появява единствено като основател на местния футболен клуб “Тесла”. През 2012 той започва бизнес за предоставяне на интернет услуги с фирмата Fortunix Networks L.P., регистрирана във Великобритания. От името на тази фирма купува домейна hostzealot.com в края на 2012 г.

Fortunix Networx L.P. не просъществува дълго във Великобритания, но името ѝ все още е асоциирано с IP-адресите, преминали в собственост на ХЗ Хостинг.

Биволъ се свърза с Даниел Ерьомка, който разясни, че е преместил бизнеса си в България, защото не искал да използва офшорна регистрация. Освен това имал трудности да отвори банкова сметка във Великобритания с Fortunix Networx L.P.

Ерьомка започва бизнеса на HostZealot от името на британска фирма през 2012 г.

Попитан за коментар относно факта, че продаваните от него сървъри са предпочитани от руските хакери, Ерьомка заяви, че фирмата му не следи какво правят клиентите. Но е готов да окаже съдействие ако бъде потърсен по официален ред от властите.

Съдействието обаче може да се окаже безполезно заради анонимността в целия процес на наемане и плащане на сървърите. Данило Ерьомка коментира, че фирмата му прави оценки на риска, но не е възможно да бъдат засечени всички рискови клиенти. Той призна, че пазаруването на сървъри с криптовалути е особено проблемно и обеща програмистите му да въведат допълнителни контроли за идентификация на клиентите.

От Бангладеш до Ямбол

Българската следа в действията на руските държавни хакери обаче не се изчерпва с пловдивската фирма ХЗ Хостинг.  Още два IP – адреса използвани от тях – 130.185.250.77 и 130.185.250.171, принадлежат на BeeHosted – Internet Services & Hosting Provider от Бангладеш, но според сайта IPINFO.io се локализират в… Ямбол.

Друга услуга за локализация на IP-адреси свързва тези адреси с българската фирма Lir.bg. Експерти, до които Биволъ се допита коментираха, че вероятно става дума за стара регистрация на цялата мрежа с адреси, която в момента се свързва с холандската фирма Global Layer BV, посочена и в изследването на FireEye.

Адресът 130.185.250.171 е засечен и от специалистите по киберсигурност от ESET в проучване за вируса NotPetya, атакувал Украйна. На него е регистриран домейнът transfinance.com[.]ua, използван за разпространение на вируса, както и командно-контролна програма на Tor сървър с име severalwdadwajunior.

Дори тази връзка с България да е случайна, тя все пак заслужава подробно проучване и от българските служби, тъй като е обезпокоително страната ни да се използва като платформа за глобални дестабилизиращи операции на руското разузнаване.

Биволъ се обърна с въпроси към ДАНС и правителствената пресслужба относно разкритията, че свръзани с България ресурси са използвани за атаките на ГРУ, но не получи отговор. Източник от МВР, занимаващ се с киберсигурност сподели, че проучвания за конкретните IP-адреси, разкрити от експертите, до момента не са правени.

По темата работиха Атанас Чобанов и Димитър Стоянов

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика.

Включете се с Данъкъ Биволъ!

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ или Годишен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.

Избрахте да дарите 10.00€ Месечно

Възможности за плащане
Информация за Вас

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 10.00€ Месечно

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Избрахте да дарите 10.00€ Годишно

Възможности за плащане
Информация за Вас

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 10.00€ Годишно

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

11,230€ of 100,000€ raised
Възможности за плащане
Информация за Вас

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 5.00€

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Вижте как да подкрепите Биволъ със SMS на кратък номер или с криптовалута тук

.

This post is also available in: English Russian French

Вижте също / Read Also