Наши сервера и хакерская атака на демократов США: продолжение истории.
В прошлом году в Сети много говорили о том, что сервера Демократической партии США были атакованы хакерами, оставившими «русский след». Напомним, что атака была вполне успешной, в результате чего хакеры получили гигабайты данных, имеющих отношение к политической деятельности ряда известных людей. Это личная переписка, документы партии и все прочее. Джеймс Клэппер, директор национальной разведки США, заявил, что за этой атакой стоят хакеры, работающие в интересах таких государств, как Россия и Китай.
Как оказалось, «русский след» был обнаружен только потому, что хакеры для работы воспользовались нашими серверами (расположенными, кстати, в Нидерландах). Ну а поскольку мы российская компания, то и хакеры стали российскими. В этом месяце к нам обратились представители Forbes с просьбой рассказать о том, что в действительности произошло. Кстати, до этого интервью у Владимира Фоменко, руководителя King-Servers, брали журналисты New York Times. Некоторые детали интервью, уверены, будут интересны Хабру.
Изначально журналисты Forbes поинтересовались, что мы думаем о ситуации, озвученной ФБР. Тогда представители Бюро заявили, что шесть из восьми IP-адресов, используемых злоумышленниками, принадлежали нашим серверам. После того, как о «русском следе» стало известно, к нам приехал журналист NYT Эндрю Крамер, который детально обо всем расспросил. Ему была предоставлена вся информация по делу, в целом, интервью было конструктивным.
Но когда статья была готова и опубликована, оказалось, что Крамер обратил слова Владимира Фоменко против него самого. В статье, в частности, говорилось, что руководитель King Servers связан со злоумышленниками, и вообще оказался едва ли не вдохновителем всех российских киберпреступников. Понятно, что изданию нужны просмотры материала, но получилось как-то совсем уж некрасиво.
После этого мы решили связаться с организацией ThreatConnect, которая помогает различным организациям избежать различных киберугроз или же определить, кто стоит за той либо иной атакой. Изначально именно специалисты ThreatConnect определили, что хакеры, атаковавшие сервера политической партии в США, использовали сервера King Servers. Ответ от руководства этой компании был получен достаточно быстро. Говорилось в нем следующее: «Исходя из характера деятельности (злоумышленников) и то, что ваши ресурсы были использованы неидентифицированными преступниками, мы предлагаем предоставить всю информацию властям России и США, с тем, чтобы мы могли начать конструктивный и прозрачный диалог. Что касается статьи в New York Times, то термин „информационное звено“ — слова автора, а не наши. Мы предлагаем вам связаться с автором для урегулирования проблемы. Что касается нашего опубликованного исследования, то мы просто определили, что IP-адреса, с которых осуществлялась атака, зарегистрированы на вас и вашу компанию. Пожалуйста, дайте нам знать, если мы можем еще чем-то помочь».
В общем-то, все логично, в отличие от статьи NYT. В самом деле, как использование серверов нашей компании может служить доказательством, что за взломом стоят русские хакеры? Хостинг-компания должна работать в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. Ну и да — неужели бы опытные взломщики, которым удалось осуществить удачную атаку на сервера политической партии, не пытались бы замести следы, работая, фактически, напрямую? Кроме того, NYT обращает внимание на «русские серверы» и никак не упоминает два других, которые не связаны с King Servers.
Кстати, журналист Forbes поинтересовался у Владимира Фоменко, что он думает о национальности взломщиков, равно, как и о некоторых других деталях личности хакеров. Ответ был следующим: «Мы не в состоянии узнать их национальность, также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований. Все, что мы знаем, это то, что у взломщиков нет национальности».
Кстати, компания ThreatConnect, которая проводила аналитику относительно источника атаки, заявила, что после изучения ситуации «вопросов больше, чем ответов». Самое интересное то, что ответы никто и не стремится получить. Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки. Не были запрошены логи, никто не просит поделиться платежной информацией, которую указали злоумышленники при аренде серверов. Ничего.
В общем, так и происходит, когда взлом расследуют не технические специалисты, а журналисты. Хотелось бы надеяться, что в дальнейшем ситуация прояснится — нам самим очень интересно, что произошло в реальности.
В завершении лишь хочется повторить, что King Servers работает исключительно в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. И так будет всегда. Также хочется процитировать комментарии руководителя King Servers на одном из интервью: «Мы не можем нести ответственность за действия третьих лиц. Это все равно, что обвинить Илона Маска, что Тесла сбила кого-то из демократов…”
P.S.: если кому-то интересно, то так называемый “русский след” использовал выделенные сервера с процессорами Intel серии E3, 8Gb RAM.
Комментарии (26)
mintfoto
03.03.2017 20:16+4Так наоборот, же. Если опубликуют результаты расследования, то сделают себе дополнительно рекламу. Разве нет?
tunelix
03.03.2017 20:43+5Это бесполезно. Скажут что русские выгораживают русских. Нужен независимый исследователь.
Demon_i
03.03.2017 22:06+6Скажет, не скажут… Мне, например, было-бы интересно узнать с каких айпишников использовались эти серверы. С каких айпишников оплачивалась аренда. А так статья ни о чем…
Ну про нас там что-то написали. Доказательств у нас никаких нет, но вы держитесь, А мы хорошие, конечно-же.
TimsTims
04.03.2017 00:00+2+1
Опубликуйте всё что есть, может всем интернетом поищем концы и ниточки.mintfoto
04.03.2017 01:05+4Конструктивное предложение, полностью поддерживаю. Осталось дождаться ответа компании.
mickvav
04.03.2017 20:33Что-то мне подсказывает, что публикация логов может быть потом классифицирована, как раскрытие улик или что-то в этом духе. А если дела не завели — то на хостера могут наехать уже и сами хакеры, ибо нарушение договора.
KingServers
05.03.2017 17:51+2Да, дело в том, что мы коммерческая организация и действуем в интересах бизнеса клиентов и в строгом соответствии с законом, поэтому не можем распространять внутреннюю информацию включая логи, платежные данные клиентов и прочую информацию. Но можем сообщить следующее: даже обладая всей информацией, которой мы располагаем крайне затруднительно определить национальность, так называемых хакеров.
mickvav
06.03.2017 15:50О, а тогда резонный вопрос — а есть ли у вас обязательства (по закону или договору) хранить эту информацию, и если не секрет, то сколько времени вы её храните?
fpir
05.03.2017 22:07+1Открытие логов VPN-серверов -так себе реклама для сервиса VPN-серверов. Сегодня они открыли логи для демократов США, а завтра откроют логи для «демократов» России или коммунистов Китая, даже если их об этом и не просят.
Lsh
04.03.2017 14:54С каких айпишников оплачивалась аренда.
Конечно прямо с домашнего майора Пупкина. Будь там русский IP, это может быть прокси, если не русский, то тоже может быть прокси. Что вам даст знание IP?mickvav
04.03.2017 20:34При известном везении, можно прокоррелировать цепочку proxy по netflow-ным данным.
dkosolobov
04.03.2017 01:26Точно помню, что видел либо на хабре, либо на гиктаймс статью с подробным расследованием этой атаки от какой-то чешской или словакской фирмы, занимающейся ИБ (может avast, но не уверен). Всё обшарил, пытался загуглить разными запросами, но так и не смог найти. Может быть кто-нибудь помнит, как называлась та статья? Хочется вспомнить аргументы «стороны обвинения».
OasisInDesert
04.03.2017 07:50+4Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки.
… также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований ..
Неудивительно, видимо основная цель получение и раскрутка продукта — «русский след».
heathen
04.03.2017 09:19А наши почему тогда сидят тихо, если это не "русский след"? Расследовали бы, на весь мир громко заявили "смотрите, кто!"? Не?
vladoos
04.03.2017 17:04+1Громче это как? Все российские СМИ об этом трубят на весь мир. Но что это даст если 80% всех СМИ в мире принадлежит США…
heathen
05.03.2017 20:34О чём — об этом? Выше сказали: никто к ним не обращался за информацией для расследования, ни с той, ни с нашей стороны.
Я тут не рассматриваю вопрос правдивости статьи в целом, кстати.
equand
04.03.2017 14:55+1Хорошо было бы это на реддит вбросить, дабы просветить "русский хакер — пиу пиу — красные идут" людей.
vladoos
04.03.2017 17:02+3Если следовать этой «логике», то тот факт, что хакеры использовали произведенные в США сервера является неопровержимым доказательством причастности компании интел к хакерам. А так как это американская компания, то национальность преступников доказано является американской. )))
JeriX
05.03.2017 10:03пробовал оформить заказ, ввожу «habrapeople201» в поле «Use promo code» и получаю ответ «Coupon is not valid» :(
может я что-то не так делаю?
stoune
06.03.2017 13:04Из вашего сообщения кажется что все доказательства только ваши IP что не подтверждается репортом.
В репорте https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf кстати ваша компания вообще не упоминается, она как operational infrastructure.
Но руководству следовало б задуматься что в случае поездок в развитые страны ФБР может захотеть поговорить с ним и выдать ордер на выдачу.
habradante
Почему бы тогда вам самим не провести расследование и не огласить результаты?
nightwolf_du
Потому что за это им никто не заплатит. Это не принесет пользы их бизнесу.
А рекламу ребята на этом себе сделают. Почему бы и нет.
teleghost
Акция! Промо-тариф «русский след»*
*выделенные сервера ЦП Intel E3 ОЗУ 8Гб
Только до 20 января 2017г гарантированная полоса пропускания до всех gov-подсетей Дяди Сэма:))
DISCLAIMER: шутка в поддержку black PR авторов
Gemorroj
да они вроде как и провели в меру возможностей.
для дальнейшего расследования, как мне видится, нужны соответствующие разрешения в органах (обращение за логами к провайдерам, например).
vadimr
Может, им жить нравится. Их, в общем-то, как я понял, никто не приглашает влезать в большую политику и делать разоблачения на уровне руководства и спецслужб США.