شركة أمنية روسية تنفي وجود أي صلة لها ببرنامج Carbanak Trojan

كشف تحقيق في أصول طروادة المالية Carbanak عن صلات مزعومة بشركة روسية للأمن السيبراني.

Carbanak هو فيروس طروادة متطور يستخدم في الحملات ضد البنوك وأنظمة الدفع الإلكتروني والمؤسسات المالية في جميع أنحاء العالم. بمجرد اختراق النظام - عادةً من خلال التصيد الاحتيالي أو ضعف الدفاع عن الشبكة - تنتشر البرامج الضارة ويتتبع وحدات التحكم الإدارية قبل التجسس عليها لالتقاط وتسجيل الموظفين الذين يقومون بالأمور المالية المعاملات.

وبعد تسليحها بهذه المعلومات، تقوم مجموعة التهديد Carbanak بتقليد الموظفين وتحويل الأموال بطريقة احتيالية. بحسب كاسبيرسكي، كان حصان طروادة مسؤولاً عن سرقة ما لا يقل عن مليار دولار في السنوات الأخيرة.

يوم الاثنين، الخبير الأمني ​​بريان كريبس تم الكشف عنها في منشور بالمدونة وقد وجد هذا الباحث رون جيلميت بعض القواسم المشتركة المثيرة للاهتمام بين سجلات تسجيل مواقع الويب للمواقع المعروفة باستضافة البرامج الضارة وشركة أمنية روسية.

المواقع، بما في ذلك السجلات عطلة نهاية الأسبوع-service.com و coral-travel.com، هي مصادر معروفة ومعروفة لعدوى كارباناك. تحتوي جميع سجلات WHOIS على نفس أرقام الهواتف وتفاصيل الفاكس لشركة في الصين. تم تسجيل ما لا يقل عن 484 نطاقًا باستخدام هذه التفاصيل.

ومع ذلك، بعد إجراء المزيد من التحقيقات، أدرك الباحثون أن هناك عددًا قليلاً من النطاقات المسجلة بنفس أرقام الهواتف الصينية ولكنها لا تخدم Carbanak. أحد هذه المجالات، cubehost.bizتم تسجيله باسم أرتيم تفيريتينوف البالغ من العمر 28 عامًا من مدينة بيرم في روسيا في عام 2013.

الموقع خامل، ولكن وفقًا لكريبس، يبدو أنه الملكية الشقيقة لشركة الأمن السيبراني الروسية إنفوكوب (أو "InfoKube")، والمسجلة أيضًا لدى Tveritinov. يدعي موقع Infocube على الويب أن الشركة توفر حلول تكنولوجيا المعلومات والأمن السحابي للشركات، بما في ذلك البرامج وعمليات التدقيق وتصميم مراكز البيانات.

يحتوي أقدم سجل WHOIS للموقع على عنوان بريد إلكتروني تمكن كريبس من ربطه بتفيريتينوف، المسمى الرئيس التنفيذي لشركة "Infocub" في بيان صحفي.

إنفوكيوب صفحة الشراكة ادعى أن لديه شركاء في شخصيات الصناعة بما في ذلك Kaspersky وESET. اعترف الأول بأن Infocube كان "شريكًا صغيرًا جدًا"، بينما أخبرت ESET كريبس أن Infocube لم يكن كذلك من قبل.

تواصل كريبس مع تفيريتينوف بهذه النتائج باستخدام عنوان البريد الإلكتروني المرتبط، كما كانت أثناء التواصل، قام تفيريتينوف بمسح ملفه الشخصي على وسائل التواصل الاجتماعي والذي كان يحتوي على عنوان البريد الإلكتروني ثم تم رفضه أي رابط ل cubehost.biz، وبدلاً من ذلك ادعى أن معلوماته قد سُرقت لتسجيل النطاق.

وقال تفيريتينوف: "شركتنا لم تفعل أي شيء غير قانوني على الإطلاق، وتجري جميع أنشطتها وفقًا لقوانين الاتحاد الروسي". "كما أنه من الغباء جدًا استخدام بياناتنا الشخصية لتسجيل النطاقات لاستخدامها في الجرائم، باعتبارنا متخصصين في مجال أمن المعلومات."

ومع ذلك، يبدو أيضًا أن Infocube تدير عددًا من نطاقات الويب من خلال شركة PIN Ltd.، المعروفة بالتسجيلات البغيضة عبر الإنترنت.

ومن غير المعروف ما إذا كانت مجموعة التهديد Carbanak لا تزال نشطة. الشرطة الروسية الشهر الماضي القبض على 50 شخصا يُزعم أنها مرتبطة بتوزيع فيروس طروادة المالي.