Специалисты из Knownsec 404 обнаружили обширную сеть хостинг-провайдера ELITETEAM, который предоставляет инфраструктуру для киберпреступников. Эти услуги дают злоумышленникам возможность избегать правового контроля и поддерживать работу вредоносных программ, фальшивых сайтов, рассылки спама и других противоправных действий.
Эксперты отмечают, что «пуленепробиваемые» хостинги создают значительную угрозу мировой кибербезопасности, поскольку они действуют в условиях слабого правового регулирования и обладают высокой стойкостью к правовым мерам.
По данным отчёта, ELITETEAM была зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Этот провайдер управляет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами, а также инфраструктуры для криптовалютных мошенничеств. Подобные провайдеры намеренно выбирают юрисдикции с ослабленным законодательным регулированием.
По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.
Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.
Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.
Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.
Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.
Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.
Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.
Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.