Usluge koje nudi opskurna iranska kompanija poznata kao Cloudzy koriste višestruki hakeri, uključujući grupe kibernetičkog kriminala i ekipe nacionalnih država.
„Iako je Cloudzy osnovan u Sjedinjenim Državama, gotovo sigurno djeluje iz Teherana, Iran – uz moguće kršenje američkih sankcija pod nečijim vodstvom – pod imenom Hassan Nozari”, rekao je Halcyon u novom izvještaju objavljenom u utorak.
Firma za kibernetičku sigurnost sa sjedištem u Teksasu rekla je da kompanija djeluje kao provajder komande i kontrole (C2P), koji napadačima pruža virtuelne privatne servere protokola za udaljenu radnu površinu (RDP) i druge anonimne usluge koje filijale ransomware-a i drugi koriste da izvuku kibernetičkog kriminalca nastojanja.
“C2Ps uživaju rupu u odgovornosti koja ne zahtijeva od njih da osiguraju da se infrastruktura koju pružaju ne koristi za ilegalne operacije”, rekao je Halcyon u izjavi podijeljenoj za The Hacker News.
Poslovni model ransomware-as-a-service (RaaS) je model koji se veoma razvija i obuhvata glavne programere; podružnice, koje izvode napade u zamjenu za rez; i brokeri za početni pristup, koji iskorištavaju poznate ranjivosti ili ukradene kredencijale kako bi stekli uporište i prodali taj pristup filijalama.
Pojava C2P provajdera ukazuje na novi skup hakera koji “svjesno ili nesvjesno” obezbjeđuju infrastrukturu za izvođenje napada.
Neki od ključnih hakera za koje se procjenjuje da koriste Cloudzy uključuju entitete koje sponzorira država iz Kine (APT10), Indije (Sidewinder), Irana (APT33 i APT34), Sjeverne Koreje (Kimsuky, Konni i Lazarus Group), Pakistana (Transparent Tribe), Rusija (APT29 i Turla) i Vijetnam (OceanLotus), kao i entiteti za kibernetički kriminal (Evil Corp i FIN12).
Takođe u mješavini su i dvije podružnice ransomwarea nazvane Ghost Clown i Space Kook koje koriste sojeve BlackBasta i Royal ransomwarea, te kontroverzni izraelski dobavljač špijunskog softvera Candiru.
Sumnja se da se maliciozni hakeri oslanjaju na činjenicu da kupovina VPS usluga od Cloudzy zahtijeva samo ispravnu adresu e-pošte i anonimno plaćanje u kriptovaluti, što ga čini zrelim za zloupotrebu i povećava mogućnost da bi hakeri mogli koristiti oružje za malo poznate firme za gorivo glavni hakovi.
“Ako je vaš VPS server suspendovan zbog zloupotrebe, kao što je zabranjena upotreba: krađa identiteta, neželjena pošta, dečija pornografija, napad na druge ljude, itd.”, stoji u dokumentaciji podrške na Cloudzy-ovoj web stranici. “Postoji kazna od 250 do 1000 dolara ili NEMA NAČINA za ukidanje suspenzije; ovo zavisi od vrste žalbe.”
“Iako su ovi C2P entiteti naizgled legitimne kompanije koje mogu, ali ne moraju znati da se njihove platforme zloupotrebljavaju za kampanje napada, oni ipak predstavljaju ključni stub većeg aparata za napade koji koriste neki od najnaprednijih hakera”, kažu iz kompanije.
Izvor: The Hacker News
