Наши сервера и хакерская атака на демократов США: продолжение истории

Наши сервера и хакерская атака на демократов США: продолжение истории
В прошлом году в Сети много говорили о том, что сервера Демократической партии США были атакованы хакерами, оставившими «русский след». Напомним, что атака была вполне успешной, в результате чего хакеры получили гигабайты данных, имеющих отношение к политической деятельности ряда известных людей. Это личная переписка, документы партии и все прочее. Джеймс Клэппер, директор национальной разведки США, заявил, что за этой атакой стоят хакеры, работающие в интересах таких государств, как Россия и Китай.

Как оказалось, «русский след» был обнаружен только потому, что хакеры для работы воспользовались ^[1] нашими серверами (расположенными, кстати, в Нидерландах). Ну а поскольку мы российская компания, то и хакеры стали российскими. В этом месяце к нам обратились представители Forbes с просьбой рассказать о том, что в действительности произошло. Кстати, до этого интервью у Владимира Фоменко, руководителя King-Servers, брали журналисты ^[2] New York Times. Некоторые детали интервью, уверены, будут интересны Хабру.

Изначально журналисты Forbes поинтересовались ^[3], что мы думаем о ситуации, озвученной ФБР. Тогда представители Бюро заявили ^[4], что шесть из восьми IP-адресов, используемых злоумышленниками, принадлежали нашим серверам. После того, как о «русском следе» стало известно, к нам приехал журналист NYT Эндрю Крамер, который детально обо всем расспросил. Ему была предоставлена вся информация по делу, в целом, интервью было конструктивным.

Но когда статья была готова и опубликована, оказалось, что Крамер обратил слова Владимира Фоменко против него самого. В статье, в частности, говорилось, что руководитель King Servers связан со злоумышленниками, и вообще оказался едва ли не вдохновителем всех российских киберпреступников. Понятно, что изданию нужны просмотры материала, но получилось как-то совсем уж некрасиво.

После этого мы решили связаться с организацией ThreatConnect, которая помогает различным организациям избежать различных киберугроз или же определить, кто стоит за той либо иной атакой. Изначально именно специалисты ThreatConnect определили, что хакеры, атаковавшие сервера политической партии в США, использовали сервера King Servers. Ответ от руководства этой компании был получен достаточно быстро. Говорилось в нем следующее: «Исходя из характера деятельности (злоумышленников) и то, что ваши ресурсы были использованы неидентифицированными преступниками, мы предлагаем предоставить всю информацию властям России и США, с тем, чтобы мы могли начать конструктивный и прозрачный диалог. Что касается статьи в New York Times, то термин „информационное звено“ — слова автора, а не наши. Мы предлагаем вам связаться с автором для урегулирования проблемы. Что касается нашего опубликованного исследования, то мы просто определили, что IP-адреса, с которых осуществлялась атака, зарегистрированы на вас и вашу компанию. Пожалуйста, дайте нам знать, если мы можем еще чем-то помочь».

В общем-то, все логично, в отличие от статьи NYT. В самом деле, как использование серверов нашей компании может служить доказательством, что за взломом стоят русские хакеры? Хостинг-компания должна работать в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. Ну и да — неужели бы опытные взломщики, которым удалось осуществить удачную атаку на сервера политической партии, не пытались бы замести следы, работая, фактически, напрямую? Кроме того, NYT обращает внимание на «русские серверы» и никак не упоминает два других, которые не связаны с King Servers.

Кстати, журналист Forbes поинтересовался у Владимира Фоменко, что он думает о национальности взломщиков, равно, как и о некоторых других деталях личности хакеров. Ответ был следующим: «Мы не в состоянии узнать их национальность, также мы не в курсе, действительно ли они хакеры, поскольку никто не проводит расследований. Все, что мы знаем, это то, что у взломщиков нет национальности».

Кстати, компания ThreatConnect, которая проводила аналитику относительно источника атаки, заявила, что после изучения ситуации «вопросов больше, чем ответов». Самое интересное то, что ответы никто и не стремится получить. Никто из представителей зарубежных компаний и организаций, которые могли бы быть заинтересованы в реальном расследовании, не запросил ничего, что позволит прояснить ситуацию с источником атаки. Не были запрошены логи, никто не просит поделиться платежной информацией, которую указали злоумышленники при аренде серверов. Ничего.

В общем, так и происходит, когда взлом расследуют не технические специалисты, а журналисты. Хотелось бы надеяться, что в дальнейшем ситуация прояснится — нам самим очень интересно, что произошло в реальности.

В завершении лишь хочется повторить, что King Servers работает исключительно в соответствии с бизнес интересами клиентов и законами тех стран, где осуществляется их деятельность. И так будет всегда. Также хочется процитировать комментарии руководителя King Servers на одном из интервью: «Мы не можем нести ответственность за действия третьих лиц. Это все равно, что обвинить Илона Маска, что Тесла сбила кого-то из демократов…”

P.S.: если кому-то интересно, то так называемый “русский след” использовал выделенные сервера с процессорами Intel серии E3, 8Gb RAM ^[5].

^[6]

Автор: King Servers

Источник ^[7]