- 26,417
- 46
- 8 Ноя 2022
16 тысяч магазинов и ни одной легальной покупки — так Fibergrid поставила рекорд по плотности жуликов на один сервер.
Почти десять лет один малоизвестный хостинг-провайдер тихо обслуживал мошенников по всему миру. Теперь масштаб стал слишком заметным. Компания Netcraft насчитала 16 700 активных поддельных интернет-магазинов , размещённых в инфраструктуре Fibergrid, – покупателей здесь систематически обманывают.
Fibergrid за годы превратился в так называемый «пуленепробиваемый» хостинг – площадку, где владельцы закрывают глаза на незаконную деятельность клиентов. Такая инфраструктура помогает злоумышленникам не только размещать сайты, но и долго оставаться вне досягаемости правоохранительных органов.
Ключ к масштабам сети – огромный запас IP-адресов. Значительная часть этих адресов связана с громким скандалом 2019 года, который получил название «кража африканских IP». Тогда выяснилось, что ресурсы регионального интернет-регистратора AFRINIC можно было переписать на офшорные компании, манипулируя регистрационными данными. Сейчас Fibergrid контролирует три таких диапазона – это около миллиона IPv4-адресов общей стоимостью до 25 млн долларов.
Формально компания заявляет, что работает с Сейшельских островов, и на этом основании использует африканские ресурсы. Проверка дала иную картину. По задержкам соединений специалисты определили, где примерно находятся серверы, – и почти все точки оказались в Европе и Северной Америке. Больше всего адресов ведут в США, Великобританию и Нидерланды. Следы инфраструктуры нашли даже рядом с крупными дата-центрами международного оператора Equinix в Торонто, Лондоне и Амстердаме.
Такая география даёт важную зацепку: сеть использует африканские ресурсы, но фактически работает в западных странах, где у властей больше возможностей для вмешательства.
Структура бизнеса устроена так, чтобы расследовать её было как можно сложнее. Fibergrid прячется за десятками компаний с разными названиями и наборами автономных систем – это ключевые элементы маршрутизации интернета. Среди них встречаются Orion Network Limited, Angelnet Limited и другие. Часть компаний оформлена в Великобритании, часть – в Эстонии, где регистрацию можно провести удалённо и с минимальными проверками.
Британская система регистрации долгое время позволяла создавать фирмы почти без проверки данных и за символическую плату. Эстония, в свою очередь, предлагает электронное резидентство, через которое можно управлять компанией из любой точки мира. Такая комбинация уже не раз помогала скрывать реальных владельцев бизнеса.
Основная нагрузка всей этой инфраструктуры – фальшивые интернет-магазины. На них приходится около 70% выявленных атак за последний год. Такие сайты копируют известные бренды, заманивают покупателей большими скидками и либо вовсе не отправляют товар, либо присылают подделки, одновременно собирая платёжные данные.
За сутки злоумышленники могут зарегистрировать десятки доменов под разные бренды. В выборке за один день не оказалось ни одного легального сайта, связанного с этой сетью.
Несмотря на устойчивость, у схемы есть слабые места. Сеть зависит от внешних операторов связи, доменных регистраторов и тех же интернет-регистраторов. Давление на этих участников может нарушить работу инфраструктуры. Вредоносные сайты дополнительно блокируют на уровне браузеров, систем доменных имён и антивирусов.
История Fibergrid показывает, как устроен современный криминальный хостинг: распределённая инфраструктура, запутанная сеть компаний и ставка на юрисдикции с мягким контролем. Но каждая такая схема держится на конкретных ресурсах и партнёрах, а значит, при внимательном анализе остаются точки, через которые можно остановить даже крупную сеть.
Почти десять лет один малоизвестный хостинг-провайдер тихо обслуживал мошенников по всему миру. Теперь масштаб стал слишком заметным. Компания Netcraft насчитала 16 700 активных поддельных интернет-магазинов , размещённых в инфраструктуре Fibergrid, – покупателей здесь систематически обманывают.
Fibergrid за годы превратился в так называемый «пуленепробиваемый» хостинг – площадку, где владельцы закрывают глаза на незаконную деятельность клиентов. Такая инфраструктура помогает злоумышленникам не только размещать сайты, но и долго оставаться вне досягаемости правоохранительных органов.
Ключ к масштабам сети – огромный запас IP-адресов. Значительная часть этих адресов связана с громким скандалом 2019 года, который получил название «кража африканских IP». Тогда выяснилось, что ресурсы регионального интернет-регистратора AFRINIC можно было переписать на офшорные компании, манипулируя регистрационными данными. Сейчас Fibergrid контролирует три таких диапазона – это около миллиона IPv4-адресов общей стоимостью до 25 млн долларов.
Формально компания заявляет, что работает с Сейшельских островов, и на этом основании использует африканские ресурсы. Проверка дала иную картину. По задержкам соединений специалисты определили, где примерно находятся серверы, – и почти все точки оказались в Европе и Северной Америке. Больше всего адресов ведут в США, Великобританию и Нидерланды. Следы инфраструктуры нашли даже рядом с крупными дата-центрами международного оператора Equinix в Торонто, Лондоне и Амстердаме.
Такая география даёт важную зацепку: сеть использует африканские ресурсы, но фактически работает в западных странах, где у властей больше возможностей для вмешательства.
Структура бизнеса устроена так, чтобы расследовать её было как можно сложнее. Fibergrid прячется за десятками компаний с разными названиями и наборами автономных систем – это ключевые элементы маршрутизации интернета. Среди них встречаются Orion Network Limited, Angelnet Limited и другие. Часть компаний оформлена в Великобритании, часть – в Эстонии, где регистрацию можно провести удалённо и с минимальными проверками.
Британская система регистрации долгое время позволяла создавать фирмы почти без проверки данных и за символическую плату. Эстония, в свою очередь, предлагает электронное резидентство, через которое можно управлять компанией из любой точки мира. Такая комбинация уже не раз помогала скрывать реальных владельцев бизнеса.
Основная нагрузка всей этой инфраструктуры – фальшивые интернет-магазины. На них приходится около 70% выявленных атак за последний год. Такие сайты копируют известные бренды, заманивают покупателей большими скидками и либо вовсе не отправляют товар, либо присылают подделки, одновременно собирая платёжные данные.
За сутки злоумышленники могут зарегистрировать десятки доменов под разные бренды. В выборке за один день не оказалось ни одного легального сайта, связанного с этой сетью.
Несмотря на устойчивость, у схемы есть слабые места. Сеть зависит от внешних операторов связи, доменных регистраторов и тех же интернет-регистраторов. Давление на этих участников может нарушить работу инфраструктуры. Вредоносные сайты дополнительно блокируют на уровне браузеров, систем доменных имён и антивирусов.
История Fibergrid показывает, как устроен современный криминальный хостинг: распределённая инфраструктура, запутанная сеть компаний и ставка на юрисдикции с мягким контролем. Но каждая такая схема держится на конкретных ресурсах и партнёрах, а значит, при внимательном анализе остаются точки, через которые можно остановить даже крупную сеть.
- Источник новости
- www.securitylab.ru
