По данным «Лаборатории Касперского», пожар в европейском центре обработки данных в некоторой степени повлиял на инфраструктуру, используемую несколькими правительственными и криминальными хакерскими группировками.
В среду в результате сильного пожара был уничтожен центр обработки данных и повреждены другие серверные здания, принадлежащие OVHCloud, крупнейшему европейскому поставщику облачных услуг. Пожар затронул нескольких клиентов компании, включая хакерские группы.
По словам Костина Райу, директора группы глобальных исследований и анализа (GReAT) «Лаборатории Касперского», существует 140 серверов OVH, используемых правительственными хакерами и изощренными преступными группировками, которые он и его коллеги отслеживают. Из них 36% сейчас не работают, сказал он в сообщении в Twitter.
Райу сказал, что затронуты несколько правительственных хакерских групп, таких как
- Charming Kitten и APT39, которые, как считается, связаны с Ираном;
- Бахамут, группа хакеров по найму из Индии;
- OceanLotus, группа вьетнамских хакеров, которые недавно использовали поддельные новостные веб-сайты для взлома своих целей.
Хакерские группы часто используют коммерческих хостинг-провайдеров, таких как OVHCloud, для размещения своих серверов управления и контроля, также называемых C&C или C2 на жаргоне кибербезопасности. Это серверы, которые хакеры используют для управления своими вредоносными программами или для отправки украденных данных от жертв. Тот факт, что пожар на серверной ферме во Франции может повлиять на работу хакерских групп в Иране или Вьетнаме, является хорошим напоминанием о том, что, хотя хакеры работают в сети, они по-прежнему зависят от физического оборудования в реальном мире. Пожар в центре обработки данных OVHCloud также затронул популярную игру про крафтинг и выживание Rust.
В любом случае, Райу сказал Motherboard, что влияние на работу хакеров, вероятно, будет «минимальным».
«Большинство [сложных постоянных угроз] и изощренных преступных группировок используют десятки серверов C2. Очевидно, что никто не размещает все свои C2 в одном месте», - сказал Райу в онлайн-чате. «Группы APT обычно имеют 2-3 C2, настроенных для каждого вредоносного ПО, чтобы снизить такие риски, как отключение или сбои».
Тем не менее, пожар показывает, что объекты, которые мы часто воспринимаем как «кибернетические», имеют вполне реальную физическую инфраструктуру, которая может быть атакована, подвергнута воздействию стихийных бедствий или иным образом испорчена.
Матье Фау, исследователь из компании ESET, занимающейся кибербезопасностью, сказал, что не может подтвердить выводы Райу. Но «очевидно, что [OVHCloud] - это хостер, который регулярно используется многими группами APT».
«Я не удивлюсь, если он отключил некоторые C&C серверы», - сказал Фау в онлайн-чате.
Новость взята с сайта vice.com (Lorenzo Franceschi-Bicchierai) и переведена на русский SuchTime!
#кибербезопасность #информационная безопасность #OVHcloud #хакеры #хостинг