Η Cloudzy, που υποτίθεται ότι είναι μια αμερικανική εταιρεία, αν και έχει βαθιές ρίζες στο Ιράν, κατηγορείται ότι προσφέρει υπηρεσίες command-and-control σε πάνω από 20 συμμορίες ransomware.
Σύμφωνα με πρόσφατη έρευνα που δημοσίευσε ο προμηθευτής ασφαλείας Halcyon, η Cloudzy αποτελεί πάροχο εντολών και ελέγχου (C2P) για ομάδες advanced persistent threat (APT) που συνδέονται με κυβερνητικούς φορείς στην Κίνα, το Ιράν, τη Βόρεια Κορέα, τη Ρωσία, την Ινδία, το Πακιστάν και το Βιετνάμ.
Δείτε επίσης: Νέα επίθεση Collide+Power επηρεάζει σχεδόν όλες τις CPUs
Δείτε επίσης: Αύξηση των επιθέσεων ransomware σε πόλεις, υγειονομική φροντίδα και εκπαίδευση
Η Halcyon υποστήριξε ότι έως και το 60% της δραστηριότητας της Cloudzy είναι κακόβουλης φύσης, με τον πάροχο υπηρεσιών να αποδέχεται κρυπτονομίσματα για ανώνυμη χρήση των υπηρεσιών του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) και των Εικονικών Ιδιωτικών Διακομιστών (VPS).
Οι ομάδες APT που χρησιμοποιούν τις υπηρεσίες της Cloudzy και σχετίζονται με το Ιράν είναι οι εξής: APT 34 (επίσης γνωστή ως Muddy Water και OilRig), APT 33 (επίσης γνωστή ως Elfin) και η ομάδα Bohrium/RealDoll. Άλλοι πελάτες της Cloudzy είναι ομάδες που συνδέονται με επιθέσεις ransomware σε νοσοκομεία και οργανισμούς υγειονομικής περίθαλψης, καθώς και με ανάπτυξη και διανομή spyware.
Ο Miller, διευθυντής εκτελεστικός και συνιδρυτής της Halcyon, αναφέρει ότι συνήθως υπάρχει πολλή δουλειά KYC (know your customer) που γίνεται από τους πάροχους υπηρεσιών Διαδικτύου, και οι μεγάλοι ISPs θα κάνουν πολλή δουλειά KYC και ανίχνευση απάτης. Το KYC είναι μια σειρά κατευθυντήριων οδηγιών και κανονισμών στις χρηματοοικονομικές υπηρεσίες που απαιτούν από τους επαγγελματίες να επαληθεύουν την ταυτότητα, την καταλληλότητα και τους κινδύνους που συνδέονται με τη διατήρηση επαγγελματικής σχέσης με έναν πελάτη
Σύμφωνα με την έκθεση της Halcyon, ακόμα κι αν η Cloudzy δεν είχε γνώση για τη υψηλή συχνότητα και τον όγκο της κακόβουλης κυκλοφορίας που διέρχονταν μέσω των εκμισθωμένων υποδομών της, προκλήθηκαν σημαντικές ζημιές ως αποτέλεσμα των πολιτικών της.
Κατά την εξέταση των υπαλλήλων της Cloudzy, ο Halcyon κατάφερε να ανιχνεύσει ανθρώπους που είτε εργάζονταν στην Τεχεράνη, είτε φαινόταν ότι ήταν εντελώς φανταστικοί. Αναγνώρισαν οκτώ υπαλλήλους, οι οποίοι όλοι στα κοινωνικά τους προφίλ ανέφεραν ότι είχαν σπουδάσει σε ιρανικά πανεπιστήμια. Υπήρχε επίσης αλληλεπικάλυψη των υπαλλήλων της Cloudzy με ανθρώπους που είχαν τα ίδια ονόματα και εργασιακές λειτουργίες με υπαλλήλους της ιρανικής εταιρείας abrNOC.
Συμπτωματικά ή όχι, τόσο η Cloudzy όσο και η abrNOC ξεκίνησαν να εξυπηρετούν πελάτες το 2008. Και οι δύο εταιρείες πρόσφεραν υπηρεσίες hosting και VPS κατά την έναρξη τους.
Ο Miller αναφέρει ότι ένα ακόμη πρόβλημα εδώ είναι ότι η Cloudzy είναι μια ιρανική εταιρεία που προσποιείται ότι είναι μια νόμιμη αμερικανική επιχείρηση.
Δείτε επίσης: Barbie και Oppenheimer: Η κυκλοφορία των blockbuster οδήγησε σε κυβερνοεπιθέσεις
Τι είναι ένας πάροχος C2P;
Σύμφωνα με την έκθεση, για λόγους προστασίας της ιδιωτικότητας, οι παροχείς δεν έχουν υποχρέωση να ρωτήσουν την ταυτότητα των πελατών τους και σπάνια μάθουν ποιος χρησιμοποιεί την υποδομή τους και για ποιον λόγο.
Σύμφωνα με την έκθεση της Halcyon, οι C2P επωφελούνται από ένα “νομικό κενό ευθύνης” που δεν απαιτεί από αυτούς να εξασφαλίζουν ότι η υποδομή τους δεν χρησιμοποιείται για παράνομες επιχειρήσεις.
Πηγή πληροφοριών: darkreading.com
