Пермскую компанию «ИнфоКуб» заподозрили в связях с преступной группой, которая похитила около миллиарда долларов при помощи вредоносной программы Carbanak. Факты, которые обосновывают эти подозрения, опубликовал сайт Krebs on Security.

Червь Carbanak был обнаружен в 2014 году в ходе расследования, которое вели «Лаборатория Касперского», Европол и Интерпол. При помощи заражённых документов, рассылаемых сотрудникам банков, злоумышленники проникали в банковские сети, а затем использовали это для того, чтобы тем или иным способом вывести деньги — как правило, через банкоматы. Большинство банков, ставших жертвой преступников, располагались в России.

Брайан Кребс, автор сайта Krebs on Security, сообщает, что специалист по информационной безопасности Рон Гилметт обратил внимание на общие черты в регистрационной информации доменов, через которые распространялась вредоносная программа.

Многие из них относятся к китайской компании Xicheng и имеют одинаковый контактный адрес: williamdanielsen@yahoo.com. Известно 484 домена, которые либо имеют тот же контактный адрес, либо приписаны к Xicheng и используют тот же телефонный номер. По меньшей мере 384 из них связаны Carbanak.

Интерес Гилметта привлекли домены, который входят в этот список, но не участвовали в распространении вредоносной программы. Один из них называется cubehost.biz. Из регистрационной информации следует, что он принадлежит жителю Перми Артёму Тверитинову.

На Тверитинова зарегистрированы и другие домены, в частности infokube.ru — официальный сайт пермской компании «ИнфоКуб», которая оказывает услуги, связанные с информационной безопасностью, системной интеграцией, аутсорсингом и хостингом. Согласно пресс-релизам «ИнфоКуба», Тверитинов возглавляет эту компанию.

Krebs on Security утверждает, что многие сайты, распространявшие Carbanak, были размещены на адресах, которые принадлежат «ИнфоКуб». Кроме того, некоторые из адресов «ИнфоКуба» замешаны в другой сомнительной деятельности. В частности, в 2013 году на них располагались командные серверы вредоносной программы Citadel, которые тоже были зарегистрированы на Xicheng.

Screen Shot 2016-07-20 at 22.01.18

Кребс нашёл страницу «Вконтакте» Тверитинова и попытался узнать, что он думает по этому поводу. Первый ответ директора «ИнфоКуба» казался дружелюбным. Он с некоторым удивлением интересовался, где Кребс нашёл его электронный адрес.

Пока Кребс сочинял ответ, Тверитинов удалил свой аккаунт «Вконтакте» и написал журналисту другое письмо. Он объявил, что не имеет отношения к сомнительным доменам, а его персональные данные, использовавшиеся при регистрации cubehost.biz, кто-то похитил.

«Наша компания никогда не делала ничего нелегального и ведёт свою деятельность в соответствии с законами Российской Федерации, — написал Тверитинов. — Кроме того, было бы довольно глупо использоать свои собственные персональные данные при регистрации доменов, которые используются для совершения преступлений, мы же ведь специалисты в области информационной безопасности».

2 комментария

  1. augacephalus

    20.07.2016 at 23:41

    Только зря это сделали, нужно было дальше выяснять… Они либо не виновны, либо виновны, но все удалили. Доказать, что-то будет тяжело.

  2. Ann2509

    25.11.2017 at 23:24

    Подозрительно, что он удалил свою страницу ВКонтакте. Если бы он был невиновен, то, наверно, не удалил бы ее.

Оставить мнение