Известный журналист-расследователь Брайан Кребс (Brian Krebs) заявил, что популярный среди преступников «пуленепробиваемый» хостинг Prospero может быть связан с сетями, управляемыми «Лабораторией Касперского».
По словам исследователя, еще в прошлом году специалисты французской ИБ-компании Intrinsec сообщали о связи компании Prospero с «пуленепробиваемыми» сервисами, которые давно рекламируются на хакерских форумах под названиями Securehost и BEARHOST.
Исследователи Intrinsec писали, что «пуленепробиваемый» хостинг работает как минимум с двумя вымогательскими группировками, а также вредоносными кампаниями SocGholish и GootLoader.
Кребс отмечает, что BEARHOST активен как минимум с 2019 года.
«Если вам нужен сервер для ботнета, малвари, брута, сканирования, фишинга, фейков и любых других задач, обращайтесь к нам, — гласит реклама BEARHOST на одном из форумов. — Мы полностью игнорируем любые злоупотребления без исключений, в том числе Spamhaus и другие организации».
Данные, собранные в прошлом году Interisle Consulting Group, ранжировали хостинг-сети по их размеру и концентрации спамботов. Оказалось, что Prospero занимает лидирующие позиции по количеству спама.
На прошлой неделе специалисты проекта Spamhaus обнаружили странную вещь: с декабря 2024 года Prospero подключается к интернету, прокладывая маршруты через сети, управляемые «Лабораторией Касперского».
Эксперт компании Kentik Даг Мэдори (Doug Madory) комментирует, что в сети «Лаборатории Касперского», судя по всему, находятся несколько финансовых учреждений, включая крупные российские банки. Так как компания предоставляет услуги по защите от DDoS-атак, Мэдори предполагает, что Prospero может каким-то образом покупать эту защиту.
«В некотором смысле предоставление DDoS-защиты известному пуленепробиваемому хостингу может быть даже хуже, чем просто позволить ему подключиться к остальному интернету через вашу инфраструктуру», — отмечает специалист компании Silent Push Зак Эдвардс (Zach Edwards).
Представители «Лаборатории Касперского» подготовили официальное заявление, в котором отрицают любые связи с Prospero и сообщают, что уже расследуют происходящее.
«Kaspersky отрицает эти обвинения, поскольку компания не работает и никогда не работала с оператором, о котором идет речь. Сам факт маршрутизации через сети, принадлежащие Kaspersky, по умолчанию не означает использование ее сервисов. В некоторых случаях AS-путь Kaspersky может появляться в сетях телеком-компаний, с которыми она работает в рамках защиты от DDoS-атак.
Kaspersky придерживается строгих этических стандартов ведения бизнеса и следит за тем, чтобы ее решения использовались исключительно для киберзащиты. В настоящее время компания расследует эту ситуацию, чтобы проинформировать компанию, чья сеть могла служить транзитной для “пуленепробиваемого” хостинга, чтобы эта компания могла принять необходимые меры», — заявили представители «Лаборатории Касперского».
