Хакерский офшор: ELITETEAM превратила Сейшелы в столицу киберпреступности

Команда Knownsec 404 выявила масштабную сеть хостинг-провайдера ELITETEAM, предоставляющего инфраструктуру для киберпреступников. Эти услуги позволяют злоумышленникам избегать правового контроля и поддерживать работу вредоносного программного обеспечения, мошеннических сайтов, спам-рассылок и других незаконных операций. Эксперты подчеркивают, что «пуленепробиваемые» хостинги представляют серьёзную угрозу глобальной кибербезопасности, так как они действуют в условиях слабого законодательного регулирования и обладают высокой устойчивостью к правовым мерам.

Согласно отчёту, ELITETEAM зарегистрирована на Сейшельских островах в ноябре 2020 года под названием «1337TEAM LIMITED». Провайдер владеет автономной системой AS51381 и предоставляет услуги, связанные с размещением фишинговых сайтов, вредоносного программного обеспечения, серверов управления ботнетами и инфраструктуры для криптовалютных мошенничеств. Особенность таких провайдеров заключается в намеренном выборе юрисдикций со слабым законодательным регулированием.

По данным исследования Interisle о фишинговых сетях за 2021 год, только один сегмент сети ELITETEAM с 256 IP-адресами занял восьмое место в мире по количеству вредоносной активности. На платформе VirusTotal все 256 IP-адресов в сети ELITETEAM были отмечены как вредоносные, что подтверждает их активное использование в кибератаках. На платформе ThreatFox несколько IP-адресов в 2024 году были отмечены индикаторами компрометации (IOC) таких вредоносных программ, как Amadey и RedLine, что свидетельствует об их применении для фишинговых атак и распространения вредоносного ПО.

Специалисты Cloudflare обнаружили, что IP-адреса ELITETEAM активно используются для взлома WordPress-сайтов. Атаки нацелены на страницы авторизации и интерфейсы XML-RPC, где злоумышленники пытаются эксплуатировать уязвимости для получения доступа к системам.

Trend Micro установила связь инфраструктуры ELITETEAM с распространением программ-вымогателей Quakbot и Emotet. Только в первом квартале 2023 года было зафиксировано 200 тысяч случаев вредоносного трафика, связанного с инфраструктурой ELITETEAM; 140 тысяч из них зарегистрированы на Сейшельских островах. Эти программы использовались для шифрования данных корпоративных сетей с целью вымогательства.

Инфраструктура ELITETEAM также использовалась для поддержки криптовалютных мошенничеств на теневом рынке Hydra, обеспечивая проведение незаконных транзакций и отмывание денег. Эти действия привлекли внимание Интерпола, который направил несколько запросов на расследование деятельности компании.

Анализ данных о сегменте сети 185.215.113.0/24 через платформу ZoomEye выявил его ключевые характеристики: открытые порты для удалённого доступа (22/3389), веб-сервисы (80/443), спам (25/465/587), а также C2-сервера (7766). Десять IP-адресов из этого сегмента имеют открытые почтовые порты, что может указывать на их использование для рассылки спама. Кроме того, уникальные SSL-отпечатки и HTTP-контент подтверждают, что сеть служит для координации кибератак.

Исследование позволило связать подсеть 185.208.158.0/24 с основным сегментом ELITETEAM. Из 256 адресов этой подсети 95 отмечены как вредоносные. Обе сети зарегистрированы на Сейшельских островах и имеют техническую связь через общие SSL-сертификаты. Восемь IP-адресов из обеих сетей использовали идентичные SSL-отпечатки в период с сентября по ноябрь 2024 года, что указывает на контроль одной хакерской группой.

Детальный анализ выявил пять подозрительных IP-адресов: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 и 109.107.182.45. Эти адреса выделены благодаря уникальным характеристикам SSL-сертификатов и HTTP-контента. Например, отпечаток SSL-сертификата C416E381FAF98A7E6D5B5EC34F1774B728924BD8 встречался как в подсети 185.208.158.0/24, так и в основной сети ELITETEAM.

Эксперты отмечают, что деятельность подобных хостинг-провайдеров создаёт благоприятные условия для киберпреступников. С 2015 года группа APT28 провела более 80 атак, используя пуленепробиваемые хостинги для фишинга, кражи данных и шпионажа. Размещение инфраструктуры в странах с мягким регулированием позволяет злоумышленникам избегать преследования и продолжать операции в долгосрочной перспективе.