«Русские» хакеры маскировались под американцев, чтобы скрыть кибершпионаж

Хакерская группировка Nobelium, связываемая ИБ-экспертами с РФ, пыталась замаскировать свою деятельность с помощью «резидентных прокси» - IP-адресов мобильных и домашних компьютерных сетей обычных американцев.

Речь идет о новой кампании Nobelium (группировка также считается организатором нашумевшей кибератаки на американского производителя ПО SolarWinds), направленной организации, связанные с глобальными цепочками поставок IT. По данным компании Microsoft, с мая нынешнего года хакеры атаковали более чем 140 поставщиков технологических сервисов, 14 из них им удалось скомпрометировать.

В период с 1 июля по 19 октября нынешнего года Microsoft зафиксировала более 22 тыс. атак Nobelium на 609 своих клиентов, однако большая часть нападений была неуспешной.

По данным источника Bloomberg, целью кампании были американские правительственные ведомства, неправительственные организации и технологические фирмы.

По словам старшего вице-президента ИБ-компании Mandiant Чарлза Кармакала (Charles Carmakal), хакеры использовали резидентные IP-прокси – IP-адреса, связанные с определенной локацией, которые можно приобрести через интернет.

Использование таких прокси позволяет замаскировать попытки взлома под трафик, исходящий с американских мобильных телефонов или домашних интернет-сетей. Например, попытка хакера проникнуть в компьютерную сеть со стороны будет выглядеть будто сотрудник компании авторизуется с мобильного телефона.

Что касается провайдеров резидентных прокси, услугами которых пользуются Nobelium и прочие хакерские группировки, по словам главы ИБ-компании Resecurity Джин Йу (Gene Yoo) это Bright Data, Oxylabs и IP Burger.

В ответ на запрос Bloomberg прокомментировать ситуацию, представители базирующейся в Израиле Bright Data сообщили, что компания тщательно проверяет клиентов и не нашла признаков использования Nobelium их сетей. В литовской Oxylabs заявили, что проводят внутреннее расследование, которое в настоящее время не выявило признаков злонамеренного использования сервиса. Bloomberg не удалось выяснить, где базируется IP Burger, и кто ее владелец. В компании не отреагировали на запрос информагентства.