Обнародована информация о "владельце" пуленепробиваемого хостинга

Федеральные прокуроры США обнародовали уголовное обвинение в отношении трех мужчин, которые предположительно создали и распространяли вредоносное ПО Gozi. Среди них был 28-летний румынский гражданин Михай Ионут Паунеску, обвиняемый в предоставлении услуг «пуленепробиваемому хостингу». Пуленепробиваемый хостинг – это термин Underweb для хостинг-провайдера, который будет размещать практически любой контент, от фишинга и кардинга сайтов до командных центров бот-нета. После того как Андерсон прочитал историю Арс, он присмотрелся к жалобе Паунеску (PDF) и некоторые детали сразу бросилось в глаза.

Во-первых, федералы говорят, что Паунеску был администратором powerhost.ro. В декабре 2011 года один источник поделился с KrebsOnSecurity несколькими существенными дампами базы данных с этого сервера, которые, по-видимому, были взломаны. В этот архив был включен скриншот экрана панели администрирования сервера powerhost.ro. Благодаря ему наглядно можно увидеть многие детали, описываемые в обвинительном заключении, например, такие как поставщик BP был домом для более чем 130 серверов и что он взимал непомерные суммы - иногда более 1000 евро в месяц за один сервер.

Вышеприведенный скриншот показывает, что этот сервер использовался для проектов, которые были «50% SBL», а это означает, что около половины свойств на нем были указаны на Spamhaus список (SBL). На сервере так же располагались web-сайты, учувствовавшие во вредоносной деятельности в интернете. В основном они занимались отправкой и получением спама, а также хостингом вредоносных программ.  Некоторые из названий, выбранных для серверов, достаточно информативны, например, «darkdeeds1», «darkdeeds2», «phreak-bots» и «phis1». В дампе данных powerhost.ro было несколько сайтов «drop», где ZeuS и SpyEye бот-сети депонировали пароли, данные банковских счетов и другую приватную информацию, похищенную с десятков тысяч компьютеров жертв.

Паунеску, конечно не виновен, пока его вина не доказана, но после прочтения его обвинительного заключения правительство утверждает, он не был особо внимателен в сокрытии своей деятельности. В течении нескольких секунд поиска в сети информации об интернет-адресах связанных с powerhost.ro, была найдена запись, которая включает в себя его полное имя и причисляет его к списку владельцев. Кроме того, простой поиск в Google на powerhost.ro указывает, что Паунеску является полноправным владельцем адресного пространства.

На скриншоте выше мы видим несколько серверов на powerhost.ro, которые были сданы в аренду злоумышленникам, управляющим TowPow - партнерской программой моделирования. TowPow рекламировал себя, как провайдер пуленепробиваемого хостинга, который был сделан «Спамерами, для спамеров», и согласился принять любой тип трафика.

«TowPow не похожа ни на одну другую партнерскую систему. Они предлагают не только качественные целевые страницы, но так же бесплатные домены с пуленепробиваемым хостингом для рассылки спама потребителям». В марте 2010 года было сделано объявление для партнерской программы размещенное на даркнет форуме: «Вам не придётся беспокоится о каких-либо жалобах,  Tow Pow справится со всем этим».

Стефан Сэвидж, профессор Калифорнийского университета, Департамента компьютерных наук и инженерии в Сан-Диего, сказал, что филиалы TowPow были огромным источником нежелательной почты. По большей части они доминировали на спам-рынке США.

Среди файлов, просочившихся из powerhost.ro, была вся партнерская база данных TowPow. Неясно кто управлял им или каким образом он учувствовал в повседневных операциях помимо предоставления хостинга, но база данных TowPow SQL (сохраненная как «blue4rep90_felon.sql») включает раздел «билеты», где пользователи могут отправлять запросы на помощь, размещать заказы на хостинг или передавать специальные инструкции для проводки средств.

Например, в следующем сообщении партнер связывается с администраторами программы и запрашивает новый хостинг для управления бот-сетями ZeuS. А именно:  "Привет! Мне нужна ссылка для сайта Zeus! Спасибо!".

Этот пользователь, “Даниэль Михай,” появляется по всей базе данных: (информация о проводе: RO23INGB0000999901772881, аккаунт владельца: Dan Mihai Daniel, пароль: INGROBU, банковское имя: ING Office Targoviste Independentei, банковский адрес: Bd .Independentei nr.

Некоторые из ведущих партнеров TowPow зарабатывали тысячи долларов в неделю, рекламируя тысячи сайтов через спам.

Сэвидж из Сан-Диего сказал, что база данных TowPow указывает на то, что многие из ее филиалов были переданы от ZedCash, еще одной партнерской программы. Фактически, ведущий реферер использовал псевдоним «TowPow» и пароль «ZedCash».

Согласно Spam Trackers, ZedCash управляется хакером, который использует прозвище «Ucraineanu». Интересно, что это прозвище отображается как «Ucraina2» на скриншоте powerhost.ro рядом с одним из серверов, который TowPow арендовал за 400 долларов США ежемесячно. Сэвидж отмечает, что база данных TowPow показывает, какие участники запускали программу, а в верхней части списка находится пользователь, который использовал адрес электронной почты [email protected].