События02.11.2018 14:35

    В последней утечке данных из Facebook нашли российский след

    Слив в Сеть данных 257 тысяч пользователей Facebook может быть связан с Россией

    Сайт Fbserver, на котором были опубликованы данные, создан в конце августа 2018 года. Регистрационная информация весьма противоречивая: владелец портала по имени Namy Mayly якобы живет в Пакистане. При создании ресурса была указана почта от российского сервиса Mail.ru. Кроме того, по состоянию на начало октября у портала был петербургский IP-адрес, сообщает "Русская служба BBC".

    Связи этого адреса со знаменитой "фабрикой троллей", базирующейся в Санкт-Петербурге, не найдено. Зато этот же адрес упоминается в реестре проекта Cybercrime-tracker, который отслеживает, через какие IP хакеры взламывают компьютеры пользователей. По данным реестра, IP-адрес Fbserver использовался для рассылки троян-вируса LokiBot, с помощью которого злоумышленники получают доступ к паролям пользователей. Авторы вирусной рассылки могли стоять и за Fbserver.

    С Fbserver связаны еще около 20 ресурсов, подсчитали в американской исследовательской компании ThreatConnect.

    "Часть из них используют или использовали российские IP-адреса (Москва, Санкт-Петербург или Владимирская область)", — отмечают исследователи.

    Родство этих сайтов друг с другом видно по общим DNS-серверам, общей почте администратора и другим признакам. Как правило, сайты имеют доменное имя в зоне .ug (Уганда) или .hk (Гонгконг), почту от российских сервисов (например, Mail.ru) в качестве контакта администратора, иногда — российские имена и фамилии в разделе "Имя регистратора" и даже российские мобильные телефоны.

    При этом создатели этих сайтов достаточно небрежно заполняли графы с регистрационными данными — например, в некоторых случаях в качестве страны проживания администратора указана Уганда, а в качестве города проживания — Москва.

    Один из IP-адресов текущего "зеркала"Socialser21 принадлежит российскому хостинг-провайдеру King Servers. В 2016 году американская исследовательская компания ThreatConnect обнаружила, что шесть из восьми адресов, через которые шла атака на сервера Демократической партии США в 2016 году, также были закреплены за King Servers. В компании тогда говорили, что не имели отношения к хакерам, которые лишь арендовали оборудование.

    Директор King Servers Владимир Фоменко заявил, что дал указание отключить Socialser21 от сервера сразу после получения вопросов исследователей. Информацию о тех, кто стоит за порталом, Фоменко готов раскрыть только по запросу правоохранительных органов или суда.

    В ThreatConnect считают, что за проектом Socialser21 могут стоять киберпреступники, имеющие отношение к России: на связанных с Fbserver сайтах был обнаружен "подозрительный контент". Однако имеющейся информации недостаточно для того, чтобы определить конкретную хакерскую группу, заключают в ThreatConnect.

    Как сообщал TVi.UA, ранее в интернете появилась информация о 257 тыс. пользователей Facebook, у 81 тыс. аккаунтов доступны даже личные сообщения. Около 47 тыс. пользователей, чьи аккаунты были взломаны, —украинцы.

    Актуальные