Взлом и закрытие хостинга MskHost или как хактивисты Рунет очищали
Взлом и закрытие хостинга MskHost или как хактивисты Рунет очищали

Взлом и закрытие хостинга MskHost или как хактивисты Рунет очищали

16 сентября, 20217 минут на чтение
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

12 сентября в российском сегменте интернета произошло довольно интересное событие. С целью борьбы со скам-проектами, которые размещались у хостинг-провайдера MskHost, хактивисты взломали его инфраструктуру и серверы клиентов.

Казалось бы, ситуацию можно было разрешить, но нет — его создатели спустя пару дней приняли решение о закрытии проекта. Что значит эта ситуация для Рунета, с какими последствиями столкнулись клиенты компании и сам хостинг-провайдер, а также что интересного обнаружили взломщики, рассказываем подробнее.

Редакция «Кода Дурова» выступает за безопасность и конфиденциальность пользователей. Так как ряд источников, на которые мы ссылаемся, содержит персональные данные пользователей, оставлять ссылки мы не будем.

Мы не поддерживаем действия хактивистов — людей, которые зачастую незаконным способом продвигают собственные идеи свободы слова, информации и защиты прав человека. Мы также выступаем против поддержки работоспособности проектов, принадлежащих киберпреступникам.

Что произошло?

MskHost начал свою работу в 2019 году. Он позиционировался в качестве «надёжного современного хостинг-провайдера». В компании предлагали приобрести виртуальный облачный сервер, выделенный сервер, виртуальный хостинг и даже зарегистрировать собственный домен. Наш преданный читатель по имени Николай стал одной из жертв ситуации.

Николай стал клиентом MskHost в августе 2021 года. На днях он решил проверить информацию на своём форуме, а тот оказался недоступен. Попытавшись узнать у службы поддержки, в чём проблема, представители хостинг-провайдера отправили ему ссылку на официальный канал в Telegram, где он и узнал о взломе. Позднее Николай нашёл ссылку на канал самих хактивистов, которые демонстрировали любопытные вещи, связанные с MskHost.

Именно их действия и стали причиной закрытия проекта. Более того, борьба со взломщиками, получившими в своё распоряжение доступ как к серверам, так и к пользователям, продолжалась не так уж и долго. Несмотря на то, что клиентам пообещали дать доступ к образам серверов, хактивисты продолжали публиковать данные, которые им удалось раздобыть. Именно эта информация ещё в день взлома поставила под сомнение репутацию MskHost.

Что интересного нашли?

Кажется, продолжающиеся попытки восстановить свою работу были бессмысленными для MskHost, даже если бы это было возможно как теоретически, так и практически. Договариваться хакеры вряд ли хотели — их цель была чёткой, и это не вымогание. Первой интересной публикацией стал документ, согласно которому ООО «Облачные решения», являющееся юридическим лицом хостинг-провайдера, возможно, дало ответ на запрос Управлению МВД России по Нижнему Новгороду.

ООО «Облачные решения» зарегистрировано 29 марта 2021 года и получило статус микропредприятия в Реестре малого и среднего предпринимательства. В качестве генерального директора указан Бозоян Юрий Меружанович. На момент публикации материала в Едином федеральном ресурсе сведений о банкротстве нет сведений о банкротстве — о нём публично MskHost объявил 14 сентября.

В слитом взломщиками документе мы обнаружили, что компания могла предоставить правоохранительным органам данные по запрашиваемому доменному имени, в их числе были следующие сведения:

  • IP-адрес, имя и почта клиента;
  • IP-адрес и дата регистрации;
  • предоставленные ООО «Облачные решения» услуги данному клиенту;
  • информация об оплате услуг.

Следующей публикацией стал скриншот из так называемого «абьюз ящика» MskHost — [email protected] Как выяснилось, внутри десятки непрочитанных писем с жалобами от клиентов. В самой компании пояснили, что рассматривали лишь официальные обращения, при этом игнорировались различные автоматические абьюзы, в числе которых сканирование портов и спам-рассылка. Отмечается, что MskHost обладал собственным мониторингом данных действий — клиенты-нарушители автоматически блокировались в течение нескольких минут.

Также хактивисты опубликовали список IP-адресов и привязанных к ним сомнительных сайтов, которые работали на хостинге. Но есть слив куда интереснее — список клиентов, которые считались у хостинг-провайдера «топовыми». По уверениями взломщиков, именно эти люди больше всех размещали незаконный контент.

Согласно данным из таблицы, у некоторых нет ни одного активного проекта, при этом у лидеров списка в графе затрат указаны космические цифры в рублях — суммы, которые, по всей видимости, были потрачены на проведение фишинговых кампаний. Не факт, что это реальные деньги, ибо 1,3 млрд долларов — это довольная серьёзная сумма. Впрочем, документ включает электронные ящики этих самых клиентов.

Мы также ознакомились с опубликованными хактивистами данными некоторых виртуальных выделенных серверов, в том числе одного из топ-клиентов хостинга. Проверка архива весом более чем 300 МБ показала — внутри чистейшей воды скам-проекты, генерирующие фишинговые ссылки популярных банков и прочих российских интернет-сервисов.

Позиция хактивистов и реакция клиентов

Одной из главных целей атаки стало получение данных клиентов MskHost, «которые занимались размещением „чернухи“». Речь идёт о фишинговых сайтах, кардинге, ботнетах и так далее. По этому поводу люди, которые причастны к атаке на MskHost, ранее отправляли соответствующие жалобы, однако с той стороны их игнорировали.

По их уверениям, обращения были направлены на адрес [email protected], в Stormwall, Qwarta и другим лицам, которые причастны к деятельности MskHost:

Никто не реагировал, закрывал глаза, посылал на три буквы нас. Мы вместе с ведущими пентестерами СНГ (тестировщики на проникновение, имитирующие действия злоумышленника, используя возможные бреши в безопасности, — ред.) вынуждены нанести удар по инфраструктуре этого хостинг-проекта и очистить Рунет от такого масштабного хостера черни.

Взломщики обратились к тем, кто имеет отношение к так называемой «чернухе». Теперь они угрожают передать сотрудникам правоохранительных органов все копии серверов, IP-адресов при входе и прочие сведения:

Дорогие причастные лица к деятельности данного хостинг проекта, ваши данные у нас тоже уже есть. IP каждого входа и многое другое. Эти данные также как и с клиентскими, будут в скором времени переданы в правоохранительные органы.

Интересной оказалась реакция на событие у клиентов хостинг-провайдера. На одном из популярных форумов социальной инженерии некоторые пользователи с иронией отнеслись к рекламе, опубликованной в треде представителем MskHost за пару дней до взлома.

За сутки до атаки, как минимум, пару человек начали пользоваться услугами компании.

На том же форуме у MskHost был свой собственный аккаунт, который позднее заблокировали администрацией по причине невозврата средств из-за взлома проекта и его последующего закрытия. У кого-то была претензия на сумму 1817 рублей, у кого-то — на 6000, а кто-то и вовсе потерял 10 000 рублей.

Как отнеслись к ситуации в MskHost?

В момент взлома сотрудники компании пытались спасти сервера клиентов, делая всё возможное, чтобы восстановить удалённую информацию. Что важно, в MskHost признали, что взлом был организован довольно качественно и целенаправленно. В процессе атаки успешно была удалена половина всех серверов.

В первую очередь, при остановке работы, мы беспокоились за персональные данные клиентов, однако по нашей информации, хакеры планируют дальше их сливать и это очевидно, раз они попали к кому-либо постороннему, они рано или поздно будут слиты.

С момента атаки, которая началась в семь утра, до обеда всё ещё работали серверы, находящиеся в Москве, а те, которые были в Германии — до вечера. В итоге всё было отключено. Возврат доступа к сайту всё же произошёл и компания за день даже успела восстановить некоторых ключевых крупных клиентов. Тем не менее, в день взлома MskHost сообщал о планах прекратить работу в ближайшее время.

Тогда же стало известно, что проект стартовал с бюджетом в 50 000 рублей. За пару лет он вырос до компании с более чем парой тысяч активных серверов. В хостинге признали, что «такой быстрый рост» сказался на них негативно, однако, к их сожалению, «результаты взлома оказались значительнее, чем предполагалось изначально».

Официальная позиция MskHost заключается в том, что результатом произошедшего является конкуренция — «грязная, нечестная, но конкуренция». На запрос «Кода Дурова» к моменту публикации данного материала отвечать представители уже закрывшегося хостинг-провайдера не стали.

Получается, киберпреступники атаковали кладезь для киберпреступников?

До взлома в адрес MskHost всё чаще стали поступать различные претензии, в том числе по поводу отсутствия DDoS-защиты, недоступности сервера в течение определённого количества дней, несоответствия цен и прочего. Наш читатель Николай тоже сталкивался с проблемами, которым он должного значения не придавал:

Например, форум бывало просто не грузился (я проверял другие сайты параллельно), как и панель хостинга. Но как только ошибка загрузки выдавалась, сразу же начинается обновление страницы и всё нормально. И так несколько дней. Я писал в поддержку, мол «У вас DDoS?» — «Нет, мы проверили, у нас все нормально».

Относиться к произошедшей ситуации, как к чему-то масштабному, скорее всего, не следует. С одной стороны, претензия взломщиков действительно имеет право на жизнь, даже если их деятельность заключается в атаке с целью указать на неприемлемую поддержку «чернухи». Оправдывать действия хактивистов невозможно, так как, в первую очередь, пострадали клиенты хостинг-провайдера.

Даже если большая часть этих клиентов пользовалась услугами ради совершения киберпреступлений, всё равно остаётся доля людей, у которых были безобидные нужды. С другой стороны, атака на MskHost может выглядеть как желание закрыть конкурента — этот вариант исключать тоже нельзя.

Подводя итоги, можно выделить несколько моментов, на которые действительно следует обратить внимание:

  • Нельзя экономить на услугах хостинг-провайдеров. Следует присматриваться исключительно к популярным и проверенным временем компаниям, услуги которых, возможно, будут на порядок дороже, но при этом будет уверенность в сохранности данных и стабильности работы.
  • Не стоит с пренебрежением относиться к своему делу. Безопасность данных своих клиентов — самое ценное, что может быть у любой компании, работающей в IT-сфере. Даже частичный взлом инфраструктуры хостинга несёт за собой негативные последствия.
  • Борьба с киберпреступлениями — это важно. По всей видимости, на сегодняшний день существует довольно большое количество проектов, услугами которых пользуются киберпреступники. Этого не избежать, но важно делать всё, чтобы пресекать деятельность таких людей.
16 сентября, 2021
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

Выбор редакции