Взлом и закрытие хостинга MskHost или как хактивисты Рунет очищали

12 сентября в российском сегменте интернета произошло довольно интересное событие. С целью борьбы со скам-проектами, которые размещались у хостинг-провайдера MskHost, хактивисты взломали его инфраструктуру и серверы клиентов.

Казалось бы, ситуацию можно было разрешить, но нет — его создатели спустя пару дней приняли решение о закрытии проекта. Что значит эта ситуация для Рунета, с какими последствиями столкнулись клиенты компании и сам хостинг-провайдер, а также что интересного обнаружили взломщики, рассказываем подробнее.

Редакция «Кода Дурова» выступает за безопасность и конфиденциальность пользователей. Так как ряд источников, на которые мы ссылаемся, содержит персональные данные пользователей, оставлять ссылки мы не будем.

Мы не поддерживаем действия хактивистов — людей, которые зачастую незаконным способом продвигают собственные идеи свободы слова, информации и защиты прав человека. Мы также выступаем против поддержки работоспособности проектов, принадлежащих киберпреступникам.

Что произошло?

MskHost начал свою работу в 2019 году. Он позиционировался в качестве «надёжного современного хостинг-провайдера». В компании предлагали приобрести виртуальный облачный сервер, выделенный сервер, виртуальный хостинг и даже зарегистрировать собственный домен. Наш преданный читатель по имени Николай стал одной из жертв ситуации.

Николай стал клиентом MskHost в августе 2021 года. На днях он решил проверить информацию на своём форуме, а тот оказался недоступен. Попытавшись узнать у службы поддержки, в чём проблема, представители хостинг-провайдера отправили ему ссылку на официальный канал в Telegram, где он и узнал о взломе. Позднее Николай нашёл ссылку на канал самих хактивистов, которые демонстрировали любопытные вещи, связанные с MskHost.

Именно их действия и стали причиной закрытия проекта. Более того, борьба со взломщиками, получившими в своё распоряжение доступ как к серверам, так и к пользователям, продолжалась не так уж и долго. Несмотря на то, что клиентам пообещали дать доступ к образам серверов, хактивисты продолжали публиковать данные, которые им удалось раздобыть. Именно эта информация ещё в день взлома поставила под сомнение репутацию MskHost.

Что интересного нашли?

Кажется, продолжающиеся попытки восстановить свою работу были бессмысленными для MskHost, даже если бы это было возможно как теоретически, так и практически. Договариваться хакеры вряд ли хотели — их цель была чёткой, и это не вымогание. Первой интересной публикацией стал документ, согласно которому ООО «Облачные решения», являющееся юридическим лицом хостинг-провайдера, возможно, дало ответ на запрос Управлению МВД России по Нижнему Новгороду.

ООО «Облачные решения» зарегистрировано 29 марта 2021 года и получило статус микропредприятия в Реестре малого и среднего предпринимательства. В качестве генерального директора указан Бозоян Юрий Меружанович. На момент публикации материала в Едином федеральном ресурсе сведений о банкротстве нет сведений о банкротстве — о нём публично MskHost объявил 14 сентября.

В слитом взломщиками документе мы обнаружили, что компания могла предоставить правоохранительным органам данные по запрашиваемому доменному имени, в их числе были следующие сведения:

• IP-адрес, имя и почта клиента;
• IP-адрес и дата регистрации;
• предоставленные ООО «Облачные решения» услуги данному клиенту;
• информация об оплате услуг.

Следующей публикацией стал скриншот из так называемого «абьюз ящика» MskHost — [email protected]. Как выяснилось, внутри десятки непрочитанных писем с жалобами от клиентов. В самой компании пояснили, что рассматривали лишь официальные обращения, при этом игнорировались различные автоматические абьюзы, в числе которых сканирование портов и спам-рассылка. Отмечается, что MskHost обладал собственным мониторингом данных действий — клиенты-нарушители автоматически блокировались в течение нескольких минут.

Также хактивисты опубликовали список IP-адресов и привязанных к ним сомнительных сайтов, которые работали на хостинге. Но есть слив куда интереснее — список клиентов, которые считались у хостинг-провайдера «топовыми». По уверениями взломщиков, именно эти люди больше всех размещали незаконный контент.

Согласно данным из таблицы, у некоторых нет ни одного активного проекта, при этом у лидеров списка в графе затрат указаны космические цифры в рублях — суммы, которые, по всей видимости, были потрачены на проведение фишинговых кампаний. Не факт, что это реальные деньги, ибо 1,3 млрд долларов — это довольная серьёзная сумма. Впрочем, документ включает электронные ящики этих самых клиентов.

Мы также ознакомились с опубликованными хактивистами данными некоторых виртуальных выделенных серверов, в том числе одного из топ-клиентов хостинга. Проверка архива весом более чем 300 МБ показала — внутри чистейшей воды скам-проекты, генерирующие фишинговые ссылки популярных банков и прочих российских интернет-сервисов.

Позиция хактивистов и реакция клиентов

Одной из главных целей атаки стало получение данных клиентов MskHost, «которые занимались размещением „чернухи“». Речь идёт о фишинговых сайтах, кардинге, ботнетах и так далее. По этому поводу люди, которые причастны к атаке на MskHost, ранее отправляли соответствующие жалобы, однако с той стороны их игнорировали.

По их уверениям, обращения были направлены на адрес [email protected], в Stormwall, Qwarta и другим лицам, которые причастны к деятельности MskHost:

Никто не реагировал, закрывал глаза, посылал на три буквы нас. Мы вместе с ведущими пентестерами СНГ (тестировщики на проникновение, имитирующие действия злоумышленника, используя возможные бреши в безопасности, — ред.) вынуждены нанести удар по инфраструктуре этого хостинг-проекта и очистить Рунет от такого масштабного хостера черни.

Взломщики обратились к тем, кто имеет отношение к так называемой «чернухе». Теперь они угрожают передать сотрудникам правоохранительных органов все копии серверов, IP-адресов при входе и прочие сведения:

Дорогие причастные лица к деятельности данного хостинг проекта, ваши данные у нас тоже уже есть. IP каждого входа и многое другое. Эти данные также как и с клиентскими, будут в скором времени переданы в правоохранительные органы.

Интересной оказалась реакция на событие у клиентов хостинг-провайдера. На одном из популярных форумов социальной инженерии некоторые пользователи с иронией отнеслись к рекламе, опубликованной в треде представителем MskHost за пару дней до взлома.

За сутки до атаки, как минимум, пару человек начали пользоваться услугами компании.

На том же форуме у MskHost был свой собственный аккаунт, который позднее заблокировали администрацией по причине невозврата средств из-за взлома проекта и его последующего закрытия. У кого-то была претензия на сумму 1817 рублей, у кого-то — на 6000, а кто-то и вовсе потерял 10 000 рублей.

Как отнеслись к ситуации в MskHost?

В момент взлома сотрудники компании пытались спасти сервера клиентов, делая всё возможное, чтобы восстановить удалённую информацию. Что важно, в MskHost признали, что взлом был организован довольно качественно и целенаправленно. В процессе атаки успешно была удалена половина всех серверов.

В первую очередь, при остановке работы, мы беспокоились за персональные данные клиентов, однако по нашей информации, хакеры планируют дальше их сливать и это очевидно, раз они попали к кому-либо постороннему, они рано или поздно будут слиты.

С момента атаки, которая началась в семь утра, до обеда всё ещё работали серверы, находящиеся в Москве, а те, которые были в Германии — до вечера. В итоге всё было отключено. Возврат доступа к сайту всё же произошёл и компания за день даже успела восстановить некоторых ключевых крупных клиентов. Тем не менее, в день взлома MskHost сообщал о планах прекратить работу в ближайшее время.

Тогда же стало известно, что проект стартовал с бюджетом в 50 000 рублей. За пару лет он вырос до компании с более чем парой тысяч активных серверов. В хостинге признали, что «такой быстрый рост» сказался на них негативно, однако, к их сожалению, «результаты взлома оказались значительнее, чем предполагалось изначально».

Официальная позиция MskHost заключается в том, что результатом произошедшего является конкуренция — «грязная, нечестная, но конкуренция». На запрос «Кода Дурова» к моменту публикации данного материала отвечать представители уже закрывшегося хостинг-провайдера не стали.

Получается, киберпреступники атаковали кладезь для киберпреступников?

До взлома в адрес MskHost всё чаще стали поступать различные претензии, в том числе по поводу отсутствия DDoS-защиты, недоступности сервера в течение определённого количества дней, несоответствия цен и прочего. Наш читатель Николай тоже сталкивался с проблемами, которым он должного значения не придавал:

Например, форум бывало просто не грузился (я проверял другие сайты параллельно), как и панель хостинга. Но как только ошибка загрузки выдавалась, сразу же начинается обновление страницы и всё нормально. И так несколько дней. Я писал в поддержку, мол «У вас DDoS?» — «Нет, мы проверили, у нас все нормально».

Относиться к произошедшей ситуации, как к чему-то масштабному, скорее всего, не следует. С одной стороны, претензия взломщиков действительно имеет право на жизнь, даже если их деятельность заключается в атаке с целью указать на неприемлемую поддержку «чернухи». Оправдывать действия хактивистов невозможно, так как, в первую очередь, пострадали клиенты хостинг-провайдера.

Даже если большая часть этих клиентов пользовалась услугами ради совершения киберпреступлений, всё равно остаётся доля людей, у которых были безобидные нужды. С другой стороны, атака на MskHost может выглядеть как желание закрыть конкурента — этот вариант исключать тоже нельзя.

Подводя итоги, можно выделить несколько моментов, на которые действительно следует обратить внимание:

• Нельзя экономить на услугах хостинг-провайдеров. Следует присматриваться исключительно к популярным и проверенным временем компаниям, услуги которых, возможно, будут на порядок дороже, но при этом будет уверенность в сохранности данных и стабильности работы.
• Не стоит с пренебрежением относиться к своему делу. Безопасность данных своих клиентов — самое ценное, что может быть у любой компании, работающей в IT-сфере. Даже частичный взлом инфраструктуры хостинга несёт за собой негативные последствия.
• Борьба с киберпреступлениями — это важно. По всей видимости, на сегодняшний день существует довольно большое количество проектов, услугами которых пользуются киберпреступники. Этого не избежать, но важно делать всё, чтобы пресекать деятельность таких людей.