Украденные африканские IP-адреса и сеть подставных компаний: как работает крупнейший "бронированный" хостинг для мошенников

Расследование Netcraft приоткрывает завесу над тем, как инфраструктура Fibergrid стала опорой для масштабной преступной деятельности. Ключевыми элементами этой системы оказались похищенные африканские IP-адреса, сложная сеть подставных компаний, транзитные автономные системы и продуманная система дезинформации, призванная затруднить любые попытки пресечения этой деятельности.

Основой необычно большого пула IPv4-адресов Fibergrid стали адреса, полученные в результате так называемой "Великой африканской кражи IP-пространства". Этот скандал разразился в 2019 году, когда журналистское расследование издания MyBroadband выявило, что бывший сотрудник регионального интернет-регистратора AFRINIC был замешан в незаконной перерегистрации блоков IPv4-адресов на офшорные компании. Манипуляции с записями WHOIS позволили вывести эти активы из-под юрисдикции Африканского континента. На сегодняшний день Fibergrid контролирует три таких похищенных диапазона, которые в совокупности представляют собой один миллион IPv4-адресов. Рыночная стоимость этих ресурсов, по оценкам экспертов, составляет от 20 до 25 миллионов долларов США.

Политика AFRINIC требует, чтобы выделение адресного пространства обосновывалось оказанием услуг именно в африканском регионе. Однако наблюдения Netcraft за работой Fibergrid указывают на совершенно другую картину. Хотя провайдер официально заявляет, что зарегистрирован на Сейшельских островах, результаты тестов мультилатерации это не подтверждают. Этот метод позволяет определить физическое местоположение сервера на основе задержек сигнала от множества точек по всему миру.

В тех случаях, когда местоположение удалось установить с высокой точностью, все серверы оказались за пределами Африки. Наибольшее количество IP-адресов, связанных с Fibergrid, находится в США (1122 адреса), Великобритании (606 адресов), Нидерландах (544 адреса) и Канаде (349 адресов). Меньшее количество оборудования размещено в Швеции, Эстонии и Польше. Некоторые серверы, по данным тестов, физически находятся в дата-центрах Equinix в Торонто, Лос-Анджелесе, Атланте, Лондоне, Амстердаме, Стокгольме и Варшаве.

Вывод очевиден: Fibergrid использует африканское IP-пространство, но работает исключительно в Европе и Северной Америке. Это ключевое несоответствие, которое AFRINIC мог бы использовать для принятия мер. Кроме того, присутствие в западной инфраструктуре открывает возможности для правоохранительных органов за пределами Африки.

Как и многие операторы "бронированного" хостинга, Fibergrid прячется за запутанной сетью постоянно меняющихся компаний. Эти структуры созданы для того, чтобы затруднить идентификацию владельцев и усложнить операции по ликвидации вредоносной инфраструктуры. В основе маршрутизации трафика лежат автономные системы. Исследование Netcraft выявило как минимум девять AS-номеров, связанных с деятельностью Fibergrid. Среди них Orion Network Limited, Angelnet Limited, Global Custom Data Limited, DIAHOSTING LIMITED и другие. Одна из структур, Orion Network Limited, выступает в роли транзитного провайдера, обеспечивая связь и передавая трафик другим сетям, которые хостингуют вредоносную активность.

Эта запутанная сеть автономных систем отражается и в корпоративных структурах. Анализ регистрационных данных выявил ещё ряд компаний, связанных с той же сетью: Inter Connects Inc, Global Colocation Limited, Packet Exchange Limited, Webexxpurts Limited, Vihu Limited, Hostcool Limited, Global Offshore Host Limited, Global IP Exchange Limited и Green Bei Limited. Подавляющее большинство этих юридических лиц зарегистрированы в Великобритании. Система регистрации компаний в Соединённом Королевстве давно критикуется за минимальную проверку предоставляемых данных, низкую стоимость регистрации (до 2024 года она составляла всего 12 фунтов) и возможность легко abandon юридическое лицо, не прекращая использования выделенных ему IP-адресов и AS-номеров.

Одна из регистраций Fibergrid была произведена в Эстонии. Эта страна, стремящаяся стать самой "цифровой" в мире, создала систему регистрации, ориентированную на автоматизацию и масштаб. Программа электронного резидентства позволяет любому человеку в мире зарегистрировать в Эстонии компанию и удалённо управлять ей, получая при этом доступ к легитимности европейского бизнеса. Проверки иностранных владельцев при этом ограничены. Подобные схемы уже становились предметом расследований. В сентябре 2020 года Международный консорциум журналистских расследований (ICIJ) сообщал о системе британских компаний-однодневок, управляемых через Прибалтику. Великобритания обеспечивала юридическую легитимность, а Эстония - банковские услуги и доступ к цифровой инфраструктуре. И хотя после публикаций были предприняты некоторые меры, как показывает пример Fibergrid, основные проблемы сохранились.

Фейковые интернет-магазины являются доминирующим типом мошенничества, которое хостит Fibergrid. За последние 12 месяцев почти 70% всех атак, ликвидированных на инфраструктуре этого провайдера, приходились именно на поддельные сайты электронной коммерции. Такие магазины имитируют легитимные торговые площадки. Они заманивают покупателей сильно заниженными ценами, появляются в результатах поиска и рекламных кампаниях в социальных сетях. После оплаты покупатель либо не получает товар вовсе, либо получает подделку. При этом мошенники похищают не только деньги, но и персональные данные жертв. Поскольку фейковые магазины в большей степени зависят от органического трафика, а не от краткосрочных фишинговых рассылок, им особенно нужны надёжные провайдеры, которые не будут отключать их по первому требованию. Fibergrid идеально подходит для этой роли.

Domains

• airupfranceshop.fr
• airuppullosuomi.com
• air-upsuomi.fi
• airupsweden.com
• bratziezpuertorico.com
• pinkpalmpuffnetherland.com
• timberlandsromania.cc
• ultimateearsindia.com
• zapatilasbrookar.com