Μια έρευνα σχετικά με την ομάδα Carbanak, του δημοσιογράφου Brian Krebs και του ερευνητή ασφάλεια Ron Guilmette, έχει αποκαλύψει στοιχεία που δείχνουν προς την κατεύθυνση μιας εταιρία ασφάλειας-με τη βάση της να βρίσκετε στη Ρωσία- και στο CEO της, έναν 28χρονο Ρώσο με το όνομα Artem Tveritinov.
Το Carbanak είναι το όνομα μιας εγκληματικής ομάδας, η οποία, σύμφωνα με μια έρευνα της Kaspersky, έχει χρησιμοποιήσει το κακόβουλο λογισμικό Carbanak για να κλέψει περίπου 1 δις $ από τράπεζες σε όλο τον κόσμο το περασμένο έτος, και επέστρεψαν με νέες επιθέσεις κατά τη διάρκεια των τελευταίων μηνών.
Ο Guilmette λέει ότι μελέτησε τα αρχεία Whois των domains που χρησιμοποιούνται για την αποστολή του spam που εξαπλώνουν το κακόβουλο λογισμικό Carbanak, που βρήκε στις αναφορές διάφορων επιχειρήσεων παροχής υπηρεσιών ασφαλείας.
Ανακάλυψε ότι πολλά από αυτά τα domains είχαν εγγραφεί χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου williamdanielsen@yahoo.com, κάτω από το όνομα μιας κινεζικής εταιρείας, Xicheng Co..
Μια άλλη εταιρεία ασφαλείας, η ThreatConnect, συνέχισε την έρευνα του Guilmette και βρήκε τουλάχιστον 484 περιοχές συνδεδεμένες με την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου, ή σε 26 άλλες διευθύνσεις ηλεκτρονικού ταχυδρομείου που έχουν τους ίδιους αριθμούς τηλεφώνου ή το ίδιο κινεζικό όνομα της εταιρείας.
Η ThreatConnect είπε ότι τα 304 από αυτά τα 484 ονόματα domain είχαν χρησιμοποιηθεί για τη διανομή κακόβουλου περιεχομένου, ως μέρος των επιθέσεων των Carbanak.
Μεταξύ των domains που είχαν αυτούς τους δύο αριθμούς τηλεφώνου ήταν και το domain της Cubehost.biz, μια web hosting εταιρεία.
Κατά τη διάρκεια της συνομιλίας μέσω e-mail αλλά και τηλεφώνου, ο CEO της Infocube, η αρνήθηκε οποιαδήποτε συσχέτιση με τη Cubehost.biz.
Η έρευνα του Krebs όμως δεν σταμάτησε εκεί και τόνισε στο blog του ότι τα domains του Infocube και του Cubehost τρέχουν με τις ίδιες IP διευθύνσεις, οι οποίες φαίνονται να ανήκουν σε ένα άτομο ονόματι Ras Al Khaimah.
Πολλά από αυτά τα ονόματα domain που έχουν χρησιμοποιηθεί στις επιθέσεις των Carbanak φιλοξενήθηκαν σε αυτό το IP block.
Ο Gulimette ολοκληρώνει την ανακάλυψη του Krebs επισημαίνοντας ότι αυτό το ίδιο block φιλοξένησε επίσης τα domains που χρησιμοποιήθηκαν στην trojan υποδομή του Citadel banking.
