15-летняя сеть прокси-серверов для вредоносных программ VIP72 уходит в тень

За последние 15 лет служба киберпреступной анонимности, известная как VIP72, позволила бесчисленным мошенникам скрыть свое истинное местонахождение в Интернете, направляя свой трафик через миллионы зараженных вредоносным ПО систем. Но примерно две недели назад интернет-магазин VIP72, который, по иронии судьбы, оставался на одном и том же американском интернет-адресе более десяти лет, просто исчез.

Как и другие сети анонимности, продаваемые в основном на киберпреступных форумах, VIP72 направляет трафик своих клиентов через компьютеры, которые были взломаны и заражены вредоносным программным обеспечением. Используя такие услуги, как VIP72, клиенты могут выбирать узлы сети практически в любой стране и передавать свой трафик, скрываясь за интернет-адресом какой-нибудь невольной жертвы.

Домен Vip72[.]org был первоначально зарегистрирован в 2006 году на “Corpse“, имя русскоязычного хакера, который за несколько лет до этого прославился созданием и продажей чрезвычайно сложного банковского трояна A311 Death, также известного как “Haxdoor” и “Nuclear Grabber” Haxdoor во многом опередил свое время, и он использовался в многомиллионных кибермошенничествах задолго до того, как многомиллионные кибермошенничества стали ежедневной новостью на первых полосах газет

Реклама A311 Death, мощного банковского трояна, автором которого был “Труп”, администратор ранней российской хакерской группировки Prodexteam, примерно в 2005 году. Изображение: Google Translate через Archive.org.

В период с 2003 по 2006 год Corpse сосредоточился на продаже и поддержке своего вредоносного ПО Haxdoor. Появившийся в 2006 году VIP72, очевидно, был одним из его побочных заработков, который превратился в надежный источник денег на долгие годы. И вполне логично, что VIP72 был запущен с помощью систем, уже зараженных троянским вредоносным ПО Corpse.

Первое упоминание о VIP72 в киберпреступном подполье появилось в 2006 году, когда некто под ником “Revive” рекламировал эту услугу на русскоязычном хакерском форуме Exploit. Revive организовал продажи VIP72 на множестве других форумов, а контактные данные и сообщения, которыми этот пользователь делился с другими участниками форума, показывают, что Corpse и Revive – одно и то же лицо.

Когда в 2006 году Ревайв спросил, основано ли программное обеспечение, на котором работает VIP72, на его программном обеспечении Corpse, он ответил, что “оно работает на новом программном обеспечении Corpse, специально написанном для нашего сервиса”

Один из посетителей русскоязычного криминального форума, который пожаловался на необъяснимое закрытие VIP72 в прошлом месяце, сказал, что заметил изменения в инфраструктуре доменных имен сайта непосредственно перед исчезновением сервиса. Однако проверить это утверждение не удалось, поскольку нет никаких признаков того, что какая-либо инфраструктура изменилась до исчезновения VIP72.

До середины августа главная домашняя страница VIP72 и вспомогательная инфраструктура оставались на одном и том же американском интернет-адресе более десяти лет

На самом деле, до середины августа главная домашняя страница и вспомогательная инфраструктура VIP72 оставались на одном и том же американском интернет-адресе более десяти лет – замечательное достижение для такой известной киберпреступной службы.

Киберпреступные форумы на многих языках пестрят руководствами о том, как использовать VIP72 для сокрытия своего местонахождения при совершении финансовых махинаций. Изучив некоторые из этих уроков, становится ясно, что VIP72 весьма популярен среди киберпреступников, которые занимаются “подбором учетных данных” – берут списки имен пользователей и паролей, украденных с одного сайта, и проверяют, сколько из этих учетных данных работает на других сайтах.

Corpse/Revive также долгое время управлял чрезвычайно популярным сервисом под названием check2ip[.]com, который обещал клиентам возможность быстро определить, отмечен ли данный интернет-адрес какими-либо компаниями безопасности как вредоносный или спамерский.

Размещенный на том же интернет-адресе, что и VIP72 в течение последнего десятилетия до середины августа 2021 года, Check2IP также рекламировал возможность для клиентов обнаруживать “утечки DNS”, случаи, когда ошибки конфигурации могут раскрыть истинный интернет-адрес скрытой киберпреступной инфраструктуры и услуг в сети.

Check2IP настолько популярен, что в некоторых сообществах киберпреступников он стал словесным сокращением для обозначения базовой должной осмотрительности. Кроме того, Check2IP был включен в различные киберпреступные службы в Интернете – но особенно в те, которые занимаются массовой рассылкой вредоносных и фишинговых электронных сообщений

Check2IP – служба репутации IP-адресов, которая сообщала посетителям, отмечен ли их интернет-адрес в списках блокировки спама или вредоносных программ.

Пока неясно, что случилось с VIP72; пользователи сообщают, что сеть анонимности продолжает функционировать, хотя сайт службы не работает уже две недели. Это вполне логично, поскольку зараженные системы, которые перепродаются через VIP72, все еще заражены и будут с радостью продолжать пересылать трафик до тех пор, пока они остаются зараженными. Возможно, домен был конфискован в ходе операции правоохранительных органов.

Но может быть и так, что сервис просто решил прекратить прием новых клиентов, потому что ему было трудно конкурировать с наплывом новых, более изощренных криминальных прокси-сервисов, а также с появлением “пуленепробиваемых” жилых прокси-сетей. В течение большей части своего существования до недавнего времени VIP72 обычно имел несколько сотен тысяч взломанных систем, доступных для аренды. К моменту исчезновения его сайта в прошлом месяце это число сократилось до менее чем 25 000 систем по всему миру.

Оставьте комментарий