02/09/25
Источником атак стала украинская автономная система FDN3 (AS211736), зарегистрированная на FOP Дмитрия Недильского. Каждая кампания длилась до трёх дней и была направлена на попытки проникновения в корпоративные сети, пишет Securitylab.
FDN3 входит в более широкую преступную инфраструктуру. В неё также входят украинские сети VAIZ-AS (AS61432) и ERISHENNYA-ASN (AS210950), а также зарегистрированная на Сейшелах TK-NET (AS210848). Все они появились в августе 2021 года и регулярно обмениваются IPv4-префиксами, чтобы обходить блокировки и продолжать размещать вредоносные сервисы.
Отчёт указывает и на устойчивые связи с другими криминальными операторами. В частности, речь идёт о Ecatel на Сейшелах — компании IP Volume Inc. (AS202425), которая стала основным транзитным провайдером для FDN3 и её партнёров. Через эту сеть запускались схожие атаки в те же периоды. Также зафиксировано взаимодействие с Virtualine — хостингом, управляющим американской сетью KPROHOST LLC (AS214940), которая тоже обменивалась префиксами с FDN3.
Несмотря на переобъявление префиксов через новые каналы, характер атак оставался неизменным. Это говорит о том, что всей инфраструктурой может управлять один администратор, меняющий только внешнюю обёртку, чтобы уходить от блокировок и усложнять обнаружение.
Исследование подготовила компания Intrinsec, которая привлекла свою службу Cyber Threat Intelligence. Команда собрала данные через собственные инструменты реагирования на инциденты, а также с помощью настроенных honeypot-систем.
