Stark Industries Solutions: Um Martelo de Ferro na Nuvem – Krebs on Security
Uma investigação revela que a Stark Industries Solutions, uma misteriosa empresa de hospedagem, está no centro de ataques DDoS e campanhas de desinformação pró-Rússia. A empresa, com ligações a grupos de hackers e serviços de proxy, opera uma vasta rede de proxies globais, levantando sérias preocupações sobre segurança cibernética e a origem de ataques.
MundiX News·26 de maio de 2026·15 min de leitura·👁 3 views
A página inicial da Stark Industries Solutions.
Duas semanas antes da invasão da Ucrânia pela Rússia, em fevereiro de 2022, uma nova e misteriosa empresa de hospedagem na Internet chamada Stark Industries Solutions surgiu e rapidamente se tornou o epicentro de massivos ataques distribuídos de negação de serviço (DDoS) contra alvos governamentais e comerciais na Ucrânia e na Europa. Uma investigação sobre a Stark Industries revela que ela está sendo usada como uma rede de proxy global que oculta a verdadeira origem de ataques cibernéticos e campanhas de desinformação contra inimigos da Rússia.
Pelo menos uma dúzia de grupos de hackers russos patrióticos têm lançado ataques DDoS desde o início da guerra contra uma variedade de alvos considerados opositores a Moscou. Mas, ao que tudo indica, poucos ataques dessas gangues chegaram perto da quantidade de poder de fogo exercido por um grupo pró-Rússia que se autodenomina “NoName057(16)”.
Este gráfico vem de um relatório recente da NETSCOUT sobre ataques DDoS de grupos hacktivistas russos.
Como detalhado por pesquisadores da Radware, a NoName efetivamente gamificou os ataques DDoS, recrutando hacktivistas por meio de seu canal no Telegram e oferecendo pagamento a pessoas que concordassem em instalar um software chamado DDoSia. Esse programa permite que a NoName comande os computadores hospedeiros e suas conexões com a Internet em campanhas DDoS coordenadas, e os usuários do DDoSia com o maior número de ataques podem ganhar prêmios em dinheiro.
O grupo NoName DDoS anunciando no Telegram. Imagem: SentinelOne.com.
Um relatório da empresa de segurança Team Cymru descobriu que a infraestrutura de ataque DDoS usada nas campanhas da NoName é atribuída a dois provedores de hospedagem interligados: MIRhosting e Stark Industries. A MIRhosting é uma provedora de hospedagem fundada na Holanda em 2004. Mas a Stark Industries Solutions Ltd foi constituída em 10 de fevereiro de 2022, apenas duas semanas antes da invasão russa da Ucrânia.
GUERRAS DE PROXY
Especialistas em segurança dizem que, logo após o início da guerra, a Stark começou a hospedar dezenas de serviços de proxy e serviços de rede privada virtual (VPN) gratuitos, que são projetados para ajudar os usuários a proteger seu uso da Internet e sua localização de olhares curiosos.
Os provedores de proxy permitem que os usuários encaminhem seu tráfego de navegação na Internet e na Web por meio do computador de outra pessoa. Da perspectiva de um site, o tráfego de um usuário de rede proxy parece se originar do endereço IP alugado, não do cliente do serviço proxy.
Esses serviços podem ser usados de maneira legítima para vários fins comerciais – como comparações de preços ou inteligência de vendas – mas também são massivamente abusados para ocultar atividades de crimes cibernéticos, pois podem dificultar o rastreamento do tráfego malicioso até sua fonte original.
Além disso, muitos serviços de proxy não divulgam como obtêm acesso aos proxies que estão alugando e, em muitos casos, o acesso é obtido por meio da disseminação de software malicioso que transforma o sistema infectado em um retransmissor de tráfego – geralmente sem o conhecimento do proprietário legítimo da conexão com a Internet. Outros serviços de proxy permitirão que os usuários ganhem dinheiro alugando sua conexão com a Internet para qualquer pessoa.
A Spur.us é uma empresa que rastreia VPNs e serviços de proxy em todo o mundo. A Spur descobriu que a Stark Industries (AS44477) atualmente abriga pelo menos 74 serviços de VPN e 40 serviços de proxy diferentes. Como veremos na seção final desta história, apenas uma dessas redes de proxy tem mais de um milhão de endereços de Internet disponíveis para aluguel em todo o mundo.
Raymond Dijkxhoorn opera uma empresa de hospedagem na Holanda chamada Prolocation. Ele também co-administra a SURBL, um serviço anti-abuso que sinaliza domínios e intervalos de endereços de Internet que estão fortemente associados a spam e atividades de crimes cibernéticos, incluindo DDoS.
Dijkxhoorn disse que no ano passado a SURBL ouviu de várias pessoas que disseram que operavam serviços de VPN cujos recursos da web foram incluídos nas listas de bloqueio da SURBL.
“Tivemos pessoas fazendo delistings na SURBL para nomes de domínio que foram suspensos pelos registradores”, disse Dijkxhoorn à KrebsOnSecurity. “E pelo menos dois deles explicaram que a Stark oferecia serviços de VPN gratuitos que eles estavam revendendo.”
Dijkxhoorn acrescentou que a Stark Industries também patrocinou grupos ativistas da Ucrânia.
“Quão valioso seria para a Rússia saber os IPs reais dos guerreiros de tecnologia da Ucrânia?”, observou ele.
NUBLADO COM CHANCE DE BALAS
Richard Hummel é o chefe de inteligência de ameaças da NETSCOUT. Hummel disse que, quando considera o pior de todos os provedores de hospedagem existentes hoje, a Stark Industries está consistentemente perto ou no topo dessa lista.
“A razão é que tivemos pelo menos uma dúzia de provedores de serviços que vieram até nós dizendo: ‘Há essa rede por aí nos inundando com tráfego’”, disse Hummel. “E nem foram ataques DDoS. [Os sistemas] na Stark estavam apenas escaneando esses provedores tão rápido que estava travando alguns de seus serviços.”
Hummel disse que a NoName normalmente lançará seus ataques usando uma mistura de recursos alugados de grandes serviços de nuvem legítimos e aqueles de provedores de hospedagem chamados “bulletproof” como a Stark. Os provedores bulletproof são assim chamados quando ganham ou cultivam uma reputação de ignorar quaisquer reclamações de abuso ou relatórios policiais sobre atividades em suas redes.
Combinar provedores bulletproof com hospedagem em nuvem legítima, disse Hummel, provavelmente torna as campanhas DDoS da NoName mais resilientes, porque muitos operadores de rede hesitarão em ser muito agressivos em bloquear endereços de Internet associados aos principais serviços de nuvem.
“O que normalmente vemos aqui é uma distribuição de provedores de hospedagem em nuvem e provedores de hospedagem bulletproof em ataques DDoS”, disse ele. “Eles estão usando provedores de hospedagem em nuvem pública porque muitas vezes essa é sua primeira camada de defesa de rede e porque [muitas empresas estão receosas de] bloquear em excesso o acesso a recursos de nuvem legítimos.”
Mas mesmo que o provedor de nuvem detecte abuso vindo do cliente, o provedor provavelmente não vai desligar o cliente imediatamente, disse Hummel.
“Normalmente há um período de carência e, mesmo que seja apenas uma ou duas horas, você ainda pode lançar um grande número de ataques nesse tempo”, disse ele. “E então eles continuam voltando e abrindo novas contas na nuvem.”
EQUIPE DE MERCENÁRIOS
A Stark Industries está constituída em um endereço de caixa postal no Reino Unido. Os registros comerciais do Reino Unido listam Ivan Vladimirovich Neculiti como secretário da empresa. O Sr. Neculiti também é nomeado como CEO e fundador da PQ Hosting Plus S.R.L. (também conhecida como Perfect Quality Hosting), uma empresa moldava formada em 2019 que lista o mesmo endereço de caixa postal do Reino Unido que a Stark Industries.
Ivan Neculiti, como retratado no LinkedIn.
Contatado via LinkedIn, o Sr. Neculiti disse que a PQ Hosting estabeleceu a Stark Industries como uma “marca branca” de sua marca para que “revendedores pudessem distribuir nossos serviços usando nossos endereços IP e seus clientes não teriam nenhum contato com a PQ Hosting”.
“A PQ Hosting é uma empresa com mais de 1.000+ de [nossos] próprios servidores físicos em 38 países e temos mais de 100.000 clientes”, disse ele. “Embora não sejamos tão grandes quanto Hetzner, Amazon e OVH, somos, no entanto, uma empresa de rápido crescimento que fornece serviços a dezenas de milhares de clientes privados e pessoas jurídicas.”
Questionado sobre o fluxo constante de ataques DDoS cujas origens foram rastreadas até a Stark Industries nos últimos dois anos, Neculiti afirmou que a Stark não recebeu nenhum relatório oficial de abuso sobre ataques vindos de suas redes.
“Provavelmente foi algum tipo de ataque inteligente que não vimos, não descarto esse fato, porque temos um número muito grande de clientes e nossos canais de Internet são bastante grandes”, disse ele. “Mas, nessa situação, infelizmente, ninguém entrou em contato conosco para relatar que houve um ataque de nossos endereços; se alguém tivesse entrado em contato conosco, definitivamente teríamos bloqueado os dados da rede.”
A DomainTools.com descobriu que Ivan V. Neculiti era o proprietário de war[.]md, um site lançado em 2008 que narrava a história de um conflito armado de 1990 na Moldávia conhecido como a Guerra da Transnístria e a guerra moldavo-russa.
Um anúncio para war.md, por volta de 2009.
A Transnístria é uma região pró-russa separatista que se declarou um estado em 1990, embora não seja reconhecida internacionalmente. Os direitos autorais desse site creditam a “MercenarieS TeaM”, que foi, em um determinado momento, uma empresa de TI moldava. O Sr. Neculiti confirmou pessoalmente o registro desse domínio.
DON CHICHO & DFYZ
O serviço de rastreamento de violação de dados Constella Intelligence relata que um Ivan V. Neculiti registrou várias contas online sob o endereço de e-mail dfyz_bk@bk.ru. A empresa de inteligência cibernética Intel 471 mostra que esse endereço de e-mail está vinculado ao nome de usuário “dfyz” em mais de meia dúzia de fóruns de crimes cibernéticos em língua russa desde 2008. O usuário dfyz no Searchengines[.]ru em 2008 pediu a outros membros do fórum que revisassem war.md e disse que faziam parte da MercenarieS TeaM.
Na época, dfyz estava vendendo “servidores bulletproof para qualquer finalidade”, o que significa que a empresa de hospedagem ignoraria intencionalmente reclamações de abuso ou investigações policiais sobre a atividade de seus clientes.
A DomainTools relata que existem pelo menos 33 nomes de domínio registrados para dfyz_bk@bk.ru. Vários desses domínios têm Ivan Neculiti em seus registros de registro, incluindo tracker-free[.]cn, que foi registrado para um Ivan Neculiti em dfyz_bk@bk.ru e fez referência à MercenarieS TeaM em seus registros de registro originais.
Dfyz também usou o apelido DonChicho, que também vendia serviços de hospedagem bulletproof e acesso a servidores de Internet hackeados. Em 2014, um membro proeminente da comunidade de crimes cibernéticos em língua russa Antichat apresentou uma reclamação contra DonChicho, dizendo que esse usuário os enganou e usou o endereço de e-mail dfyz_bk@bk.ru.
A reclamação dizia que DonChicho se registrou no Antichat a partir do endereço de Internet da Transnístria 84.234.55[.]29. A busca por este endereço na Constella revela que ele foi usado para registrar apenas cinco contas online que foram criadas ao longo dos anos, incluindo uma no ask.ru, onde o usuário se registrou com o endereço de e-mail neculitzy1@yandex.ru. A Constella também retorna para esse endereço de e-mail um usuário com o nome “Ivan” em memoraleak.com e 000webhost.com.
A Constella descobre que a senha mais frequentemente usada pelo endereço de e-mail dfyz_bk@bk.ru foi “filecast” e que existem mais de 90 endereços de e-mail associados a essa senha. Entre eles estão cerca de duas dúzias de endereços com o nome “Neculiti” neles, bem como o endereço support@donservers[.]ru.
A Intel 471 diz que DonChicho postou em vários fóruns de crimes cibernéticos russos que support@donservers[.]ru era seu endereço e que ele acessava fóruns de crimes cibernéticos quase exclusivamente a partir de endereços de Internet em Tiraspol, a capital da Transnístria. Uma revisão das postagens de DonChicho mostra que essa pessoa foi banida de vários fóruns em 2014 por enganar outros usuários.
Cópias em cache do domínio de vaidade de DonChicho (donchicho[.]ru) mostram que em 2009 ele era um spammer que vendia medicamentos falsificados por meio da Rx-Promotion, que já foi um dos maiores programas de geração de dinheiro de spam de farmácia para afiliados de língua russa.
O Sr. Neculiti disse à KrebsOnSecurity que nunca usou o apelido DonChicho.
“Posso garantir que não tenho nenhuma relação com DonChicho nem com seus servidores bulletproof”, disse ele.
Abaixo está um mapa mental que mostra as conexões entre as contas mencionadas acima.
Um mapa mental traçando a história do usuário Dfyz. Clique para ampliar.
No início deste ano, a NoName começou a atacar massivamente sites governamentais e da indústria na Moldávia. Um novo relatório da Arbor Networks diz que os ataques começaram por volta de 6 de março, quando a NoName alegou que o governo da Moldávia estava “desejando a russofobia”.
“Desde o início de março, mais de 50 sites foram alvejados, de acordo com a ‘prova’ postada pelos grupos envolvidos em atacar o país”, escreveu a Equipe ASERT da Arbor.
“Embora a NoName aparentemente tenha iniciado a rampa de ataques, uma série de outros hacktivistas DDoS se juntaram à briga, reivindicando crédito por ataques em mais de 15 setores.”
AÇÃO CORRECTIV
A agência de notícias independente alemã Correctiv.org publicou na semana passada um relatório investigativo contundente sobre a Stark Industries e a MIRhosting, que observa que Ivan Neculiti opera suas empresas de hospedagem com a ajuda de seu irmão, Yuri.
Crédito da imagem: correctiv.org.
O relatório aponta que a Stark Industries continua a hospedar um veículo de notícias de desinformação russo chamado “Recent Reliable News” (RRN) que foi sancionado pela União Europeia em 2023 por espalhar links para blogs de propaganda e sites falsos de mídia e governo europeus.
“O site não estava rodando em computadores em Moscou ou São Petersburgo até recentemente, mas no meio da UE, na Holanda, nos computadores dos irmãos Neculiti”, escreveram os repórteres da Correctiv.
“Após uma solicitação desta equipe editorial, um serviço conhecido foi instalado que oculta o host da web real”, continua o relatório. “Ivan Neculiti anunciou que havia bloqueado o acesso e o servidor associados após investigações internas. “Lamentamos muito que só agora estejamos descobrindo que um de nossos clientes é um portal sancionado”, disse o chefe da empresa. No entanto, o RRN ainda é acessível por meio de seus servidores.”
A Correctiv também aponta um relatório de janeiro de 2023 do governo ucraniano, que descobriu que os servidores da Stark Industries Solutions foram usados como parte de um ataque cibernético à agência de notícias ucraniana “Ukrinform”. A Correctiv observa que o notório grupo de hackers Sandworm – um grupo de ameaças persistentes avançadas (APT) operado por uma unidade de guerra cibernética do serviço de inteligência militar da Rússia – foi identificado pelas autoridades do governo ucraniano como responsável por esse ataque.
HOSPEDAGEM DA PAZ?
Registros públicos indicam que a MIRhosting está sediada na Holanda e é operada por Andrey Nesterenko, de 37 anos, cujo site pessoal diz que ele é um pianista de concerto talentoso que começou a se apresentar publicamente em tenra idade.
A DomainTools diz que mirhosting[.]com está registrado no Sr. Nesterenko e na Innovation IT Solutions Corp, que lista endereços em Londres e na cidade natal de Nesterenko, Nizhny Novgorod, Rússia.
Isso é interessante porque, de acordo com o livro Inside Cyber Warfare, de Jeffrey Carr, a Innovation IT Solutions Corp. foi responsável por hospedar StopGeorgia[.]ru, um site hacktivista para organizar ataques cibernéticos contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008. Acredita-se que esse conflito tenha sido a primeira guerra já travada em que um ataque cibernético notável e um confronto militar real ocorreram simultaneamente.
Respondendo a perguntas da KrebsOnSecurity, o Sr. Nesterenko disse que não podia dizer se sua rede já havia hospedado o site StopGeorgia em 2008 porque sua empresa não mantinha registros que remontassem a essa época. Mas ele disse que a Stark Industries Solutions é, de fato, uma das clientes de colocation da MIRhsoting.
“Nosso relacionamento é puramente provedor-cliente”, disse Nesterenko. “Eles também utilizam vários provedores e data centers globalmente, então conectá-los diretamente à MIRhosting ignora sua rede mais ampla.”
“Levamos a sério qualquer relatório de atividade maliciosa e estamos sempre abertos a informações que possam nos ajudar a identificar e prevenir o uso indevido de nossa infraestrutura, seja envolvendo a Stark Industries ou qualquer outro cliente”, continuou Nesterenko. “Em casos em que nossos serviços são explorados para fins maliciosos, colaboramos totalmente com a polícia cibernética holandesa e outras autoridades relevantes para investigar e tomar as medidas apropriadas. No entanto, ainda não recebemos nenhuma informação acionável além do próprio artigo, que não nos forneceu detalhes suficientes para identificar ou bloquear atores maliciosos.”
Em dezembro de 2022, a empresa de segurança Recorded Future perfilou a infraestrutura de phishing e coleta de credenciais usada para operações de espionagem alinhadas à Rússia por um grupo apelidado de Blue Charlie (também conhecido como TAG-53), que visava contas de e-mail de organizações não governamentais e think tanks, jornalistas e funcionários do governo e da defesa.
A Recorded Future descobriu que praticamente todos os domínios do Blue Charlie existiam em apenas dez ISPs diferentes, com uma concentração significativa localizada em duas redes, uma das quais era a MIRhosting. Tanto a Microsoft quanto o governo do Reino Unido avaliam que o Blue Charlie está ligado aos grupos de atividade de ameaças russas, variadamente conhecidos como Callisto Group, COLDRIVER e SEABORGIUM.
O Sr. Nesterenko discordou de uma história sobre esse relatório da The Record, que é de propriedade da Recorded Future.
“Discutimos seu conteúdo com nosso cliente, a Stark Industries”, disse ele. “Entendemos que eles iniciaram processos legais contra o site em questão, pois acreditam firmemente que as alegações feitas são imprecisas.”
A Recorded Future disse que atualizou sua história com comentários do Sr. Neculiti, mas que mantém sua reportagem.
O perfil do LinkedIn do Sr. Nesterenko diz que ele foi anteriormente gerente de vendas da região estrangeira na Serverius-as, uma empresa de hospedagem na Holanda que permanece no mesmo data center da MIRhosting.
Em fevereiro, a polícia holandesa tirou 13 servidores do ar que foram usados pelo infame grupo de ransomware LockBit, que originalmente se gabou em seu site da darknet que sua base era na Holanda. Fontes disseram à KrebsOnSecurity que os servidores apreendidos pela polícia holandesa estavam localizados no data center da Serverius em Dronten, que também é compartilhado pela MIRhosting.
A Serverius-as não respondeu aos pedidos de comentários. Nesterenko disse que a MIRhosting usa um dos data centers da Serverius para suas operações na Holanda, ao lado de outros dois data centers, mas que o incidente recente envolvendo a apreensão de servidores não tem conexão com a MIRhosting.
“Somos legalmente proibidos pela lei holandesa e pelos regulamentos da polícia de compartilhar informações com terceiros sobre quaisquer comunicações que possamos ter tido”, disse ele.
Um relatório de fevereiro de 2024 da empresa de segurança ESET descobriu que os sistemas da Serverius-as estavam envolvidos em uma série de ataques de phishing direcionados por grupos alinhados à Rússia contra entidades ucranianas ao longo de 2023. A ESET observou que, após os domínios de spearphishing não estarem mais ativos, eles foram convertidos para promover sites de farmácia na Internet desonestos.
ESPIANDO O VAZIO
Uma revisão das faixas de endereços de Internet recentemente adicionadas à rede operada pela Stark Industries Solutions oferece alguma visão sobre sua base de clientes, uso e talvez até mesmo origens verdadeiras.
Aqui está um instantâneo (PDF) de todas as faixas de endereços de Internet anunciadas pela Stark Industries até agora no mês de maio de 2024 (esta informação foi gentilmente compilada pela plataforma de observabilidade de rede Kentik.com).
Esses registros indicam que a maior parte do espaço IP usado pela Stark está na Holanda, seguida pela Alemanha e pelos Estados Unidos. A Stark diz que está conectada a aproximadamente 4.600 endereços de Internet que atualmente listam sua propriedade como Comcast Cable Communications.
Uma revisão dessas faixas de endereços na spur.us mostra que todos eles estão conectados a uma entidade chamada Proxyline, que é um serviço de proxy extenso com sede na Rússia que atualmente diz ter mais de 1,6 milhão de proxies globalmente que estão disponíveis para aluguel.
Proxyline ponto net.
Contatada para comentar, a Comcast disse que as faixas de endereços de Internet nunca pertenceram à Comcast, então é provável que a Stark tenha falsificado a localização real de seus anúncios de roteamento em alguns casos.
A Stark relata que tem mais de 67.000 endereços de Internet em Santa Clara, Califórnia, baseada em EGIhosting.
A Spur diz que todos os endereços da Stark envolvendo a EGIhosting também mapeiam para a Proxyline. A EGIhosting não respondeu aos pedidos de comentários.
A EGIhosting gerencia endereços de Internet para a empresa de hospedagem com sede no Chipre ITHOSTLINE LTD (também conhecida como HOSTLINE-LTD), que está representada em todas as faixas de Internet anunciadas pela Stark. A Stark diz que tem mais de 21.000 endereços de Internet com a HOSTLINE. A Spur.us descobre que os endereços da Proxyline estão especialmente concentrados nas faixas da Stark rotuladas ITHOSTLINE LTD, HOSTLINE-LTD e Proline IT.
A lista de rede da Stark inclui aproximadamente 21.000 endereços de Internet em Hockessin, De. baseada em DediPath, que encerrou abruptamente as operações sem aviso em agosto de 2023. De acordo com um relatório de phishing divulgado no ano passado pela Interisle Consulting, a DediPath foi a quarta fonte mais comum de ataques de phishing no ano encerrado em outubro de 2022. A Spur.us também descobre que praticamente todas as faixas de endereços da Stark marcadas “DediPath LLC” estão vinculadas à Proxyline.
Imagem: Interisle Consulting.
Um grande número das faixas de endereços de Internet anunciadas pela Stark em maio se originam na Índia, e os nomes que são autoatribuídos a muitas dessas redes indicam que elas foram usadas anteriormente para enviar grandes volumes de spam para produtos medicinais à base de plantas, com nomes como HerbalFarm, AdsChrome, Nutravo, Herbzoot e Herbalve.
A organização anti-spam SpamHaus relata que muitas das faixas de endereços IP indianas estão associadas ao conhecido “spam de neve”, uma forma de abuso que envolve campanhas de e-mail em massa espalhadas por vários domínios e endereços IP para enfraquecer as métricas de reputação e evitar filtros de spam.
Não está claro quanta parte do espaço de endereço de rede da Stark rastreia suas origens até a Rússia, mas grandes pedaços dele pertenciam recentemente a algumas das entidades mais antigas da Internet russa (também conhecida como “Runet”).
Por exemplo, muitas faixas de endereços da Stark foram atribuídas mais recentemente a uma entidade do governo russo cujo nome completo é o “Estabelecimento Educacional Autônomo Federal do Centro de Educação Profissional Adicional de Realização da Política Educacional Estadual e Tecnologias de Informação”.
Uma revisão das faixas de endereços de Internet adjacentes a esta entidade revela uma longa lista de organizações governamentais russas que fazem parte do Serviço Federal de Guarda da Federação Russa.
A Wikipedia diz que o Serviço Federal de Guarda é uma agência do governo federal russo preocupada com tarefas relacionadas à proteção de vários funcionários estaduais de alto escalão, incluindo o Presidente da Rússia, bem como certas propriedades federais. A agência remonta às origens da Nona Diretoria da KGB da URSS e, posteriormente, ao serviço de segurança presidencial.
A Stark anunciou recentemente a faixa de endereço 213.159.64.0/20 de 27 de abril a 1º de maio, e essa faixa foi atribuída anteriormente a um ISP antigo em São Petersburgo, RU, chamado Computer Technologies Institute Ltd.
De acordo com uma postagem no fórum de webmaster em língua russa searchengines[.]ru, o domínio do Computer Technologies Institute — ctinet[.]ru — é o sétimo domínio mais antigo em toda a história do Runet.
Curiosamente, a Stark também lista grandes extensões de endereços de Internet (perto de 48.000 no total) atribuídas a um pequeno ISP em Kharkiv, Ucrânia, chamado NetAssist. Contatado por e-mail, o CEO da NetAssist, Max Tulyev, confirmou que sua empresa fornece vários serviços à PQ Hosting.
“Nós colocamos seus equipamentos em Varsóvia, Madri, Sofia e Tessalônica, fornecemos a eles trânsito IP e endereços IPv4”, disse Tulyev. “Para seu tamanho, recebemos um número relativamente baixo de reclamações em suas redes. Nunca vi nada sobre sua atividade pró-russa ou apoio a hackers russos. É muito interessante para mim ver provas de suas acusações.”
A Spur.us mapeou toda a infraestrutura da Proxyline e encontrou mais de um milhão de proxies em vários provedores, mas, de longe, a maior concentração estava na Stark Industries Solutions. A lista completa de faixas de endereços da Proxyline (.CSV) mostra que dois outros ISPs aparecem repetidamente em toda a lista. Um é Kharkiv, Ucrânia, baseado em ITL LLC, também conhecido como Information Technology Laboratories Group e Integrated Technologies Laboratory.
O segundo é uma empresa de hospedagem relacionada em Miami, chamada Green Floid LLC. A Green Floid foi destaque em uma reportagem de 2017 da CNN, que perfilou o proprietário da empresa e o questionou sobre as fazendas de trolls russas que usavam redes de proxy na Green Floid e em sua empresa-mãe ITL para mascarar esforços de desinformação ligados ao Kremlin Internet Research Agency (IRA). Na época, a IRA estava usando o Facebook e outras redes de mídia social para espalhar vídeos mostrando a brutalidade policial contra afro-americanos em um esforço para incentivar protestos em todo os Estados Unidos.
Doug Madory, diretor de análise da Internet na Kentik, conseguiu ver em alto nível as principais fontes e destinos do tráfego que atravessa a rede da Stark.
“Com base em nosso NetFlow agregado, vemos o Irã como o principal destino (35,1%) para o tráfego que emana da Stark (AS44477)”, disse Madory. “Especificamente, o principal destino é a MTN Irancell, enquanto a principal fonte é o Facebook. Esses dados apoiam a teoria de que AS44477 abriga serviços de proxy, pois o Facebook é bloqueado no Irã.”
Em 30 de abril, a empresa de segurança Malwarebytes explorou uma extensa operação de malware que visa usuários corporativos da Internet com anúncios maliciosos. Entre os sites usados como iscas nessa campanha estavam sites falsos do Wall Street Journal e da CNN que diziam aos visitantes que eles eram obrigados a instalar uma extensão de navegador com a marca WSJ ou CNN (malware). A Malwarebytes descobriu que um nome de domínio central para essa operação foi hospedado em endereços de Internet de propriedade da Stark Industries.
Imagem: threatdown.com
A página inicial da Stark Industries Solutions.
Duas semanas antes da invasão da Ucrânia pela Rússia, em fevereiro de 2022, uma nova e misteriosa empresa de hospedagem na Internet chamada Stark Industries Solutions surgiu e rapidamente se tornou o epicentro de massivos ataques distribuídos de negação de serviço (DDoS) contra alvos governamentais e comerciais na Ucrânia e na Europa. Uma investigação sobre a Stark Industries revela que ela está sendo usada como uma rede de proxy global que oculta a verdadeira origem de ataques cibernéticos e campanhas de desinformação contra inimigos da Rússia.
Pelo menos uma dúzia de grupos de hackers russos patrióticos têm lançado ataques DDoS desde o início da guerra contra uma variedade de alvos considerados opositores a Moscou. Mas, ao que tudo indica, poucos ataques dessas gangues chegaram perto da quantidade de poder de fogo exercido por um grupo pró-Rússia que se autodenomina “NoName057(16)”.
Este gráfico vem de um relatório recente da NETSCOUT sobre ataques DDoS de grupos hacktivistas russos.
Como detalhado por pesquisadores da Radware, a NoName efetivamente gamificou os ataques DDoS, recrutando hacktivistas por meio de seu canal no Telegram e oferecendo pagamento a pessoas que concordassem em instalar um software chamado DDoSia. Esse programa permite que a NoName comande os computadores hospedeiros e suas conexões com a Internet em campanhas DDoS coordenadas, e os usuários do DDoSia com o maior número de ataques podem ganhar prêmios em dinheiro.
O grupo NoName DDoS anunciando no Telegram. Imagem: SentinelOne.com.
Um relatório da empresa de segurança Team Cymru descobriu que a infraestrutura de ataque DDoS usada nas campanhas da NoName é atribuída a dois provedores de hospedagem interligados: MIRhosting e Stark Industries. A MIRhosting é uma provedora de hospedagem fundada na Holanda em 2004. Mas a Stark Industries Solutions Ltd foi constituída em 10 de fevereiro de 2022, apenas duas semanas antes da invasão russa da Ucrânia.
GUERRAS DE PROXY
Especialistas em segurança dizem que, logo após o início da guerra, a Stark começou a hospedar dezenas de serviços de proxy e serviços de rede privada virtual (VPN) gratuitos, que são projetados para ajudar os usuários a proteger seu uso da Internet e sua localização de olhares curiosos.
Os provedores de proxy permitem que os usuários encaminhem seu tráfego de navegação na Internet e na Web por meio do computador de outra pessoa. Da perspectiva de um site, o tráfego de um usuário de rede proxy parece se originar do endereço IP alugado, não do cliente do serviço proxy.
Esses serviços podem ser usados de maneira legítima para vários fins comerciais – como comparações de preços ou inteligência de vendas – mas também são massivamente abusados para ocultar atividades de crimes cibernéticos, pois podem dificultar o rastreamento do tráfego malicioso até sua fonte original.
Além disso, muitos serviços de proxy não divulgam como obtêm acesso aos proxies que estão alugando e, em muitos casos, o acesso é obtido por meio da disseminação de software malicioso que transforma o sistema infectado em um retransmissor de tráfego – geralmente sem o conhecimento do proprietário legítimo da conexão com a Internet. Outros serviços de proxy permitirão que os usuários ganhem dinheiro alugando sua conexão com a Internet para qualquer pessoa.
A Spur.us é uma empresa que rastreia VPNs e serviços de proxy em todo o mundo. A Spur descobriu que a Stark Industries (AS44477) atualmente abriga pelo menos 74 serviços de VPN e 40 serviços de proxy diferentes. Como veremos na seção final desta história, apenas uma dessas redes de proxy tem mais de um milhão de endereços de Internet disponíveis para aluguel em todo o mundo.
Raymond Dijkxhoorn opera uma empresa de hospedagem na Holanda chamada Prolocation. Ele também co-administra a SURBL, um serviço anti-abuso que sinaliza domínios e intervalos de endereços de Internet que estão fortemente associados a spam e atividades de crimes cibernéticos, incluindo DDoS.
Dijkxhoorn disse que no ano passado a SURBL ouviu de várias pessoas que disseram que operavam serviços de VPN cujos recursos da web foram incluídos nas listas de bloqueio da SURBL.
“Tivemos pessoas fazendo delistings na SURBL para nomes de domínio que foram suspensos pelos registradores”, disse Dijkxhoorn à KrebsOnSecurity. “E pelo menos dois deles explicaram que a Stark oferecia serviços de VPN gratuitos que eles estavam revendendo.”
Dijkxhoorn acrescentou que a Stark Industries também patrocinou grupos ativistas da Ucrânia.
“Quão valioso seria para a Rússia saber os IPs reais dos guerreiros de tecnologia da Ucrânia?”, observou ele.
NUBLADO COM CHANCE DE BALAS
Richard Hummel é o chefe de inteligência de ameaças da NETSCOUT. Hummel disse que, quando considera o pior de todos os provedores de hospedagem existentes hoje, a Stark Industries está consistentemente perto ou no topo dessa lista.
“A razão é que tivemos pelo menos uma dúzia de provedores de serviços que vieram até nós dizendo: ‘Há essa rede por aí nos inundando com tráfego’”, disse Hummel. “E nem foram ataques DDoS. [Os sistemas] na Stark estavam apenas escaneando esses provedores tão rápido que estava travando alguns de seus serviços.”
Hummel disse que a NoName normalmente lançará seus ataques usando uma mistura de recursos alugados de grandes serviços de nuvem legítimos e aqueles de provedores de hospedagem chamados “bulletproof” como a Stark. Os provedores bulletproof são assim chamados quando ganham ou cultivam uma reputação de ignorar quaisquer reclamações de abuso ou relatórios policiais sobre atividades em suas redes.
Combinar provedores bulletproof com hospedagem em nuvem legítima, disse Hummel, provavelmente torna as campanhas DDoS da NoName mais resilientes, porque muitos operadores de rede hesitarão em ser muito agressivos em bloquear endereços de Internet associados aos principais serviços de nuvem.
“O que normalmente vemos aqui é uma distribuição de provedores de hospedagem em nuvem e provedores de hospedagem bulletproof em ataques DDoS”, disse ele. “Eles estão usando provedores de hospedagem em nuvem pública porque muitas vezes essa é sua primeira camada de defesa de rede e porque [muitas empresas estão receosas de] bloquear em excesso o acesso a recursos de nuvem legítimos.”
Mas mesmo que o provedor de nuvem detecte abuso vindo do cliente, o provedor provavelmente não vai desligar o cliente imediatamente, disse Hummel.
“Normalmente há um período de carência e, mesmo que seja apenas uma ou duas horas, você ainda pode lançar um grande número de ataques nesse tempo”, disse ele. “E então eles continuam voltando e abrindo novas contas na nuvem.”
EQUIPE DE MERCENÁRIOS
A Stark Industries está constituída em um endereço de caixa postal no Reino Unido. Os registros comerciais do Reino Unido listam Ivan Vladimirovich Neculiti como secretário da empresa. O Sr. Neculiti também é nomeado como CEO e fundador da PQ Hosting Plus S.R.L. (também conhecida como Perfect Quality Hosting), uma empresa moldava formada em 2019 que lista o mesmo endereço de caixa postal do Reino Unido que a Stark Industries.
Ivan Neculiti, como retratado no LinkedIn.
Contatado via LinkedIn, o Sr. Neculiti disse que a PQ Hosting estabeleceu a Stark Industries como uma “marca branca” de sua marca para que “revendedores pudessem distribuir nossos serviços usando nossos endereços IP e seus clientes não teriam nenhum contato com a PQ Hosting”.
“A PQ Hosting é uma empresa com mais de 1.000+ de [nossos] próprios servidores físicos em 38 países e temos mais de 100.000 clientes”, disse ele. “Embora não sejamos tão grandes quanto Hetzner, Amazon e OVH, somos, no entanto, uma empresa de rápido crescimento que fornece serviços a dezenas de milhares de clientes privados e pessoas jurídicas.”
Questionado sobre o fluxo constante de ataques DDoS cujas origens foram rastreadas até a Stark Industries nos últimos dois anos, Neculiti afirmou que a Stark não recebeu nenhum relatório oficial de abuso sobre ataques vindos de suas redes.
“Provavelmente foi algum tipo de ataque inteligente que não vimos, não descarto esse fato, porque temos um número muito grande de clientes e nossos canais de Internet são bastante grandes”, disse ele. “Mas, nessa situação, infelizmente, ninguém entrou em contato conosco para relatar que houve um ataque de nossos endereços; se alguém tivesse entrado em contato conosco, definitivamente teríamos bloqueado os dados da rede.”
A DomainTools.com descobriu que Ivan V. Neculiti era o proprietário de war[.]md, um site lançado em 2008 que narrava a história de um conflito armado de 1990 na Moldávia conhecido como a Guerra da Transnístria e a guerra moldavo-russa.
Um anúncio para war.md, por volta de 2009.
A Transnístria é uma região pró-russa separatista que se declarou um estado em 1990, embora não seja reconhecida internacionalmente. Os direitos autorais desse site creditam a “MercenarieS TeaM”, que foi, em um determinado momento, uma empresa de TI moldava. O Sr. Neculiti confirmou pessoalmente o registro desse domínio.
DON CHICHO & DFYZ
O serviço de rastreamento de violação de dados Constella Intelligence relata que um Ivan V. Neculiti registrou várias contas online sob o endereço de e-mail dfyz_bk@bk.ru. A empresa de inteligência cibernética Intel 471 mostra que esse endereço de e-mail está vinculado ao nome de usuário “dfyz” em mais de meia dúzia de fóruns de crimes cibernéticos em língua russa desde 2008. O usuário dfyz no Searchengines[.]ru em 2008 pediu a outros membros do fórum que revisassem war.md e disse que faziam parte da MercenarieS TeaM.
Na época, dfyz estava vendendo “servidores bulletproof para qualquer finalidade”, o que significa que a empresa de hospedagem ignoraria intencionalmente reclamações de abuso ou investigações policiais sobre a atividade de seus clientes.
A DomainTools relata que existem pelo menos 33 nomes de domínio registrados para dfyz_bk@bk.ru. Vários desses domínios têm Ivan Neculiti em seus registros de registro, incluindo tracker-free[.]cn, que foi registrado para um Ivan Neculiti em dfyz_bk@bk.ru e fez referência à MercenarieS TeaM em seus registros de registro originais.
Dfyz também usou o apelido DonChicho, que também vendia serviços de hospedagem bulletproof e acesso a servidores de Internet hackeados. Em 2014, um membro proeminente da comunidade de crimes cibernéticos em língua russa Antichat apresentou uma reclamação contra DonChicho, dizendo que esse usuário os enganou e usou o endereço de e-mail dfyz_bk@bk.ru.
A reclamação dizia que DonChicho se registrou no Antichat a partir do endereço de Internet da Transnístria 84.234.55[.]29. A busca por este endereço na Constella revela que ele foi usado para registrar apenas cinco contas online que foram criadas ao longo dos anos, incluindo uma no ask.ru, onde o usuário se registrou com o endereço de e-mail neculitzy1@yandex.ru. A Constella também retorna para esse endereço de e-mail um usuário com o nome “Ivan” em memoraleak.com e 000webhost.com.
A Constella descobre que a senha mais frequentemente usada pelo endereço de e-mail dfyz_bk@bk.ru foi “filecast” e que existem mais de 90 endereços de e-mail associados a essa senha. Entre eles estão cerca de duas dúzias de endereços com o nome “Neculiti” neles, bem como o endereço support@donservers[.]ru.
A Intel 471 diz que DonChicho postou em vários fóruns de crimes cibernéticos russos que support@donservers[.]ru era seu endereço e que ele acessava fóruns de crimes cibernéticos quase exclusivamente a partir de endereços de Internet em Tiraspol, a capital da Transnístria. Uma revisão das postagens de DonChicho mostra que essa pessoa foi banida de vários fóruns em 2014 por enganar outros usuários.
Cópias em cache do domínio de vaidade de DonChicho (donchicho[.]ru) mostram que em 2009 ele era um spammer que vendia medicamentos falsificados por meio da Rx-Promotion, que já foi um dos maiores programas de geração de dinheiro de spam de farmácia para afiliados de língua russa.
O Sr. Neculiti disse à KrebsOnSecurity que nunca usou o apelido DonChicho.
“Posso garantir que não tenho nenhuma relação com DonChicho nem com seus servidores bulletproof”, disse ele.
Abaixo está um mapa mental que mostra as conexões entre as contas mencionadas acima.
Um mapa mental traçando a história do usuário Dfyz. Clique para ampliar.
No início deste ano, a NoName começou a atacar massivamente sites governamentais e da indústria na Moldávia. Um novo relatório da Arbor Networks diz que os ataques começaram por volta de 6 de março, quando a NoName alegou que o governo da Moldávia estava “desejando a russofobia”.
“Desde o início de março, mais de 50 sites foram alvejados, de acordo com a ‘prova’ postada pelos grupos envolvidos em atacar o país”, escreveu a Equipe ASERT da Arbor.
“Embora a NoName aparentemente tenha iniciado a rampa de ataques, uma série de outros hacktivistas DDoS se juntaram à briga, reivindicando crédito por ataques em mais de 15 setores.”
AÇÃO CORRECTIV
A agência de notícias independente alemã Correctiv.org publicou na semana passada um relatório investigativo contundente sobre a Stark Industries e a MIRhosting, que observa que Ivan Neculiti opera suas empresas de hospedagem com a ajuda de seu irmão, Yuri.
Crédito da imagem: correctiv.org.
O relatório aponta que a Stark Industries continua a hospedar um veículo de notícias de desinformação russo chamado “Recent Reliable News” (RRN) que foi sancionado pela União Europeia em 2023 por espalhar links para blogs de propaganda e sites falsos de mídia e governo europeus.
“O site não estava rodando em computadores em Moscou ou São Petersburgo até recentemente, mas no meio da UE, na Holanda, nos computadores dos irmãos Neculiti”, escreveram os repórteres da Correctiv.
“Após uma solicitação desta equipe editorial, um serviço conhecido foi instalado que oculta o host da web real”, continua o relatório. “Ivan Neculiti anunciou que havia bloqueado o acesso e o servidor associados após investigações internas. “Lamentamos muito que só agora estejamos descobrindo que um de nossos clientes é um portal sancionado”, disse o chefe da empresa. No entanto, o RRN ainda é acessível por meio de seus servidores.”
A Correctiv também aponta um relatório de janeiro de 2023 do governo ucraniano, que descobriu que os servidores da Stark Industries Solutions foram usados como parte de um ataque cibernético à agência de notícias ucraniana “Ukrinform”. A Correctiv observa que o notório grupo de hackers Sandworm – um grupo de ameaças persistentes avançadas (APT) operado por uma unidade de guerra cibernética do serviço de inteligência militar da Rússia – foi identificado pelas autoridades do governo ucraniano como responsável por esse ataque.
HOSPEDAGEM DA PAZ?
Registros públicos indicam que a MIRhosting está sediada na Holanda e é operada por Andrey Nesterenko, de 37 anos, cujo site pessoal diz que ele é um pianista de concerto talentoso que começou a se apresentar publicamente em tenra idade.
A DomainTools diz que mirhosting[.]com está registrado no Sr. Nesterenko e na Innovation IT Solutions Corp, que lista endereços em Londres e na cidade natal de Nesterenko, Nizhny Novgorod, Rússia.
Isso é interessante porque, de acordo com o livro Inside Cyber Warfare, de Jeffrey Carr, a Innovation IT Solutions Corp. foi responsável por hospedar StopGeorgia[.]ru, um site hacktivista para organizar ataques cibernéticos contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008. Acredita-se que esse conflito tenha sido a primeira guerra já travada em que um ataque cibernético notável e um confronto militar real ocorreram simultaneamente.
Respondendo a perguntas da KrebsOnSecurity, o Sr. Nesterenko disse que não podia dizer se sua rede já havia hospedado o site StopGeorgia em 2008 porque sua empresa não mantinha registros que remontassem a essa época. Mas ele disse que a Stark Industries Solutions é, de fato, uma das clientes de colocation da MIRhsoting.
“Nosso relacionamento é puramente provedor-cliente”, disse Nesterenko. “Eles também utilizam vários provedores e data centers globalmente, então conectá-los diretamente à MIRhosting ignora sua rede mais ampla.”
“Levamos a sério qualquer relatório de atividade maliciosa e estamos sempre abertos a informações que possam nos ajudar a identificar e prevenir o uso indevido de nossa infraestrutura, seja envolvendo a Stark Industries ou qualquer outro cliente”, continuou Nesterenko. “Em casos em que nossos serviços são explorados para fins maliciosos, colaboramos totalmente com a polícia cibernética holandesa e outras autoridades relevantes para investigar e tomar as medidas apropriadas. No entanto, ainda não recebemos nenhuma informação acionável além do próprio artigo, que não nos forneceu detalhes suficientes para identificar ou bloquear atores maliciosos.”
Em dezembro de 2022, a empresa de segurança Recorded Future perfilou a infraestrutura de phishing e coleta de credenciais usada para operações de espionagem alinhadas à Rússia por um grupo apelidado de Blue Charlie (também conhecido como TAG-53), que visava contas de e-mail de organizações não governamentais e think tanks, jornalistas e funcionários do governo e da defesa.
A Recorded Future descobriu que praticamente todos os domínios do Blue Charlie existiam em apenas dez ISPs diferentes, com uma concentração significativa localizada em duas redes, uma das quais era a MIRhosting. Tanto a Microsoft quanto o governo do Reino Unido avaliam que o Blue Charlie está ligado aos grupos de atividade de ameaças russas, variadamente conhecidos como Callisto Group, COLDRIVER e SEABORGIUM.
O Sr. Nesterenko discordou de uma história sobre esse relatório da The Record, que é de propriedade da Recorded Future.
“Discutimos seu conteúdo com nosso cliente, a Stark Industries”, disse ele. “Entendemos que eles iniciaram processos legais contra o site em questão, pois acreditam firmemente que as alegações feitas são imprecisas.”
A Recorded Future disse que atualizou sua história com comentários do Sr. Neculiti, mas que mantém sua reportagem.
O perfil do LinkedIn do Sr. Nesterenko diz que ele foi anteriormente gerente de vendas da região estrangeira na Serverius-as, uma empresa de hospedagem na Holanda que permanece no mesmo data center da MIRhosting.
Em fevereiro, a polícia holandesa tirou 13 servidores do ar que foram usados pelo infame grupo de ransomware LockBit, que originalmente se gabou em seu site da darknet que sua base era na Holanda. Fontes disseram à KrebsOnSecurity que os servidores apreendidos pela polícia holandesa estavam localizados no data center da Serverius em Dronten, que também é compartilhado pela MIRhosting.
A Serverius-as não respondeu aos pedidos de comentários. Nesterenko disse que a MIRhosting usa um dos data centers da Serverius para suas operações na Holanda, ao lado de outros dois data centers, mas que o incidente recente envolvendo a apreensão de servidores não tem conexão com a MIRhosting.
“Somos legalmente proibidos pela lei holandesa e pelos regulamentos da polícia de compartilhar informações com terceiros sobre quaisquer comunicações que possamos ter tido”, disse ele.
Um relatório de fevereiro de 2024 da empresa de segurança ESET descobriu que os sistemas da Serverius-as estavam envolvidos em uma série de ataques de phishing direcionados por grupos alinhados à Rússia contra entidades ucranianas ao longo de 2023. A ESET observou que, após os domínios de spearphishing não estarem mais ativos, eles foram convertidos para promover sites de farmácia na Internet desonestos.
ESPIANDO O VAZIO
Uma revisão das faixas de endereços de Internet recentemente adicionadas à rede operada pela Stark Industries Solutions oferece alguma visão sobre sua base de clientes, uso e talvez até mesmo origens verdadeiras.
Aqui está um instantâneo (PDF) de todas as faixas de endereços de Internet anunciadas pela Stark Industries até agora no mês de maio de 2024 (esta informação foi gentilmente compilada pela plataforma de observabilidade de rede Kentik.com).
Esses registros indicam que a maior parte do espaço IP usado pela Stark está na Holanda, seguida pela Alemanha e pelos Estados Unidos. A Stark diz que está conectada a aproximadamente 4.600 endereços de Internet que atualmente listam sua propriedade como Comcast Cable Communications.
Uma revisão dessas faixas de endereços na spur.us mostra que todos eles estão conectados a uma entidade chamada Proxyline, que é um serviço de proxy extenso com sede na Rússia que atualmente diz ter mais de 1,6 milhão de proxies globalmente que estão disponíveis para aluguel.
Proxyline ponto net.
Contatada para comentar, a Comcast disse que as faixas de endereços de Internet nunca pertenceram à Comcast, então é provável que a Stark tenha falsificado a localização real de seus anúncios de roteamento em alguns casos.
A Stark relata que tem mais de 67.000 endereços de Internet em Santa Clara, Califórnia, baseada em EGIhosting.
A Spur diz que todos os endereços da Stark envolvendo a EGIhosting também mapeiam para a Proxyline. A EGIhosting não respondeu aos pedidos de comentários.
A EGIhosting gerencia endereços de Internet para a empresa de hospedagem com sede no Chipre ITHOSTLINE LTD (também conhecida como HOSTLINE-LTD), que está representada em todas as faixas de Internet anunciadas pela Stark. A Stark diz que tem mais de 21.000 endereços de Internet com a HOSTLINE. A Spur.us descobre que os endereços da Proxyline estão especialmente concentrados nas faixas da Stark rotuladas ITHOSTLINE LTD, HOSTLINE-LTD e Proline IT.
A lista de rede da Stark inclui aproximadamente 21.000 endereços de Internet em Hockessin, De. baseada em DediPath, que encerrou abruptamente as operações sem aviso em agosto de 2023. De acordo com um relatório de phishing divulgado no ano passado pela Interisle Consulting, a DediPath foi a quarta fonte mais comum de ataques de phishing no ano encerrado em outubro de 2022. A Spur.us também descobre que praticamente todas as faixas de endereços da Stark marcadas “DediPath LLC” estão vinculadas à Proxyline.
Imagem: Interisle Consulting.
Um grande número das faixas de endereços de Internet anunciadas pela Stark em maio se originam na Índia, e os nomes que são autoatribuídos a muitas dessas redes indicam que elas foram usadas anteriormente para enviar grandes volumes de spam para produtos medicinais à base de plantas, com nomes como HerbalFarm, AdsChrome, Nutravo, Herbzoot e Herbalve.
A organização anti-spam SpamHaus relata que muitas das faixas de endereços IP indianas estão associadas ao conhecido “spam de neve”, uma forma de abuso que envolve campanhas de e-mail em massa espalhadas por vários domínios e endereços IP para enfraquecer as métricas de reputação e evitar filtros de spam.
Não está claro quanta parte do espaço de endereço de rede da Stark rastreia suas origens até a Rússia, mas grandes pedaços dele pertenciam recentemente a algumas das entidades mais antigas da Internet russa (também conhecida como “Runet”).
Por exemplo, muitas faixas de endereços da Stark foram atribuídas mais recentemente a uma entidade do governo russo cujo nome completo é o “Estabelecimento Educacional Autônomo Federal do Centro de Educação Profissional Adicional de Realização da Política Educacional Estadual e Tecnologias de Informação”.
Uma revisão das faixas de endereços de Internet adjacentes a esta entidade revela uma longa lista de organizações governamentais russas que fazem parte do Serviço Federal de Guarda da Federação Russa.
A Wikipedia diz que o Serviço Federal de Guarda é uma agência do governo federal russo preocupada com tarefas relacionadas à proteção de vários funcionários estaduais de alto escalão, incluindo o Presidente da Rússia, bem como certas propriedades federais. A agência remonta às origens da Nona Diretoria da KGB da URSS e, posteriormente, ao serviço de segurança presidencial.
A Stark anunciou recentemente a faixa de endereço 213.159.64.0/20 de 27 de abril a 1º de maio, e essa faixa foi atribuída anteriormente a um ISP antigo em São Petersburgo, RU, chamado Computer Technologies Institute Ltd.
De acordo com uma postagem no fórum de webmaster em língua russa searchengines[.]ru, o domínio do Computer Technologies Institute — ctinet[.]ru — é o sétimo domínio mais antigo em toda a história do Runet.
Curiosamente, a Stark também lista grandes extensões de endereços de Internet (perto de 48.000 no total) atribuídas a um pequeno ISP em Kharkiv, Ucrânia, chamado NetAssist. Contatado por e-mail, o CEO da NetAssist, Max Tulyev, confirmou que sua empresa fornece vários serviços à PQ Hosting.
“Nós colocamos seus equipamentos em Varsóvia, Madri, Sofia e Tessalônica, fornecemos a eles trânsito IP e endereços IPv4”, disse Tulyev. “Para seu tamanho, recebemos um número relativamente baixo de reclamações em suas redes. Nunca vi nada sobre sua atividade pró-russa ou apoio a hackers russos. É muito interessante para mim ver provas de suas acusações.”
A Spur.us mapeou toda a infraestrutura da Proxyline e encontrou mais de um milhão de proxies em vários provedores, mas, de longe, a maior concentração estava na Stark Industries Solutions. A lista completa de faixas de endereços da Proxyline (.CSV) mostra que dois outros ISPs aparecem repetidamente em toda a lista. Um é Kharkiv, Ucrânia, baseado em ITL LLC, também conhecido como Information Technology Laboratories Group e Integrated Technologies Laboratory.
O segundo é uma empresa de hospedagem relacionada em Miami, chamada Green Floid LLC. A Green Floid foi destaque em uma reportagem de 2017 da CNN, que perfilou o proprietário da empresa e o questionou sobre as fazendas de trolls russas que usavam redes de proxy na Green Floid e em sua empresa-mãe ITL para mascarar esforços de desinformação ligados ao Kremlin Internet Research Agency (IRA). Na época, a IRA estava usando o Facebook e outras redes de mídia social para espalhar vídeos mostrando a brutalidade policial contra afro-americanos em um esforço para incentivar protestos em todo os Estados Unidos.
Doug Madory, diretor de análise da Internet na Kentik, conseguiu ver em alto nível as principais fontes e destinos do tráfego que atravessa a rede da Stark.
“Com base em nosso NetFlow agregado, vemos o Irã como o principal destino (35,1%) para o tráfego que emana da Stark (AS44477)”, disse Madory. “Especificamente, o principal destino é a MTN Irancell, enquanto a principal fonte é o Facebook. Esses dados apoiam a teoria de que AS44477 abriga serviços de proxy, pois o Facebook é bloqueado no Irã.”
Em 30 de abril, a empresa de segurança Malwarebytes explorou uma extensa operação de malware que visa usuários corporativos da Internet com anúncios maliciosos. Entre os sites usados como iscas nessa campanha estavam sites falsos do Wall Street Journal e da CNN que diziam aos visitantes que eles eram obrigados a instalar uma extensão de navegador com a marca WSJ ou CNN (malware). A Malwarebytes descobriu que um nome de domínio central para essa operação foi hospedado em endereços de Internet de propriedade da Stark Industries.
