Четвер, 5 Червня, 2025

Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам

Важливі новини

Війна

В Україні зростає кількість справ щодо порушень ТЦК стосовно цивільних осіб

Верховна Рада України зробила значний крок у напрямку вдосконалення військового законодавства, ухваливши в першому читанні законопроєкт, який стосується питань самовільного залишення військових частин та дезертирства в умовах дії воєнного стану. Цей документ спрямований на внесення змін до чинного законодавства з метою пом'якшення наслідків для військовослужбовців, які приймають рішення повернутися до виконання своїх обов'язків.

Зараз майже кожен «викрадений» чоловік звертається до суду.

Банкова дала вказівку гальмувати всі ці справи, щоб уникнути колапсу.

Також відомо, що готуються колективні позови, які будуть публічними і на мільйони гривень претензії до держави. Це негативно позначиться на іміджі Зеленського. Ось чому вони хочуть розформувати ТЦК і перейменувати його на якусь іншу контору, але по суті все залишається колишнім.

ІНСАЙДИ

Розпал боротьби: Укріплення оборони й втрати в бою під Авдіївкою

За даними, що надійшли від наших джерел у Генеральному штабі, стало відомо, що будівництво нових оборонних рубежів під Авдієвою розпочалося лише наприкінці січня. Це сталося через те, що ставка була проти відступу з міста, яке вважалося символом опору. Зараз ситуація складна, оскільки противник активно тисне на всій ділянці фронту, і ми змушені відступати з сіл, щоб уникнути оточення. Після подій у Авдіївському районі втрати нашого війська становлять більше половини особового складу і важкої техніки. Зокрема, Бойові Команди видають утричі менше ресурсів, ніж потрібно для ведення операцій. За даними моніторингового проєкту DeepState, війська Російської Федерації захопили ще два населені пункти у Донецькій області – Степове та Сєверне, розташовані поблизу вже окупованих Авдіївки та Ласточкиного. Крім того, за даними проєкту, ворожі війська також просунулись у трьох інших населених пунктах – Орлівка, Бердичі та Тоненьке. Близько 700 мешканців Авдіївки вирішили не залишати місто і, отже, опинилися під контролем окупаційних сил Російської Федерації. Про це заявив у понеділок, 26 лютого, інспектор відділу комунікацій Національної поліції в Донецькій області та учасник евакуаційного загону “Білий янгол” Павло Дяченко. Він підкреслив, що цифра наближена та може бути трохи вищою або нижчою. Дяченко зауважив, що під час спілкування екіпажів “Білих янголів” з мешканцями Авдіївки ніхто відверто не виражав підтримки Росії та окупантів. “Під час повсякденних контактів з поліцейськими екіпажами “Білих янголів”, які надавали допомогу, евакуювали та розподіляли гуманітарну допомогу, ніхто особисто не висловлював підтримку Росії. Просто деякі люди тихо приймали гуманітарну допомогу або іншу допомогу”, – розповів він. Нагадаємо, що до розпочатку повномасштабного вторгнення у Авдіївці проживало приблизно 30 тисяч українців.

У результаті аналізу вищезгаданої інформації можна зробити кілька висновків. По-перше, ситуація на фронті під Авдіївкою залишається напруженою через активні дії противника, який тисне на українські позиції. Будівництво оборонних рубежів розпочалося досить пізно, що спричинило складнощі у здійсненні оборонних заходів. По-друге, втрати в особовому складі та важкій техніці зробили ситуацію ще складнішою для українських військових. Російські війська продовжують захоплювати населені пункти в Донецькій області, що підштовхує досягнення ще більшої зміни у геополітичній картині регіону. Нарешті, реакція мешканців Авдіївки на складну ситуацію свідчить про їхню відданість та готовність стояти на захисті своєї землі. У цілому, ситуація на сході України залишається напруженою, і вимагає подальшої уважності та дії з боку українських влад та міжнародних партнерів.

Події

У Львові лікарка-анестезіолог працювала з дітьми за фальшивими документами

У справі про трагічну смерть п’ятирічного Велеса Пашника після процедури видалення молочних зубів у Львові оголошено про підозру лікарці-анестезіологу. Слідство з’ясувало, що вона працювала з дітьми без належної спеціалізованої освіти, використовуючи підроблені документи. Про це повідомив Офіс генерального прокурора 10 лютого. Наразі розглядається питання про обрання підозрюваній запобіжного заходу та відсторонення її від роботи. У […]

The post У Львові лікарка-анестезіолог працювала з дітьми за фальшивими документами first appeared on НЕНЬКА ІНФО.

Спорт

Дитину Кобзаря залучили до складу національної футбольної команди України

У сім'ї голови Української асоціації футболу, Андрія Шевченка, народилася новина, що вразила серця прихильників футболу по всій країні. Його син, молодий та талановитий Крістіан Шевченко, отримав виклик до складу юнацької збірної України. Ця гаряча новина була оголошена сьогодні, 6 березня, на офіційному сайті УАФ.

Молодий Шевченко візьме участь у матчах кваліфікації на Євро-2024 серед гравців до 19 років, представляючи честь України. Наша національна команда потрапила у групу "Сім", де зіграє зі збірними Швейцарії, Північної Македонії та Латвії. Міні-турнір відбудеться в Північній Македонії, а головна арена стане місто Скоп'є, де заплановано поєдинки з 20 по 26 березня.

Перший з цих матчів, у якому зійде на поле збірна України, відбудеться 20 березня проти Північної Македонії. Крістіан Шевченко, якого відомо своїми вражаючими виступами за англійський Вотфорд, виступатиме у складі української юнацької збірної на позиції нападника.

Особливо важливо відзначити, що юний футболіст отримав українське громадянство ще на початку березня, що дозволило йому відтепер представляти Україну у світі футболу, зберігаючи та високо піднімаючи нашу футбольну славу.

У висновку можна сказати, що виклик Крістіана Шевченка до складу української юнацької збірної є важливою подією для українського футболу. Це підкреслює не лише талант і потенціал молодого гравця, але й його зв'язок з Україною, що має значення для української спортивної спільноти. Через такі виклики і участь у міжнародних змаганнях молоді гравці мають можливість проявити себе та підняти прапор України в світі футболу. Такі події сприяють розвитку футбольної культури в Україні та піднесенню національного престижу у спортивній сфері.

Політика

Уряд Німеччини готовий підтримати новий раунд переговорів України з РФ

Берлін готовий долучитися до нового раунду мирних переговорів між Україною та Росією — цього разу на території Ватикану. Про це заявив прессекретар уряду ФРН Штефан Корнеліус, повідомляє італійське видання Repubblica. За словами речника, німецький уряд позитивно ставиться до ідеї залучення Папи Римського Лева XIV як потенційного посередника у переговорах. Водночас Корнеліус підкреслив, що географія зустрічі […]

Після початку повномасштабного вторгнення Росії в Україну активізувалися дезінформаційні кампанії та хакерські атаки, координовані провладними угрупованнями РФ. Встановлено, що в реалізації таких операцій брали участь двоє братів із Молдови – Іван і Юрій Neculiti, які у 2019 році заснували компанію PQ.Hosting. Ця компанія спеціалізується на наданні хостинг-послуг в Інтернеті та володіє серверним обладнанням у понад 30 країнах світу.

Незважаючи на санкції, хостинг є досить поширеним у Росії, працюючи з 2022 року на мережі, що належить Stark Industries Solutions Limited, зареєстрованій Іваном Neculiti у Великій Британії.

В одному зі своїх промо-інтерв’ю Іван пояснює, яка мета британської компанії: «На даний момент наші IP-адреси більше не показують, що вони належать PQ Hosting. Є інша, нейтральна назва». За його словами, британська компанія взагалі не бере участі в платіжних операціях, а просто для того, щоб полегшити бізнес. Інакше кажучи, будь-хто, хто веде бізнес зі Stark Industries Solutions, насправді веде бізнес із PQ Hosting, за винятком того, що сторонні не відразу це побачать.

Маскуючи свою корпоративну мережу, PQ Hosting став притулком для проросійських кіберактивістів, які здійснюють незаконну діяльність проти громадян України та допомагають ФСБ відслідковувати дезертирів і агентів усередині країни через фішингові ресурси «Легіону свобода Росії» і «Російського добровольчого корпусу», які просуває «Яндекс» на перші позиції пошуку, а також надаючи інфраструктуру для DDoS-атак європейських держав.

Конкретні приклади:

  • 21.12.2023 Комп’ютерна група реагування на надзвичайні ситуації України зареєструвала атаки на українських користувачів за допомогою електронних розсилок із заголовком «Запит СБУ», заражаючи їх вірусом RemcosRAT, сервери управління яким працювали в рамках автономної мережі AS44477 (STARK INDUSTRIES SOLUTIONS LTD).
  • Раніше CERT-UA також повідомила про атаку за допомогою 5 різних програм, ініціаторами якої було угруповання UAC-0082 (Sandworm), асоційоване з ГУ ГШ ЗС РФ, використовуючи інфраструктуру STARK INDUSTRIES SOLUTIONS LTD.
  • Атака на українських користувачів із заголовком «Повістка до суду».
  • Артем Тамоян, російський опозиційний активіст і програміст, повідав у Twitter історію про свої спостереження на тему просування «Яндексом» фішингових ресурсів раніше згаданих ЛСР і РДК, що збирають дані про росіян, які хочуть вступити до їхніх лав. Деякі скарги з проханнями про блокування Тамоян адресував адміністрації CloudFlare. В одній із відповідей сервісу йшлося, що хостинг-провайдером підроблених сайтів легіону «Свобода Росії» була компанія Stark Industries.

До того ж, досліджуючи звіт Федерального управління кібербезпеки Швейцарії, було згадано про лінію багатоденних DDoS атак, спрямованих на інфраструктуру органів влади і великих муніципалітетів, де згадується проросійське угруповання NoName057(16), що використовує сервери Stark Industries.

Крім того, інфраструктуру братів Neculiti використовувало угруповання BlueCharlie, яке займається шпигунством і крадіжкою даних в України та країн НАТО.

Так само PQ Hosting є частим «гостем» за згадками у звітах організації HYAS, що займається розслідуванням інцидентів у сфері кібербезпеки. Ось як ними було описано діяльність PQ Hosting у звіті за 6 травня 2024 року:

AS44477, пов’язаний зі STARK INDUSTRIES, працює як передбачуваний куленепробивний хост зі зв’язками з Росією. Спостережувана активність, зокрема, наявність Redline stealer і трафіку, пов’язаного з ботнетом, вказує на зловмисний намір, спрямований на компрометацію даних користувачів і розширення мереж ботнетів. STARK INDUSTRIES може працювати як куленепробивний хостинг, що сприяє кіберзлочинній діяльності. Присутність Redline stealer передбачає зосередження уваги на крадіжці даних і потенційної монетизації вкраденої інформації.
або ж у більш ранньому звіті:

AS44477 – це номер автономної системи (ASN), присвоєний мережі, керованій STARK INDUSTRIES, підозрюваному куленепробивному хосту зі з’єднаннями з Росією. Нерідко проблемний трафік походить від STARK INDUSTRIES. За нашими даними, цей трафік в основному є Redline stealer, який краде особисті дані браузера і приєднує пристрої жертви до ботнету ‘SPOO’.

Шкідлива діяльність: AS44477 була пов’язана зі складними кібератаками, такими як розгортання програм-вимагачів і спроби ексфільтрації даних. Зловмисники, які використовують цей ASN, можуть націлитися на організації в різних секторах, використовуючи вразливості для досягнення своїх цілей.
У соціальній мережі Twitter (X) схожа ситуація зі згадками від організацій, що протидіють кіберзлочинності

На тематичних форумах їх рекомендують як «абузостійкий хостинг»

або згадування в Telegram:

Розміщення маркетплейсів із продажу наркотиків також не бентежить компанію, і такі ресурси як rr-seedshop081.xyz спокійно ведуть свою діяльність на їхньому обладнанні.

Рівним рахунком як і казино:

casinochanslots.com
bizzocasino.sk
crazytime.eu.com
22-bet.nl
tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de
tonybetsourcing.com

Також було помічено розміщення ресурсів, що нагадують сервіси, пов’язані з шахрайством у сфері криптовалют:

ymanga.org
deenair.org
betchan-exclusive.com

Що примітно, для подібного роду ресурсів воліють використовувати мережу конкретно в Нідерландах.

Служба відстеження витоків даних Constella Intelligence повідомляє, що Іван Neculiti зареєструвала кілька онлайн-акаунтів за адресою електронної пошти [email protected]. Кіберрозвідувальна фірма Intel 471 показує, що ця адреса електронної пошти пов’язана з ім’ям користувача «dfyz» на більш ніж півдюжині форумів з кіберзлочинності російською мовою з 2008 року. Користувач dfyz на Searchengines.ru у 2008 році попросив інших учасників форуму переглянути war.md і сказав, що вони є частиною MercenarieS TeamM.

У той час dfyz продавав «абузостійкі сервери для будь-яких цілей», що означало, що хостингова компанія навмисно ігнорувала скарги на зловживання або запити силових структур про активність своїх клієнтів.

За допомогою DomainTools також можна підкреслити, що на [email protected] зареєстровано щонайменше 33 доменні імена. Деякі з цих доменів мають значення ПІБ Ivan Neculiti у своїх реєстраційних записах, включно з tracker-free.cn, який був зареєстрований на Ivan Neculiti за адресою [email protected] і посилався на MercenarieS TeaM у своїх оригінальних реєстраційних записах.

Dfyz також використовував псевдонім DonChicho, який також продавав абузостійкі послуги хостингу та доступ до зламаних інтернет-серверів. У 2014 році відомий член російськомовної спільноти кіберзлочинців Antichat подав скаргу на DonChicho, заявивши, що цей користувач ошукав їх і використовував адресу електронної пошти [email protected].

У скарзі йшлося, що DonChicho зареєструвався в Antichat з інтернет-адреси Придністров’я 84.234.55. 29.

Пошук цієї адреси в Constella показує, що її було використано для реєстрації тільки п’яти облікових записів онлайн, які були створені за ці роки, зокрема один на ask.ru, де користувач зареєструвався з адресою електронної пошти [email protected]. Constella також повертає для цієї адреси електронної пошти користувачеві з ім’ям «Іван» на memoraleak.com і 000webhost.com.

Constella вважає, що пароль, який найчастіше використовується адресою електронної пошти [email protected], був «filecast», і що з цим паролем пов’язано понад 90 адрес електронної пошти. Серед них приблизно два десятки адрес із назвою «Neculiti», а також адреса [email protected].

Intel 471 каже, що DonChicho опублікував на кількох російських форумах із кіберзлочинності, що [email protected] був його адресою, і що він входив на форуми з кіберзлочинності майже виключно з інтернет-адрес у Тирасполі, столиці Придністров’я. Огляд постів DonChicho показує, що цю людину було забанено на кількох форумах у 2014 році за шахрайство з іншими користувачами.

Кешовані копії марнославного домену DonChicho (donchicho.ru) показують, що 2009 року він був спамером, який продавав підробки рецептурних ліків через Rx-Promotion, колись одну з найбільших аптечних спам-програм для російськомовних філій.

Повертаючись до згаданої на початку теми санкцій, можна відзначити цікаве спостереження Correctiv, які підкреслили їхню «беззубість» у випадку компанії братів:

«Санкції ЄС щодо російських компаній і приватних осіб, які стоять за дезінформаційними веб-сайтами RRN, забороняють європейським компаніям вести з ними бізнес. У той час як Stark Industries Solutions як британська компанія і PQ Hosting як молдавська компанія не підпадають під дію законодавства ЄС».

The post Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам first appeared on НЕНЬКА ІНФО.

Останні новини

Контакти для зв'язку з редакцією: [email protected]