Неділя, 20 Липня, 2025

Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам

Важливі новини

ІНСАЙДИ

Обшуки у керівництва Нацгвардії можуть бути пов’язані з політичним тиском

Обшуки, проведені НАБУ у керівництва Національної гвардії України, можуть бути пов’язані не лише з антикорупційним розслідуванням, а й із політичним тиском. За інформацією наших джерел, наприкінці квітня відбулась закрита нарада силовиків на якій від керівництва Нацгвардії вимагали попередньої згоди на жорстке придушення масових заворушень у разі їх виникнення. Варто відзначити, що очільник НГУ відразу відповів […]
Економіка

Гендиректор YASNO розповів, хто ризикує залишитися без світла

Генеральний директор YASNO Сергій Коваленко прокоментував хвилю повідомлень у соцмережах про масові відключення світла через борги. За його словами, ці новини — не нові, і насправді мова йде про норми, які діють уже понад рік. «Постачальник не вирішує, відключати когось чи ні. Критерії визначені правилами ринку електроенергії», — наголосив він. Коваленко уточнив, що рішення про […]

The post Гендиректор YASNO розповів, хто ризикує залишитися без світла first appeared on НЕНЬКА ІНФО.

Наука

Україна стрімко впроваджує штучний інтелект для управління дронами

Україна активно впроваджує штучний інтелект (ШІ) у військові технології, зокрема для управління безпілотними літальними апаратами (БПЛА). Завдяки інтенсивним навчальним програмам, підкріпленим величезною базою даних, Збройні сили України розвивають можливості автономного ухвалення рішень дронами, які можуть змінити правила гри на сучасному полі бою. Як розповів агентству Reuters Олександр Дмитрієв, засновник української некомерційної цифрової некомерційної системи OCHI, […]

The post Україна стрімко впроваджує штучний інтелект для управління дронами first appeared on НЕНЬКА ІНФО.

Війна

Квартирний скандал навколо генерала ЗСУ Павла Ткачука: незаконно отримав від держави кілька квартир

Верховна Рада України зробила значний крок у напрямку вдосконалення військового законодавства, ухваливши в першому читанні законопроєкт, який стосується питань самовільного залишення військових частин та дезертирства в умовах дії воєнного стану. Цей документ спрямований на внесення змін до чинного законодавства з метою пом'якшення наслідків для військовослужбовців, які приймають рішення повернутися до виконання своїх обов'язків.

У розслідуванні йдеться про те, що поки десятки тисяч військових роками стоять у черзі по житло, генерал Ткачук свою першу квартиру на себе і сім’ю отримав ще в 90-ті. Це чотирикімнатні апартаменти в містечку Ізяслав на Хмельниччині, які він переписав на доньку. Вона згодом їх продала.

Далі Ткачук переїхав служити до Тернополя, де, за документами, мав трикімнатну квартиру, однак це виявився цілий котедж з окремим входом і підземним паркінгом.

Апартаменти на 180 квадратів, які він отримав від держави, генерал Ткачук також подарував. Цього разу дружині, вона теж житло продала.

Також генерал отримав квартиру у Львові, коли очолив Нацакадемію сухопутних військ України. Син генерала, на якого було переоформлено нерухомість, живе за кордоном, працює в українському посольстві в Німеччині.

Крім того, ще одну трикімнатну квартиру від держави отримав у Львові вже зять генерала.

Дочка генерала Олена Сапіга, яка працює стоматологом у військовій поліклініці, за документами володіє також маєтком під Тернополем. Але, за інформацією видання, родичі генерала живуть в елітній новобудові у Львові.

Говорити про походження статків зять генерала відмовляється.

Сам генерал оселився в передмісті Львова в елітному районі. Офіційно маєток зареєстровано на сторонню людину.

Сам Ткачук відмовився коментувати інформацію про свої квартири, заявивши, що вона є конфіденційною.

Війна

Україна і її залежність від підтримки Заходу

Законопроєкт пропонує певні зміни у підході до розгляду справ, пов'язаних з корупційними правопорушеннями. Він передбачає альтернативні механізми вирішення таких справ за певних умов, включаючи відшкодування завданої шкоди та сплату штрафу.

Аналітики вважають, що ЗСУ зможуть організувати контрнаступ наприкінці року.

Після майже 30 місяців конфлікту з Росією труднощі України на полі бою лише накопичуються, а життєво важлива підтримка з боку США все більше залежить від мінливих політичних вітрів.

Піврічна затримка військової допомоги США, найбільшого спонсора України, дала силам Кремля можливість просунутися на передовій. Українські війська відчайдушно борються, щоб стримати повільні, але неминучі успіхи більшої і краще оснащеної російської армії.

«Наступні два або три місяці, напевно, стануть найважчими цього року для України», – заявив у нещодавньому подкасті військовий аналітик Майкл Кофман із Фонду Карнегі.

При цьому на задньому плані замаячила ще одна неприємна проблема для України: як довго вона зможе розраховувати на політичну і військову підтримку Заходу, що має вирішальне значення для її подальшої боротьби?

У понеділок колишній президент Дональд Трамп обрав сенатора від Огайо Джей Ді Венса своїм напарником у президентських перегонах на листопадових виборах у США. Венс хоче, щоб США розв’язували власні проблеми замість того, щоб займатися конфліктами на інших континентах за тисячі кілометрів, хоча й визнав, що Путін мав рацію, ввівши війська.

Венсу вторить і сам Трамп: він обіцяв, що в разі перемоги покладе конфлікту край, не чекаючи інавгурації в січні. Як саме він це зробить, він не уточнив. Однак команду Зе ця ситуація вже починає напружувати, оскільки майбутнє стає туманним і Трамп вочевидь звертатиме увагу на інші питання, а український конфлікт добігатиме до логічного завершення без підтримки США та поставок озброєння.

Після початку повномасштабного вторгнення Росії в Україну активізувалися дезінформаційні кампанії та хакерські атаки, координовані провладними угрупованнями РФ. Встановлено, що в реалізації таких операцій брали участь двоє братів із Молдови – Іван і Юрій Neculiti, які у 2019 році заснували компанію PQ.Hosting. Ця компанія спеціалізується на наданні хостинг-послуг в Інтернеті та володіє серверним обладнанням у понад 30 країнах світу.

Незважаючи на санкції, хостинг є досить поширеним у Росії, працюючи з 2022 року на мережі, що належить Stark Industries Solutions Limited, зареєстрованій Іваном Neculiti у Великій Британії.

В одному зі своїх промо-інтерв’ю Іван пояснює, яка мета британської компанії: «На даний момент наші IP-адреси більше не показують, що вони належать PQ Hosting. Є інша, нейтральна назва». За його словами, британська компанія взагалі не бере участі в платіжних операціях, а просто для того, щоб полегшити бізнес. Інакше кажучи, будь-хто, хто веде бізнес зі Stark Industries Solutions, насправді веде бізнес із PQ Hosting, за винятком того, що сторонні не відразу це побачать.

Маскуючи свою корпоративну мережу, PQ Hosting став притулком для проросійських кіберактивістів, які здійснюють незаконну діяльність проти громадян України та допомагають ФСБ відслідковувати дезертирів і агентів усередині країни через фішингові ресурси «Легіону свобода Росії» і «Російського добровольчого корпусу», які просуває «Яндекс» на перші позиції пошуку, а також надаючи інфраструктуру для DDoS-атак європейських держав.

Конкретні приклади:

  • 21.12.2023 Комп’ютерна група реагування на надзвичайні ситуації України зареєструвала атаки на українських користувачів за допомогою електронних розсилок із заголовком «Запит СБУ», заражаючи їх вірусом RemcosRAT, сервери управління яким працювали в рамках автономної мережі AS44477 (STARK INDUSTRIES SOLUTIONS LTD).
  • Раніше CERT-UA також повідомила про атаку за допомогою 5 різних програм, ініціаторами якої було угруповання UAC-0082 (Sandworm), асоційоване з ГУ ГШ ЗС РФ, використовуючи інфраструктуру STARK INDUSTRIES SOLUTIONS LTD.
  • Атака на українських користувачів із заголовком «Повістка до суду».
  • Артем Тамоян, російський опозиційний активіст і програміст, повідав у Twitter історію про свої спостереження на тему просування «Яндексом» фішингових ресурсів раніше згаданих ЛСР і РДК, що збирають дані про росіян, які хочуть вступити до їхніх лав. Деякі скарги з проханнями про блокування Тамоян адресував адміністрації CloudFlare. В одній із відповідей сервісу йшлося, що хостинг-провайдером підроблених сайтів легіону «Свобода Росії» була компанія Stark Industries.

До того ж, досліджуючи звіт Федерального управління кібербезпеки Швейцарії, було згадано про лінію багатоденних DDoS атак, спрямованих на інфраструктуру органів влади і великих муніципалітетів, де згадується проросійське угруповання NoName057(16), що використовує сервери Stark Industries.

Крім того, інфраструктуру братів Neculiti використовувало угруповання BlueCharlie, яке займається шпигунством і крадіжкою даних в України та країн НАТО.

Так само PQ Hosting є частим «гостем» за згадками у звітах організації HYAS, що займається розслідуванням інцидентів у сфері кібербезпеки. Ось як ними було описано діяльність PQ Hosting у звіті за 6 травня 2024 року:

AS44477, пов’язаний зі STARK INDUSTRIES, працює як передбачуваний куленепробивний хост зі зв’язками з Росією. Спостережувана активність, зокрема, наявність Redline stealer і трафіку, пов’язаного з ботнетом, вказує на зловмисний намір, спрямований на компрометацію даних користувачів і розширення мереж ботнетів. STARK INDUSTRIES може працювати як куленепробивний хостинг, що сприяє кіберзлочинній діяльності. Присутність Redline stealer передбачає зосередження уваги на крадіжці даних і потенційної монетизації вкраденої інформації.
або ж у більш ранньому звіті:

AS44477 – це номер автономної системи (ASN), присвоєний мережі, керованій STARK INDUSTRIES, підозрюваному куленепробивному хосту зі з’єднаннями з Росією. Нерідко проблемний трафік походить від STARK INDUSTRIES. За нашими даними, цей трафік в основному є Redline stealer, який краде особисті дані браузера і приєднує пристрої жертви до ботнету ‘SPOO’.

Шкідлива діяльність: AS44477 була пов’язана зі складними кібератаками, такими як розгортання програм-вимагачів і спроби ексфільтрації даних. Зловмисники, які використовують цей ASN, можуть націлитися на організації в різних секторах, використовуючи вразливості для досягнення своїх цілей.
У соціальній мережі Twitter (X) схожа ситуація зі згадками від організацій, що протидіють кіберзлочинності

На тематичних форумах їх рекомендують як «абузостійкий хостинг»

або згадування в Telegram:

Розміщення маркетплейсів із продажу наркотиків також не бентежить компанію, і такі ресурси як rr-seedshop081.xyz спокійно ведуть свою діяльність на їхньому обладнанні.

Рівним рахунком як і казино:

casinochanslots.com
bizzocasino.sk
crazytime.eu.com
22-bet.nl
tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de
tonybetsourcing.com

Також було помічено розміщення ресурсів, що нагадують сервіси, пов’язані з шахрайством у сфері криптовалют:

ymanga.org
deenair.org
betchan-exclusive.com

Що примітно, для подібного роду ресурсів воліють використовувати мережу конкретно в Нідерландах.

Служба відстеження витоків даних Constella Intelligence повідомляє, що Іван Neculiti зареєструвала кілька онлайн-акаунтів за адресою електронної пошти [email protected]. Кіберрозвідувальна фірма Intel 471 показує, що ця адреса електронної пошти пов’язана з ім’ям користувача «dfyz» на більш ніж півдюжині форумів з кіберзлочинності російською мовою з 2008 року. Користувач dfyz на Searchengines.ru у 2008 році попросив інших учасників форуму переглянути war.md і сказав, що вони є частиною MercenarieS TeamM.

У той час dfyz продавав «абузостійкі сервери для будь-яких цілей», що означало, що хостингова компанія навмисно ігнорувала скарги на зловживання або запити силових структур про активність своїх клієнтів.

За допомогою DomainTools також можна підкреслити, що на [email protected] зареєстровано щонайменше 33 доменні імена. Деякі з цих доменів мають значення ПІБ Ivan Neculiti у своїх реєстраційних записах, включно з tracker-free.cn, який був зареєстрований на Ivan Neculiti за адресою [email protected] і посилався на MercenarieS TeaM у своїх оригінальних реєстраційних записах.

Dfyz також використовував псевдонім DonChicho, який також продавав абузостійкі послуги хостингу та доступ до зламаних інтернет-серверів. У 2014 році відомий член російськомовної спільноти кіберзлочинців Antichat подав скаргу на DonChicho, заявивши, що цей користувач ошукав їх і використовував адресу електронної пошти [email protected].

У скарзі йшлося, що DonChicho зареєструвався в Antichat з інтернет-адреси Придністров’я 84.234.55. 29.

Пошук цієї адреси в Constella показує, що її було використано для реєстрації тільки п’яти облікових записів онлайн, які були створені за ці роки, зокрема один на ask.ru, де користувач зареєструвався з адресою електронної пошти [email protected]. Constella також повертає для цієї адреси електронної пошти користувачеві з ім’ям «Іван» на memoraleak.com і 000webhost.com.

Constella вважає, що пароль, який найчастіше використовується адресою електронної пошти [email protected], був «filecast», і що з цим паролем пов’язано понад 90 адрес електронної пошти. Серед них приблизно два десятки адрес із назвою «Neculiti», а також адреса [email protected].

Intel 471 каже, що DonChicho опублікував на кількох російських форумах із кіберзлочинності, що [email protected] був його адресою, і що він входив на форуми з кіберзлочинності майже виключно з інтернет-адрес у Тирасполі, столиці Придністров’я. Огляд постів DonChicho показує, що цю людину було забанено на кількох форумах у 2014 році за шахрайство з іншими користувачами.

Кешовані копії марнославного домену DonChicho (donchicho.ru) показують, що 2009 року він був спамером, який продавав підробки рецептурних ліків через Rx-Promotion, колись одну з найбільших аптечних спам-програм для російськомовних філій.

Повертаючись до згаданої на початку теми санкцій, можна відзначити цікаве спостереження Correctiv, які підкреслили їхню «беззубість» у випадку компанії братів:

«Санкції ЄС щодо російських компаній і приватних осіб, які стоять за дезінформаційними веб-сайтами RRN, забороняють європейським компаніям вести з ними бізнес. У той час як Stark Industries Solutions як британська компанія і PQ Hosting як молдавська компанія не підпадають під дію законодавства ЄС».

The post Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам first appeared on НЕНЬКА ІНФО.

Останні новини

Контакти для зв'язку з редакцією: [email protected]