云服务提供商Cloudzy被指控协助黑客提供勒索软件和APT服务

Cloudzy在美国注册,其首席执行官是伊朗公民。德克萨斯州网络安全初创公司Halcyon的报告,Cloudzy注册于美国,但总部位于伊朗。Cloudzy涉嫌向政府黑客组织提供命令与控制服务。首席执行官Hannan Nozari否认为网络犯罪分子提供服务。

Halcyon的网络安全研究人员声称,云服务提供商Cloudzy积极参与向20多个黑客组织提供命令和控制服务。

这些组织包括间谍软件和勒索软件运营商,以及国家支持的APT组织。令人震惊的是,大约40% – 60%的Cloudzy活动被视为“本质上是恶意的”,涉及针对受害者的间谍活动和勒索等活动。

网络安全初创公司Halcyon的研究人员 发现 ,一家伊朗运营的ISP通过向威胁行为者提供C2P(命令与控制提供商)服务,“无意中”支持了“勒索软件经济”和各种攻击行动。

Halcyon研究人员认为,还有另一个参与者可能在不知不觉中支持了蓬勃发展的勒索软件经济和其他攻击活动:命令与控制提供商(C2P),他们在拥有合法业务资料的同时向威胁行为者出售服务。

研究人员怀疑,该公司名为Cloudzy(原名RouterHosting),向国家资助的APT(高级持续威胁)行为者和网络犯罪分子/黑客出售服务,同时保持“合法的业务档案”。

Halcyon Research团队在8月1日发布的一份研究报告(PDF)中写道,Cloudzy在美国注册,但其运营地点在伊朗德黑兰以外,在美国几乎没有业务。

该公司由一名名叫Hannan Nozari的人经营,据称是另一家伊朗公司abrNOC的创始人。这是基于Cloudzy在伊朗雇用的8名员工也为abrNOC工作的调查结果。

研究人员证实:“因此,Halcyon非常有信心地评估,C2P Cloudzy几乎肯定是在伊朗德黑兰运营的实际托管公司abrNOC 的切入点。”

Halcyon研究人员在发布报告之前对Cloudzy在三个月内的活动进行了全面评估。根据他们的分析,Cloudzy不仅向世界各地的威胁行为者提供命令和控制(C2P)服务,将其伪装成基于匿名的服务,而且在得知恶意活动时,它也表现出令人震惊的缺乏响应。

这种缺乏回应强烈表明Cloudzy正在积极帮助威胁行为者。更令人担忧的是,我们发现其攻击基础设施与各国政府支持的黑客组织密切相关,其中包括:

1. 伊朗
2. 印度
3. 俄罗斯
4. 越南
5. 巴基斯坦
6. 北朝鲜
7. 中国

除了与政府的联系外,Cloudzy还被发现与受制裁的间谍软件供应商有联系,其中包括以色列间谍软件供应商Candiru,该供应商去年因使用Chrome 0day攻击记者而成为众人瞩目的焦点。

据称,Cloudzy还向Ghost Clown和Space Kook等臭名昭著的勒索软件团伙提供服务。臭名昭著的网络犯罪分子也被发现与该服务有关。

Halcyon在其报告中提供了针对Cloudzy的确凿事实。例如,研究人员指出,该公司从未验证过客户的身份,仅使用工作电子邮件地址进行注册。超过一半的托管服务器被发现直接支持从十几个不同ISP借用的基础设施上的恶意活动。

此外,它还接受希望匿名使用其远程桌面协议(RDP)虚拟专用服务器(VPS)服务的用户的加密货币付款。其条款和条件政策禁止其参与非法活动,但ISP服务提供商允许滥用者以象征性的费用继续运营。

Cloudzy的首席执行官Nozari驳斥了Halcyon的说法,称其只有2%的客户是恶意的,并且该公司不对此类客户负责。诺扎里在接受路透社采访时解释说,他正在尽一切努力摆脱此类客户,但如果其服务被滥用,该公司不应受到指责。

“如果你是一家刀具工厂,如果有人误用刀具,你要负责吗?” 这位首席执行官在LinkedIn的一次交流中解释了他的立场。

Nozari还解释说,他的公司在美国怀俄明州注册,因为在美国注册IP地址需要在美国有住所。

然而,Halcyon高管Ryan Golden拒绝让步,声称他的研究人员在发布报告之前通过租用Cloudzy的服务器并检查其员工的社交媒体页面来追踪Cloudzy的数字足迹。

网络安全公司CrowdStrike表示,它从未观察到任何国家资助的行为者使用Cloudzy,但许多其他网络犯罪分子也在使用它,而且其运营基础绝对不清楚。

发表评论

评论已关闭。

相关文章