حتماً تا حالا اسم هاستینگ ضدضربه (Bulletproof hosting) به گوشتون خورده، نه؟ اگر نه، همین اول کار یه توضیح کوچیک بدم: هاستینگ ضدضربه یعنی شرکتی که سرورهاش رو به هر کسی اجاره میده و هیچ اهمیتی به گزارش سوءاستفاده یا شکایت پلیس نمیده؛ خلاصه مشتریهاش هر کار خلافی دوست دارن میکنن و اینا خودشون رو به اون راه میزنن.
بیاین داستان یکی از معروفترینهاش رو براتون تعریف کنم؛ یعنی «استارک اینداستریز سولوشنز» (Stark Industries Solutions Ltd). این شرکت فقط دو هفته مونده به حمله روسیه به اوکراین در سال ۲۰۲۲ ظاهر شد، ولی چشمبرهمزدنی تبدیل شد به منبع اصلی حملات سایبری سنگین، سرویسهای فیلترشکن، بدافزار و اخبار جعلی به نفع کرملین.
خب حالا داستان جالبتر میشه؛ توی ماه مه ۲۰۲۵ اتحادیه اروپا اومد و صاحبان «استارک اینداستریز» رو تحریم مالی کرد. فکر کن! اومدن دست گذاشتن رو دو تا برادر به اسم یوری و ایوان نکولیتی که شرکت «پی کیو هاستینگ» (PQ Hosting) تو مولداوی رو میچرخوندن و اینا متهم بودن ابزار سایبری روسیه رو تامین میکنن. تو اون موقعیت اتحادیه اروپا فکر میکرد با این تحریم میتونه جلوی حملات رو بگیره.
ولی مثل اینکه استارکیها یکی دو قدم جلوتر بودن! دست بر قضا طبق یه گزارش جدید از Recorded Future، درست قبل از اعلام رسمی این تحریمها، بچههای استارک اسم و رسمشون رو به «the[.]hosting» عوض کردن و یه شرکت هلندی به اسم «ورکتایتنز» (WorkTitans BV) کنترلش رو بهدست گرفت. انگار رسانههای مولداوی دم گوش برادرای نکولیتی گفته بودن قراره برین تو لیست تحریم!
حالا بیاین پیچیدگی شبکه شون رو ببینیم؛ بخش زیاد آدرسها و منابعشون همزمان منتقل شد به یه شرکت جدید به اسم «PQ Hosting Plus S.R.L» تو همون مولداوی؛ این شرکت هم بازم با همون شماره تلفن قبلیها ساخته شده بود! به زبون ساده، هدفشون این بود که هیچکس نتونه سریع بفهمه پشت پرده کیه و کدوم سرور، مال چه شرکتیه.
یه نکته جالب دیگه اینه که ساختار استارک خلاصه نمیشه به این دوتا برادر و قالبشکنیهای هاستینگ. بر اساس گزارشای مختلف، یکی دیگه از ستونهای اصلی این شبکه شرکت هاستینگ «میرهاستینگ» (MIRhosting) هست که معلوم شد ادارهش دست آندری نسترنکو (Andrey Nesterenko)، یه پیانیست معروف روسه که بعداً راه افتاده سراغ هاستینگ. یه نکته باحال: شرکت نسترنکو به اسم Innovation IT Solutions Corp قبلاً مسئول میزبانی وبسایت StopGeorgia.ru هم بوده، که کلی حمله سایبری به گرجستان هماهنگ میکرد. جالبه نه؟ عملاً این قضیه مثال خوبی از جنگهای سایبری ترکیبیه؛ یعنی همزمان با حمله نظامی، حمله هکری هم راه میانداختن.
خود نسترنکو البته هیچوقت جواب مستقیم نداده، فقط گفته ما خاطرات قدیمی مشتریهامون رو نگه نمیداریم و استارک فقط یکی از هزاران مشتری ما بوده! اما شواهد نشون میده همچنان میرهاستینگ داره کارهای استارک، ورکتایتنز و the.hosting رو ساپورت میکنه.
بیشتر بخوام براتون بازش کنم: مدارکی تو اتاق بازرگانی هلند پیدا شده که میگن ورکتایتنز (WorkTitans) با دو نام دیگه هم کار میکنه؛ Misfits Media و WT Hosting. حتی یه ایمیل y.zinad@worktitans.nl تو مدرک به اسم یوسف زیناد (Youssef Zinad) دیده میشه. جالب اینکه همین سایتای شخصی زیناد هم تو میرهاستینگ میزبانی میشن و یه سرچ ساده تو گوگل نشون میده کلی استارتاپ به اسم اون ثبت شده که همگی به هم ربط دارن و سرآخر به همون شرکتهای اول میرسن!
یه بده بستان دیگه هم هست: شماره تلفن ثبت شده برای شرکت Fezzy B.V (سهامدار اصلی ورکتایتنز) همونه که تو فیسبوک، یوسف زیناد هست و اصلاً همه چی یهجور شبکه در همتنیدهست. ایمیلهایی که بین نسترنکو و کربسآنسکیوریتی رد و بدل شده هم نشون میده زیناد عضوی از تیم حقوقی میرهاستینگ بوده. همه اینا کنار هم، یه جور گروه دارن که با تغییر شرکت و برند و آدرس، از زیر تحریم فرار میکنن و دوباره سرویساشون رو فعال نگه میدارن.
در نهایت، چیزی که خلاصه تو گزارش Recorded Future آمده و تقریباً نمیشه باهاش مخالفت کرد اینه که تحریمهای اتحادیه اروپا تاثیر چندانی روی فعالیت این شبکه نداشته؛ فقط اسامی و برندها رو عوض کردن و همون سرویسها رو ادامه دادن، بدون اینکه اختلالی اساسی به وجود بیاد.
پس دفعه بعد که خبر یه حمله سایبری بزرگ یا شایعات عجیب آنلاین رو دیدیم، شاید بد نباشه یه نگاهی هم به پشت پردهی این شرکتای ضدضربه بیندازیم؛ کسایی که قشنگ گرفتن تحریم و قانون رو دور زدن و برای هر رفتار سایبری خرابکارانهای آمادهسفر هستن! 😉
منبع: +
