Pesquisadores afirmam que provedor de nuvem registrado nos EUA facilitou ciberataques patrocinados pelo estado

Empresa de nuvem pouco conhecida forneceu hospedagem na web e serviços de internet para mais de duas dúzias de grupos de hacking patrocinados por Estados e operadores de spyware comerciais, de acordo com pesquisadores da empresa de segurança cibernética Halcyon.

Em um relatório divulgado na terça-feira, a Halcyon afirmou ter identificado que a empresa registrada nos EUA, Cloudzy, estava “conscientemente ou inconscientemente” atuando como provedora de comando e controle (C2P) para grupos de hacking patrocinados por Estados conhecidos. C2Ps são provedores de internet que permitem que hackers hospedem servidores virtuais privados e outros serviços anonimizados usados por afiliados de ransomware para realizar ataques cibernéticos e extorsão.

A Halcyon afirmou que as duas dúzias de grupos que dependem da Cloudzy incluem o grupo de espionagem apoiado pela China, APT10; hackers apoiados pela Coreia do Norte, Kimsuky; e grupos apoiados pelo Kremlin, Turla, Nobelium e FIN12.

O FIN12 foi objeto de um aviso conjunto do FBI e da CISA em outubro de 2020, depois de realizar uma série de ataques de ransomware visando a indústria de saúde dos EUA. Em seu relatório, a Halcyon afirmou que a Cloudzy, então operando como Router Hosting, hospedou pelo menos 40 servidores de comando e controle usados pelo FIN12 durante seus ataques cibernéticos.

A lista de grupos facilitados pela Cloudzy também inclui grupos de hacking do Irã, Paquistão e Vietnã, juntamente com a empresa de malware baseada em Tel Aviv, Candiru, que vende seu spyware de espionagem por telefone para clientes governamentais. A Candiru foi sancionada pelo governo dos EUA em 2021 por se envolver em atividades contrárias à segurança nacional dos EUA.

A Halcyon afirma que cerca da metade dos servidores hospedados pela Cloudzy parece estar diretamente apoiando atividades maliciosas.

A empresa de segurança cibernética concluiu que, embora o provedor de nuvem esteja registrado nos EUA, a Halcyon tem “alta confiança” de que o provedor de nuvem é apenas uma fachada para a AbrNOC, um provedor de nuvem que opera na capital iraniana, Teerã, o que poderia colocar clientes americanos em conflito com as sanções do governo dos EUA.

A Cloudzy, que afirma operar a partir de Nova York, está registrada em Wyoming, enquanto um número de telefone de suporte listado pela empresa está vinculado a um endereço diferente em Las Vegas. A AbrNOC possui o mesmo logotipo da Cloudzy, embora em uma cor diferente, e também compartilha os mesmos funcionários fictícios nomeados, segundo pesquisadores da Halcyon. Um homem chamado Hannan Nozari é listado como CEO da AbrNOC e se identifica como fundador de ambas as empresas de hospedagem em seu perfil do Twitter, além de se descrever como “Iniciante na Internet”.

Nozari não respondeu às mensagens enviadas pela TechCrunch via LinkedIn e e-mail, e a TechCrunch não conseguiu contatar ninguém na Cloudzy através do número listado no site da empresa.

A Reuters, que primeiro noticiou as descobertas da empresa de segurança cibernética, afirmou ter falado com Nozari, que disse que não era responsável pelas ações de seus clientes e que sua empresa faz “tudo o que pode para se livrar deles”, acrescentando que ele estima que apenas 2% dos clientes da empresa sejam maliciosos.

Como observado pela Halcyon, a Cloudzy se promove de uma maneira que “atrai diretamente não apenas entusiastas da privacidade, mas também atores de ameaças”. O provedor de hospedagem requer apenas um endereço de e-mail funcional e um pagamento anônimo em criptomoeda. O Monero, uma moeda de privacidade favorecida pelos hackers, é aceito.

Os pesquisadores também descobriram que, embora o site da Cloudzy afirme que atividades ilegais não são permitidas em seu serviço e resultarão em término imediato, uma seção diferente em seu site diz que se atores maliciosos pagarem uma multa nominal de US$ 250-100, eles poderão continuar usando o serviço.