ITanalyze

محققانی که در گردآوری این اطلاعات دست داشته‌اند، ادعا می‌کنند یک شرکت میزبانی اینترنتی آمریکایی کمتر شناخته‌شده با «دامنه گسترده جرایم سایبری»، از هکرهای دولتی و بخش‌های تحریم‌شده حمایت می‌کند.

بر اساس تحقیقات شرکت امنیت سایبری هالسیون، شرکت کلودزی، به احتمال زیاد، «پشت پرده»، یک نهاد فعال در تهران است.

سایبراسکوپ در گزارشی نوشت، تحقیقات شرکت هالسیون نشان می‌دهد شرکت میزبانی (هاستینگ) کلودزی، آگاهانه یا ناآگاهانه، به یک پلتفرم برای فعالیت‌های دیجیتالی غیرقانونی مرتبط با چین، ایران، کره‌شمالی، روسیه، هند، پاکستان و ویتنام، سرویس می‌دهد.

علاوه بر این، طبق اظهارات پژوهشگران، زیرساخت‌های کلودزی همچنین به شرکت  Candiruکه یک شرکت فروشنده جاسوسی‌افزار اسرائیلی است که در نوامبر 2021 توسط دولت آمریکا تحریم شده، نیز خدمات مرتبط ارایه می‌دهد.

هالسیون مدعیست که کلودزی، یکی از شرکت‌های زیرساخت وب است که توسط مجرمان سایبری و هکرهای دولتی برای انجام فعالیت‌ها در سراسر جهان، مورد سوءاستفاده قرار می‌گیرد.

برخلاف bulletproof hosting providers که ادعا می‌کنند باور به حریم خصوصی دارند و از سیاست مخفی‌‌سازی اطلاعات مشتریان بهره می‌برند، شرکت کلودزی، با پنهان کردن ارتباطات خود، ظاهرا یک شرکت معمولی به نظر می‌رسد.

• سرویس‌دهی به شرکت ایرانی

گروه‌های باج افزار و عملیات هک دولتی، از یک بستر قوی متشکل از توسعه‌دهندگان نرم‌افزارهای مخرب، فعالان پولشویی رمزارزها، ارایه‌دهندگان خدمات میزبانی و دیگر نهادها برای اجرای عملیات‌ بهره می‌برند.

طبق بررسی‌های هالسیون، شرکت کلودزی، یک C2P است که به هکرها، پلتفرم آماده ارایه می‌دهد تا حملات را راه‌اندازی، ترافیک را ناشناس و ارجاع را دشوارتر کنند.

طبق ادعای هالسیون، شرکت کلودزی، به شرکت ایرانی ا.ن نیز سرویس می‌دهد.

توضیح: هفته‌نامه عصر ارتباط نظر به اتهام وارد شده به این شرکت ایرانی، نام آن را در این گزارش حذف کرده است.

در ادامه این گزارش آمده است: ا.ن شرکتی واقع در میدان فاطمی تهران است که وبلاگ‌های آن توسط افرادی نوشته می‌شوند که یا وجود ندارند یا از نام‌های جعلی استفاده می‌کنند. به عنوان مثال، تصویر نمایه یکی از نویسندگان وبلاگ به نام مت اشمیت، تصویری از یک مرد در اتاق سرور است. لوگوهای دو شرکت نیز به شدت مشابه همدیگر هستند. لوگوی کلودزی، رنگ ارغوانی دارد، در حالی که لوگوی شرکت ایرانی، آبی، قرمز و سبز است.

شرکت امنیت سایبری هالسیون، در ادامه مدعی شده با اطمینان بالا به این نتیجه رسید که C2P کلودزی، به احتمال زیاد یک بستر عملیاتی برای شرکت میزبانی ا.ن است که از تهران، پایتخت ایران فعالیت می‌کند.

هالسیون در ادامه گزارش خود آورده است: تحقیقات ما چندین حوزه از پاسخگویی حقوقی ممکن، مرتبط با عملکرد ظاهری یک شرکت ایرانی در ایالات متحده را شناسایی کرد که در صورت تایید، مشکلات قابل توجهی در زمینه الزامات تحریم‌های کنونی ایجاد می‌کند.

از این‌رو، هالسیون توصیه کرد هرکس با  شرکت کلودزی سروکار دارد، بهتر است برای مدتی، متوقف شده و پیامدهای حقوقی همکاری‌ با آن را بررسی کند.

کمتر از پنج دقیقه پس از ارسال ایمیل به آدرس پشتیبانی ایمیل کلودزی توسط CyberScoop، یک پاسخ داده شد که می‌گفت درخواست مورد قبول نیست، چون ایمیل از آدرس ایمیل مشتری معتبر کلودزی ارسال نشده است. همچنین تلاش‌ها برای تماس با این شرکت ناموفق بود، چون هر بار خط تماس آن مشغول بود.

• هشدار به شرکت‌های دیگر

جان میلر، مدیرعامل و موسس هالسیون، پیش از انتشار گزارش خاطرنشان کرد: این شرکت، درباره کلودزی تحقیق کرد، زیرا در حال بررسی دو همکار بود که از یک سرویس میزبانی شخص ثالث به عنوان بخشی از زیرساخت‌های خود در حوزه باج‌افزار استفاده می‌کردند.

میلر با اشاره به کلودزی گفت: «وقتی به شخص سوم رسیدیم تا اطلاع دهیم از زیرساخت‌های‌شان سوءاستفاده می‌شود، ما را سرزنش کردند! این موضوع، نشان داد احتمالا در این حوزه بسیاری از سوءاستفاده‌ها رخ داده است.»

طبق این گزارش، کلودزی در ابتدا اعلام کرد که یکی از حساب‌هایی که توسط هالسیون مشخص شده بود، را تعلیق می‌کند، «اما بلافاصله حرفش را عوض کرد».

در ادامه بررسی این گزارش تحقیقاتی، ترافیک مرتبط با کلودزی که تا سال 2022 به عنوان “RouterHosting” فعالیت داشت، نشان داد «حداقل 40 تا 60 درصد بهره‌برداری‌هایی که از خدمات کلودزی استفاده می‌کند، دارای اشکال است.»

همچنین بررسی یکی از اپراتورهای باج‌افزار، که هالسیون آن را “Space Kook” نامگذاری کرده بود، به ارتباط با گروهی به نام Exotic Lily  اشاره دارد که پیش‌تر گروه تجزیه و تحلیل تهدید گوگل در مارس ۲۰۲۲ به آن اشاره کرده بود. این امر نشان داد ارتباطاتی با گروهی به نام FIN12 یک گروه جرایم مالی در روسیه و گروه باج‌افزاری  Conti داشته است.

علاوه بر این، هالسیون اعلام کرد ترافیک مخرب کلودزی را «آرایه‌ای شگفت‌انگیز از زیرساخت حمله» می‌داند که این شرکت و دیگران در جامعه امنیتی، آن را با مجموعه گسترده‌ای از اهداف تهدیدآمیز مرتبط کرده‌اند.‌

این فعالیت‌های تاریخی شامل عملیات هک از طریق ارتباط با گروه‌های مرتبط در چین، هند، ایران، کره‌شمالی، روسیه و ویتنام، مرتبط با گروه UNC2352 بود؛ گروهی که به حمله به بیمارستان‌ها با نسخه باج‌افزار Ryuk متهم شده بود.

در گزارش هالسیون آمده است: C2Pها، به گروه‌های باج‌افزار، سرویس استفاده ناشناس از زیرساخت‌های خود برای انجام حملات اعطا می‌کنند، زیرا برای حفظ حریم خصوصی، هرگز به خود زحمت نمی‌دهند که بپرسند مشتریان‌شان چه کسانی هستند. آنها ملزم نیستند. به این ترتیب، فعالیت‌های باج‌افزاری، دو مجموعه از گروه‌ها را شامل می‌شود: اول مجرمانی که آن را به کار می‌گیرند و دوم ارایه‌دهندگان سرویس که چشمان‌شان را روی آنها می‌بندند. اما مساله اینجاست که درباره کلودزی، آن چشم بسته، خیلی مشکل ساز بود.

• پاسخ کلودزی به اتهامات

هرچند کلودزی ادعا می‌کند خارج از نیویورک فعالیت می‌کند اما به نام وکیلی که خدمات نمایندگی ثبت‌شده را در ایالت وایومینگ ارایه می‌دهد، ثبت شده است. این در حالی است که یک شماره تلفن پشتیبانی به آدرسی در لاس‌وگاس، گره خورده است.

این گزارش همچنین فردی به نام ح.ن به‌عنوان مدیرعامل شرکت ایرانی ا.ن اشاره دارد که در بیوگرافی توییتر، خود را بنیانگذار هر دو شرکت معرفی می‌کند و از تعابیری استفاده کرده که بیانگر جدید بودن و بی‌تجربه بودن در حوزه آنلاین است.

پیامی که برای وکیل در وایومینگ و نیز ایمیلی که از طریق پورتال آنلاین شرکت ارسال شد، فورا برگردانده نشد.

آقای ن به پیام ارسال‌شده از طریق لینکدین پاسخی نداد اما به رویترز گفت که مسئولیت اقدامات مشتریانش را بر عهده ندارد و شرکت «هرکاری که از دستش برآید، برای خلاص شدن از شر مشکلات انجام می‌دهد.»

وی همچنین به رویترز گفت که او تخمین می‌زند تنها  دو درصد از مشتریانش مجرم بوده‌اند.

کلودزی در بیانیه‌ای اعلام کرد که این شرکت «عمیقا از اتهامات مطرح‌شده توسط HalcyonAI در گزارش‌های اخیر خود، بسیار نگران و شگفت‌زده است.»

در ادامه بیانیه کلودزی آمده است: این شرکت، «به هیچ‌گونه فعالیت مخرب» در زیرساخت خود پاسخ نمی‌دهد و از آن استقبال نمی‌کند و از تمام قوانین قابل اجرا پیروی می‌کند.

این بیانیه می‌افزاید: کلودزی متعهد است که به ‌سرعت، به گزارش‌های سوءاستفاده‌ که ممکن است در زیرساخت‌ها رخ دهد، پاسخ دهد و آن را اصلاح کند.

در همین رابطه، شرکت امنیت سایبری هالسیون نیز اعلام کرد: ما به ارایه‌دهندگان خدمات اینترنتی توصیه می‌کنیم از C2P Cloudzy  درس بیاموزند و اقدامات مناسب‌تری در زمینه شناخت مشتریان انجام دهند.

حتی اگر C2P Cloudzy از حجم بالای ترافیک مخربی که از طریق زیرساخت اجاره‌ای خود می‌گذرد، اطلاعی نداشت، باز هم در نتیجه سیاست‌های آنها، خسارت قابل توجهی وارد شده است. چراکه سوءاستفاده از ارایه‌دهندگان خدمات قانونی تا زمانی ادامه دارد که مانند شرکت مذکور به مجرمان اجازه دهند به نام حفظ حریم خصوصی، اقدامات خود را بدون مجازات دنبال کنند.