02.09.2025
1 хв
488
Фахівці з кібербезпеки зафіксували масштабні brute-force та password spraying атаки, що походили з української автономної системи FDN3 (AS211736). У період із червня по липень 2025 року ця інфраструктура активно атакувала пристрої SSL VPN та RDP, використовуючи методи, які часто застосовують групи ransomware-as-a-service.
Дисклеймер: перепрошуємо за якість деяких зображень — частина з них походить із витоків та була збережена з віртуальних машин.
За даними французької компанії Intrinsec, FDN3 є частиною більшої мережі зловмисної інфраструктури, що включає українські системи VAIZ-AS (AS61432) і ERISHENNYA-ASN (AS210950), а також сейшельський провайдер TK-NET (AS210848). Усі ці системи були створені у 2021 році та постійно обмінювалися IPv4-префіксами, щоб уникнути блокувань.
FDN3 у червні оголосила нові префікси, частина яких раніше належала російській мережі SibirInvest OOO (AS44446) або американському bulletproof-хостингу Virtualine. Саме діапазон 88.210.63\[.]0/24 був пов’язаний із рекордними хвилями brute-force атак, що досягли піку 6–8 липня 2025 року.
Мета атакувальників — підібрати паролі до корпоративних сервісів, створюючи потенційні точки входу для подальших зламів і розгортання програм-вимагачів на кшталт Black Basta, GLOBAL GROUP чи RansomHub.
Подібна інфраструктура часто базується на bulletproof-хостингу, що маскується під легальні компанії. Intrinsec виявила, що FDN3 має зв’язки з Alex Host LLC, яка вже фігурувала у випадках підтримки шкідливих сервісів. Сейшельські та інші офшорні провайдери надають анонімність власникам таких мереж, що ускладнює пряме притягнення їх до відповідальності.
Дослідження також показало значну операційну схожість між FDN3 та іншими автономними системами, що використовувалися для спаму, ботнетів та командних серверів. Усе це свідчить про існування централізованого адміністратора, який керує цілою екосистемою зловмисних мереж.
FDN3 та пов’язані з нею мережі вкотре підтверджують: інфраструктура bulletproof-хостингу залишається критичною проблемою для кіберзахисту. Масштабні brute-force атаки на VPN і RDP — лише одна з ланок більшого ланцюга, який включає спам, зловмисні програми та фінансове шахрайство. Для протидії таким загрозам компаніям варто впроваджувати багаторівневий захист: від політик багатофакторної автентифікації до систем виявлення підозрілих мережевих активностей.
