Laut Forschern des Cybersicherheitsunternehmens Halcyon stellte ein wenig bekanntes Cloud-Unternehmen Webhosting und Internetdienste für mehr als zwei Dutzend verschiedene staatlich geförderte Hackergruppen und kommerzielle Spyware-Betreiber bereit.
In ein Bericht Halcyon sagte am Dienstag, es habe festgestellt, dass das in den USA registrierte Unternehmen Cloudzy „wissentlich oder unwissentlich“ als Command-and-Control-Anbieter (C2P) für bekannte staatlich geförderte Hackergruppen fungierte. C2Ps sind Internetanbieter, die es Hackern ermöglichen, virtuelle private Server und andere anonymisierte Dienste zu hosten, die von Ransomware-Partnern für Cyberangriffe und Erpressungen genutzt werden.
Halcyon sagte, dass zu den zwei Dutzend Gruppen, die sich auf Cloudzy verlassen, die von China unterstützte Spionagegruppe APT10; Von Nordkorea unterstützter Hacker Kimsuky; und die vom Kreml unterstützten Gruppen Turla, Nobelium und FIN12.
FIN12 war Gegenstand von eine gemeinsame Beratung von FBI und CISA im Oktober 2020, nachdem eine Flut von Ransomware-Angriffen gegen die US-amerikanische Gesundheitsbranche durchgeführt worden war. In seinem Bericht sagte Halcyon, dass Cloudzy – damals als Router Hosting tätig – mindestens 40 Befehls- und Kontrollserver hostete, die von FIN12 während seiner Cyberangriffe verwendet wurden.
Die Liste der von Cloudzy unterstützten Gruppen umfasst auch Hackergruppen aus dem Iran, Pakistan und Vietnam sowie den in Tel Aviv ansässigen Malware-Hersteller Candiru, der seine Telefonschnüffel-Spyware an Regierungskunden verkauft. Candiru war sanktioniert von der US-Regierung im Jahr 2021 wegen Beteiligung an Aktivitäten, die gegen die nationale Sicherheit der USA verstoßen.
Halcyon sagt, dass etwa die Hälfte aller von Cloudzy gehosteten Server offenbar direkt bösartige Aktivitäten unterstützen.
Das Cybersicherheitsunternehmen kam zu dem Schluss, dass der Cloud-Host zwar in den USA registriert sei, Halcyon jedoch „hohes Vertrauen“ habe, dass der Cloud-Host ein Ersatz für AbrNOC sei, einen Cloud-Host, der von der iranischen Hauptstadt Teheran aus operiert, was möglicherweise der Fall sein könnte Amerikanische Kunden im Konflikt mit Sanktionen der US-Regierung.
Cloudzy, das angeblich von New York City aus operiert, ist in Wyoming registriert, während eine vom Unternehmen angegebene Support-Telefonnummer mit einer anderen Adresse in Las Vegas verknüpft ist. Laut Halcyon-Forschern hat AbrNOC das gleiche Logo wie Cloudzy, wenn auch in einer anderen Farbe, und auch die gleichen fiktiv benannten Mitarbeiter. Ein Mann namens Hannan Nozari wird als CEO von abrNOC aufgeführt und identifiziert sich als Gründer beider Webhosting-Unternehmen in seine Twitter-Biografiesowie ein „Noob im Internet“.
Nozari antwortete nicht auf Nachrichten, die Tech über LinkedIn und E-Mail gesendet hatte, und Tech konnte über die auf der Website des Unternehmens angegebene Nummer niemanden bei Cloudzy erreichen.
Reutersdas erstmals über die Ergebnisse des Cybersicherheitsunternehmens berichtete, sagte, es habe mit Nozari gesprochen, der sagte, er sei nicht für die Handlungen seiner Kunden verantwortlich und sein Unternehmen tue „alles, was wir können, um sie loszuwerden“, und fügte hinzu, dass er nur 2 schätzte % der Kunden des Unternehmens waren böswillig.
Wie Halcyon feststellte, vermarktet sich Cloudzy auf eine Weise, die „nicht nur Datenschutzbegeisterte, sondern auch Bedrohungsakteure direkt anspricht“. Der Hosting-Anbieter verlangt lediglich eine funktionierende E-Mail-Adresse und eine anonyme Zahlung in Kryptowährung. Monero, ein von Hackern bevorzugter Datenschutz-Coin, wird unterstützt.
Die Forscher fanden außerdem heraus, dass auf der Website von Cloudzy in einem anderen Abschnitt angegeben ist, dass illegale Aktivitäten in ihrem Dienst nicht erlaubt sind und zur sofortigen Kündigung führen auf seiner Website sagt, dass schlechte Akteure ihren Dienst möglicherweise weiterhin nutzen könnten, wenn sie eine nominale Geldstrafe von 250 bis 100 US-Dollar zahlen würden.