باحثو Sophos سيئون، إليك السبب

Over the past few days, our support team has received multiple alerts regarding a report published by the research team at Sophos. (https://www.sophos.com/en-gb/blog/malicious-use-of-virtual-machine-infrastructure)

لمن لا يعرف، Sophos شركة بريطانية لبرمجيات وأجهزة الأمان، يُفترض أنها بارزة في تحليل تهديدات الأمن السيبراني. غير أننا بعد قراءة أحدث منشور لها بشأننا، باتت لدينا شكوك جدّية في جودة «تحقيقها».

يتّهم التقرير rdp.monster بأنها فرع لـ «MasterRDP» (أو مالكها)، وبأنها تقدّم خدمات مفصّلة خصيصًا لمجرمين يديرون حملات تصيّد، وبأنها تعمل كاستضافة «bulletproof».

قرأنا المقال بعناية. خلاصتنا؟ كل ما فيه باطل وبلا دليل وفيه افتراء. هيا نفنّد هذا «البحث» نقطة بنقطة.

الأسطورة: «MasterRDP = rdp.monster»

بحسب «الباحثين الخارقين» في Sophos، فإن rdp.monster مملوكة لـ MasterRDP أو العكس.

كانت مفاجأة كبيرة لنا أن نسمع بذلك! يسعدنا دائمًا اكتشاف شركاء أشباح لم نلتقِ بهم قط. لكن دعونا نكون جادّين للحظة: rdp.monster مملوكة لـ… rdp.monster.

لدينا مئات الموزّعين حول العالم. ليست MasterRDP من بينهم. لا توجد علاقة شركاتية ولا بنية تحتية مشتركة ولا شراكة. حالة كلاسيكية من خلط الهويات أو الربط الكسول.

اتّهام «أسماء المضيف المشتركة»

يسرد المقال عددًا من أسماء مضيفي Windows RDP المحدّدة المزعوم استخدامها في أنشطة خبيثة، ويربطها بنا.

راجعنا قاعدة بياناتنا. لا واحد من أسماء المضيفين التي ذكرتها Sophos يخصّ rdp.monster. كان يكفي إجراء WHOIS أو فحص IP بسيط لحسم الأمر في ثوانٍ.

هلوسة ISPsystem

تدّعي Sophos أن rdp.monster تستخدم برمجية ISPsystem لنشر آلاتها الافتراضية (VMs).

خطأ مجددًا. نحن لا نستخدم ISPsystem. ولم نستخدمها قط.

التحقّق من هذه المعلومة سهل للغاية: اشترِ VPS وانظر إلى لوحة التحكم. لكن ربما كان شراء خادم بسعر 8.99 دولارًا مكلفًا جدًا على ميزانية أبحاث Sophos؟

موردون خياليون

يَسرد التقرير عدّة شركات كموردين upstream لنا: First Server Limited و Stark Industries Solutions Ltd و Zomro وغيرها.

من بين الموردين الخمسة المذكورين… صفر منهم مورد لـ rdp.monster. لا حاليًا ولا تاريخيًا. يبدو أن منهجية البحث كانت رمي سهام دارت على خريطة شركات الاستضافة.

خوادم في روسيا وإيران وكازاخستان؟

هذا الجزء المفضّل لدينا. يبدو أن rdp.monster تشغّل خوادم في روسيا وإيران وكازاخستان.

يسعدنا كثيرًا معرفة عناوين مراكز البيانات هذه لنقوم بزيارتها!

كيف يأخذ أحد هذا التقرير على محمل الجد بينما rdp.monster لا تقدّم خوادم إلا في أوروبا (فرنسا وألمانيا والمملكة المتحدة وهولندا) والولايات المتحدة؟ هذه المعلومة متاحة للعموم على صفحتنا الرئيسية. نقرة واحدة. هذا كل ما يلزم للتأكد.

ذرّة الحقيقة (وأين أصابت Sophos)

لإنصاف الحقيقة، ليس كل ما ورد خطأ. أصابت Sophos بملاحظتها أن rdp.monster حاضرة في كثير من المنتديات، بما فيها بعض مجتمعات SEO من فئة الـ black-hat و gray-hat.

نعم، هذا صحيح. نسوّق لخدماتنا في كل مكان. نقوم بـ SEO و SEA. نحن شركة تبيع بنية تحتية للاستضافة. لكن الإعلان في منتدى لا يجعلنا «استضافة إجرامية».

rdp.monster ليست استضافة bulletproof. لم تكن كذلك ولن تكون.

شروط الخدمة لدينا (ToS) واضحة وضوح الشمس. سياسة عدم تسامح مطلقًا مع التصيّد أو الأنشطة غير القانونية. نحن متكاملون مع أبرز واجهات الإبلاغ عن إساءة الاستخدام (SBL و CSS و AbuseIPDB) ونعلّق المثيلات فور تأكّد البلاغ.

خلاصة

نحن نناصر الخصوصية واحترام البيانات، لا الجريمة. ثمة فارق ضخم بين «VPS مجهول الهوية» (الذي يحمي هوية المستخدم) و«VPS bulletproof» (الذي يحمي النشاط الإجرامي). rdp.monster مع الأول.

ننتظر تصحيحًا من فريق Sophos بشأن هذا البحث المُضلِّل. وفي الانتظار، نظل متاحين للإجابة عن أي أسئلة — أو لتقديم درس عن استخدام `traceroute` إذا احتاجوا.

إلى فريق أبحاث Sophos، بلا ضغينة، لكن… لقد سقط منكم هذا.