Исследователи Sophos плохие, и вот почему

Over the past few days, our support team has received multiple alerts regarding a report published by the research team at Sophos. (https://www.sophos.com/en-gb/blog/malicious-use-of-virtual-machine-infrastructure)

Для тех, кто не в курсе: Sophos — британская компания, выпускающая ПО и оборудование для безопасности, якобы известная экспертизой в анализе киберугроз. Однако, прочитав их последнюю публикацию о нас, мы всерьёз сомневаемся в качестве этого «расследования».

В отчёте rdp.monster обвиняется в том, что является дочерней компанией (или владельцем) «MasterRDP», предоставляет услуги, специально заточенные под фишинговые кампании преступников, и работает как «bulletproof»-хостинг.

Мы внимательно прочитали статью. Наш вывод? Всё в ней — ложно, бездоказательно и клеветнически. Разберём это «исследование» по пунктам.

Миф: «MasterRDP = rdp.monster»

По мнению «суперисследователей» Sophos, rdp.monster принадлежит MasterRDP — или наоборот.

Мы и сами были немало удивлены, когда узнали об этом! Всегда приятно обнаруживать призрачных партнёров, которых никогда не встречали. Но если серьёзно: rdp.monster принадлежит… rdp.monster.

У нас сотни реселлеров по всему миру. MasterRDP среди них нет. Нет ни корпоративной связи, ни общей инфраструктуры, ни партнёрства. Классический случай ошибочной идентификации или ленивой ассоциации.

Обвинение в «общих hostname»

В статье перечислены несколько конкретных Windows RDP hostname, которые якобы использовались для вредоносной активности, и связаны с нами.

Мы проверили нашу базу. НИ ОДИН из hostname, упомянутых Sophos, не принадлежит rdp.monster. Простой WHOIS или проверка IP закрыли бы вопрос за секунды.

Галлюцинация про ISPsystem

Sophos утверждает, что rdp.monster использует ПО ISPsystem для развёртывания виртуальных машин (VM).

Снова мимо. Мы не используем ISPsystem. Никогда не использовали.

Проверить эту информацию очень просто: купите VPS и загляните в панель. Видимо, сервер за 8,99 $ оказался слишком дорогим для исследовательского бюджета Sophos?

Воображаемые поставщики

В отчёте в качестве наших upstream-провайдеров перечислены несколько компаний: First Server Limited, Stark Industries Solutions Ltd, Zomro и т. д.

Из перечисленных 5 провайдеров… ноль являются провайдерами rdp.monster. Ни сейчас, ни исторически. Похоже, методология исследования заключалась в метании дротиков в карту хостингов.

Серверы в России, Иране и Казахстане?

Это наш любимый момент. Якобы rdp.monster держит серверы в России, Иране и Казахстане.

С удовольствием бы узнали адреса этих дата-центров — пришли бы в гости!

Как вообще можно воспринимать этот отчёт всерьёз, если rdp.monster предлагает серверы только в Европе (Франция, Германия, Великобритания, Нидерланды) и в США? Эта информация открыто лежит на нашей главной странице. Один клик — всё, что нужно для проверки.

Доля истины (и где Sophos прав)

Будем честны: не всё неверно. Sophos справедливо заметил, что rdp.monster присутствует на многих интернет-форумах, включая некоторые black-hat и gray-hat SEO-сообщества.

Да, это правда. Мы продвигаемся везде. Занимаемся SEO и SEA. Мы — бизнес и продаём хостинг. Но реклама на форуме не делает нас «преступным хостингом».

rdp.monster — НЕ bulletproof-хостинг. И никогда не был, и не будет.

Наши условия использования (ToS) предельно ясны. Нулевая терпимость к фишингу и нелегальным действиям. Мы подключены к основным API репортов abuse (SBL, CSS, AbuseIPDB) и сразу блокируем инстансы при подтверждённой жалобе.

Заключение

Мы защищаем приватность и уважение к данным, а не преступность. Между «анонимным VPS» (защита личности пользователя) и «bulletproof VPS» (защита криминала) — огромная разница. rdp.monster — за первое.

Ждём от команды Sophos исправления по этому вводящему в заблуждение исследованию. А пока остаёмся доступны для любых вопросов — или если им нужен туториал по `traceroute`.

Команде исследователей Sophos: без обид, но… вы кое-что обронили.