Після початку повномасштабного вторгнення Росії в Україну значно активізувалися дезінформаційні кампанії та хакерські атаки, координовані російськими провладними угрупованнями. Як встановлено, у реалізації таких операцій брали участь двоє братів із Молдови – Іван і Юрій Neculiti, які у 2019 році заснували компанію PQ.Hosting.
Про це повідомляє видання nenka.info https://nenka.info/moldovski-braty-neculiti-ta-pq-hosting-yak-vony-dopomagayut-rosijskym-hakeram/
PQ.Hosting спеціалізується на наданні хостинг-послуг в Інтернеті та володіє серверним обладнанням у понад 30 країнах світу. Попри санкції, хостинг продовжує функціонувати в Росії, працюючи через мережу Stark Industries Solutions Limited, зареєстровану Іваном Neculiti у Великій Британії.
В одному з промо-інтерв’ю Іван Neculiti пояснював, що Stark Industries Solutions діє як прикриття для PQ.Hosting, дозволяючи уникати санкцій та регуляторного контролю. За його словами, компанія не бере участі у платіжних операціях, а лише «полегшує бізнес». Це дозволяє приховати справжнього постачальника послуг.
Маскуючи свою корпоративну мережу, PQ.Hosting стала притулком для проросійських кіберактивістів, які здійснюють незаконну діяльність проти громадян України та країн Заходу. За даними розслідувань, їхні сервери використовувалися для:
- Фішингових атак на росіян, які хотіли приєднатися до «Легіону свобода Росії» або «Російського добровольчого корпусу». В результаті зібрані дані передавалися ФСБ.
- DDoS-атак на державні установи та муніципалітети європейських країн.
- Управління вірусом RemcosRAT, що заражав українських користувачів через фейкові повідомлення від СБУ.
- Використання проросійським угрупованням NoName057(16), яке здійснює атаки на європейські об’єкти.
- Підтримки шпигунської діяльності групи BlueCharlie, яка займається крадіжкою даних в Україні та країнах НАТО.
Діяльність PQ.Hosting та Stark Industries Solutions регулярно згадується у звітах міжнародних компаній з кібербезпеки. Наприклад, у звіті HYAS від 6 травня 2024 року зазначається.
Раніше AS44477 згадувалася у звітах про атаки з використанням програм-вимагачів, ексфільтрації даних та компрометації систем західних компаній.
Крім сприяння кіберзлочинцям, PQ.Hosting розміщує:
- Маркетплейси для продажу наркотиків (rr-seedshop081.xyz);
- Онлайн-казино (casinochanslots.com, tonybetsourcing.com, bet-amo.bg);
- Шахрайські криптовалютні сервіси (ymanga.org, deenair.org);
Особливо активно такі ресурси розміщуються на серверах PQ.Hosting у Нідерландах.
Служба відстеження витоків даних Constella Intelligence виявила, що Іван Neculiti використовував електронну пошту [email protected], яка фігурує на форумах кіберзлочинців ще з 2008 року.
Користувач під псевдонімами «dfyz» та «DonChicho» продавав «абузостійкі» сервери, які не реагували на скарги щодо незаконної діяльності. Він також фігурував у шахрайських схемах та спам-кампаніях, включаючи нелегальну продажу рецептурних ліків через Rx-Promotion.
Попри численні звинувачення, компанія PQ.Hosting продовжує працювати. Санкції ЄС не поширюються на Stark Industries Solutions (Велика Британія) і PQ.Hosting (Молдова), що дозволяє їм вести бізнес із російськими клієнтами без юридичних наслідків.
Розслідувачі наголошують на необхідності розширення санкційного списку, включаючи підсанкційні заходи проти структур Neculiti, аби припинити їхню співпрацю з російськими хакерськими групами.
