Сайт «Бригад аль-Кассама» — боевого крыла ХАМАС — перебрался на российский хостинг через несколько дней после нападения боевиков палестинской группировки на Израиль. Это выяснили сотрудники Insikt Group — отдела исследования угроз частной разведывательной компании Recorded Future.
Сайт alqassam.ps открывался с переменным успехом с 7 октября, дня вторжения ХАМАС в Израиль. Начиная с 11 октября этот домен стал использовать несколько различных IP-адресов. По мнению исследователей, это было сделано для защиты ресурса от блокировок и атак типа «отказ в обслуживании» (DoS).
В частности, 11 октября сайт боевого крыла ХАМАС перебрался на российский IP-адрес и хостинг VDSina компании «Хостинг-технологии». До этого alqassam.ps больше двух лет открывался с украинского IP-адреса (но не открывается в настоящий момент). 15 октября сайт боевого крыла ХАМАС также стал одновременно использовать IP-адреса компаний в Ливане и Панаме.
Услугами VDSina пользуется и еще один сайт ХАМАС
Хостинг VDSina, как выяснило издание «Мезуза», в последние дни начал использоваться и hamas.ps — официальным сайтом ХАМАС.
Издание также предположило, что хамасовский сайт располагается на серверах еще одной российской компании — Selectel. Но председатель совета директоров Selectel Лев Левиев объяснил, что hamas.ps использовал лишь DNS-сервис, «который Selectel бесплатно предоставляет в рамках ознакомления со своими услугами». В итоге Selectel отключил от своего DNS-сервиса сайт ХАМАС. Он оказался недоступен по доменному имени — до перехода на новый DNS-сервис.
Кроме того, исследователи Insikt Group обнаружили ранее неизвестную сеть доменов, предположительно связанную с ХАМАС. Все они использовали тот же код Google Analytics (UA-53251638), что и сайт alqassam.ps. Тот же код эксперты обнаружили на сайтах, ранее зарегистрированных или взломанных пропалестинскими хакерами из группировки TAG-63, связанной с ХАМАС.
Это российская компания?
Да. Она зарегистрирована в 2014 году, располагается в Москве. У нее есть дата-центры в Москве и Амстердаме.
Что это за домены?
isabeljwade.icu, francescatmorrison.icu, jayyburrows.icu, jessicakphillips.icu, nikanps.top
Что это за код?
Фрагмент кода JavaScript, который собирает и отправляет данные об уникальных посещениях страницы в Google Analytics. Присутствие одного и того же идентификатора (в данном случае — UA-53251638) на разных ресурсах означает, что все они привязаны к одному счетчику аналитики Google Analytics.
Что это значит?
Хостинг — услуга по предоставлению серверов для хранения всех данных сайта. Это не обязательно означает, что данные хранятся на территории РФ, — только то, что услугу оказывает российская компания.
Что за «Мезуза»?
Это русскоязычное израильское волонтерское СМИ, запущенное 11 октября «с целью противодействия неточным новостям, выявления фейков, борьбы с пропагандой и объяснения для всех желающих — что такое Израиль и почему „Ближний Восток“ дело сложное».
Что это?
Это сервис, который преобразует привычные нам доменные имена сайтов в IP-адреса, которые людям трудно запоминать и набирать в браузере без ошибок и опечаток.