Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам

Після початку повномасштабного вторгнення Росії в Україну активізувалися дезінформаційні кампанії та хакерські атаки, координовані провладними угрупованнями РФ. Встановлено, що в реалізації таких операцій брали участь двоє братів із Молдови – Іван і Юрій Neculiti, які у 2019 році заснували компанію PQ.Hosting. Ця компанія спеціалізується на наданні хостинг-послуг в Інтернеті та володіє серверним обладнанням у понад 30 країнах світу.

Незважаючи на санкції, хостинг є досить поширеним у Росії, працюючи з 2022 року на мережі, що належить Stark Industries Solutions Limited, зареєстрованій Іваном Neculiti у Великій Британії.

В одному зі своїх промо-інтерв’ю Іван пояснює, яка мета британської компанії: «На даний момент наші IP-адреси більше не показують, що вони належать PQ Hosting. Є інша, нейтральна назва». За його словами, британська компанія взагалі не бере участі в платіжних операціях, а просто для того, щоб полегшити бізнес. Інакше кажучи, будь-хто, хто веде бізнес зі Stark Industries Solutions, насправді веде бізнес із PQ Hosting, за винятком того, що сторонні не відразу це побачать.

Маскуючи свою корпоративну мережу, PQ Hosting став притулком для проросійських кіберактивістів, які здійснюють незаконну діяльність проти громадян України та допомагають ФСБ відслідковувати дезертирів і агентів усередині країни через фішингові ресурси «Легіону свобода Росії» і «Російського добровольчого корпусу», які просуває «Яндекс» на перші позиції пошуку, а також надаючи інфраструктуру для DDoS-атак європейських держав.

Конкретні приклади:

  • 21.12.2023 Комп’ютерна група реагування на надзвичайні ситуації України зареєструвала атаки на українських користувачів за допомогою електронних розсилок із заголовком «Запит СБУ», заражаючи їх вірусом RemcosRAT, сервери управління яким працювали в рамках автономної мережі AS44477 (STARK INDUSTRIES SOLUTIONS LTD).
  • Раніше CERT-UA також повідомила про атаку за допомогою 5 різних програм, ініціаторами якої було угруповання UAC-0082 (Sandworm), асоційоване з ГУ ГШ ЗС РФ, використовуючи інфраструктуру STARK INDUSTRIES SOLUTIONS LTD.
  • Атака на українських користувачів із заголовком «Повістка до суду».
  • Артем Тамоян, російський опозиційний активіст і програміст, повідав у Twitter історію про свої спостереження на тему просування «Яндексом» фішингових ресурсів раніше згаданих ЛСР і РДК, що збирають дані про росіян, які хочуть вступити до їхніх лав. Деякі скарги з проханнями про блокування Тамоян адресував адміністрації CloudFlare. В одній із відповідей сервісу йшлося, що хостинг-провайдером підроблених сайтів легіону «Свобода Росії» була компанія Stark Industries.

До того ж, досліджуючи звіт Федерального управління кібербезпеки Швейцарії, було згадано про лінію багатоденних DDoS атак, спрямованих на інфраструктуру органів влади і великих муніципалітетів, де згадується проросійське угруповання NoName057(16), що використовує сервери Stark Industries.

Крім того, інфраструктуру братів Neculiti використовувало угруповання BlueCharlie, яке займається шпигунством і крадіжкою даних в України та країн НАТО.

Так само PQ Hosting є частим «гостем» за згадками у звітах організації HYAS, що займається розслідуванням інцидентів у сфері кібербезпеки. Ось як ними було описано діяльність PQ Hosting у звіті за 6 травня 2024 року:

AS44477, пов’язаний зі STARK INDUSTRIES, працює як передбачуваний куленепробивний хост зі зв’язками з Росією. Спостережувана активність, зокрема, наявність Redline stealer і трафіку, пов’язаного з ботнетом, вказує на зловмисний намір, спрямований на компрометацію даних користувачів і розширення мереж ботнетів. STARK INDUSTRIES може працювати як куленепробивний хостинг, що сприяє кіберзлочинній діяльності. Присутність Redline stealer передбачає зосередження уваги на крадіжці даних і потенційної монетизації вкраденої інформації.
або ж у більш ранньому звіті:

AS44477 – це номер автономної системи (ASN), присвоєний мережі, керованій STARK INDUSTRIES, підозрюваному куленепробивному хосту зі з’єднаннями з Росією. Нерідко проблемний трафік походить від STARK INDUSTRIES. За нашими даними, цей трафік в основному є Redline stealer, який краде особисті дані браузера і приєднує пристрої жертви до ботнету ‘SPOO’.

Шкідлива діяльність: AS44477 була пов’язана зі складними кібератаками, такими як розгортання програм-вимагачів і спроби ексфільтрації даних. Зловмисники, які використовують цей ASN, можуть націлитися на організації в різних секторах, використовуючи вразливості для досягнення своїх цілей.
У соціальній мережі Twitter (X) схожа ситуація зі згадками від організацій, що протидіють кіберзлочинності

На тематичних форумах їх рекомендують як «абузостійкий хостинг»

або згадування в Telegram:

Розміщення маркетплейсів із продажу наркотиків також не бентежить компанію, і такі ресурси як rr-seedshop081.xyz спокійно ведуть свою діяльність на їхньому обладнанні.

Рівним рахунком як і казино:

casinochanslots.com
bizzocasino.sk
crazytime.eu.com
22-bet.nl
tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de
tonybetsourcing.com

Також було помічено розміщення ресурсів, що нагадують сервіси, пов’язані з шахрайством у сфері криптовалют:

ymanga.org
deenair.org
betchan-exclusive.com

Що примітно, для подібного роду ресурсів воліють використовувати мережу конкретно в Нідерландах.

Служба відстеження витоків даних Constella Intelligence повідомляє, що Іван Neculiti зареєструвала кілька онлайн-акаунтів за адресою електронної пошти [email protected]. Кіберрозвідувальна фірма Intel 471 показує, що ця адреса електронної пошти пов’язана з ім’ям користувача «dfyz» на більш ніж півдюжині форумів з кіберзлочинності російською мовою з 2008 року. Користувач dfyz на Searchengines.ru у 2008 році попросив інших учасників форуму переглянути war.md і сказав, що вони є частиною MercenarieS TeamM.

У той час dfyz продавав «абузостійкі сервери для будь-яких цілей», що означало, що хостингова компанія навмисно ігнорувала скарги на зловживання або запити силових структур про активність своїх клієнтів.

За допомогою DomainTools також можна підкреслити, що на [email protected] зареєстровано щонайменше 33 доменні імена. Деякі з цих доменів мають значення ПІБ Ivan Neculiti у своїх реєстраційних записах, включно з tracker-free.cn, який був зареєстрований на Ivan Neculiti за адресою [email protected] і посилався на MercenarieS TeaM у своїх оригінальних реєстраційних записах.

Dfyz також використовував псевдонім DonChicho, який також продавав абузостійкі послуги хостингу та доступ до зламаних інтернет-серверів. У 2014 році відомий член російськомовної спільноти кіберзлочинців Antichat подав скаргу на DonChicho, заявивши, що цей користувач ошукав їх і використовував адресу електронної пошти [email protected].

У скарзі йшлося, що DonChicho зареєструвався в Antichat з інтернет-адреси Придністров’я 84.234.55. 29.

Пошук цієї адреси в Constella показує, що її було використано для реєстрації тільки п’яти облікових записів онлайн, які були створені за ці роки, зокрема один на ask.ru, де користувач зареєструвався з адресою електронної пошти [email protected]. Constella також повертає для цієї адреси електронної пошти користувачеві з ім’ям «Іван» на memoraleak.com і 000webhost.com.

Constella вважає, що пароль, який найчастіше використовується адресою електронної пошти [email protected], був «filecast», і що з цим паролем пов’язано понад 90 адрес електронної пошти. Серед них приблизно два десятки адрес із назвою «Neculiti», а також адреса [email protected].

Intel 471 каже, що DonChicho опублікував на кількох російських форумах із кіберзлочинності, що [email protected] був його адресою, і що він входив на форуми з кіберзлочинності майже виключно з інтернет-адрес у Тирасполі, столиці Придністров’я. Огляд постів DonChicho показує, що цю людину було забанено на кількох форумах у 2014 році за шахрайство з іншими користувачами.

Кешовані копії марнославного домену DonChicho (donchicho.ru) показують, що 2009 року він був спамером, який продавав підробки рецептурних ліків через Rx-Promotion, колись одну з найбільших аптечних спам-програм для російськомовних філій.

Повертаючись до згаданої на початку теми санкцій, можна відзначити цікаве спостереження Correctiv, які підкреслили їхню «беззубість» у випадку компанії братів:

«Санкції ЄС щодо російських компаній і приватних осіб, які стоять за дезінформаційними веб-сайтами RRN, забороняють європейським компаніям вести з ними бізнес. У той час як Stark Industries Solutions як британська компанія і PQ Hosting як молдавська компанія не підпадають під дію законодавства ЄС».

The post Молдовські брати Neculiti та PQ.Hosting: як вони допомагають російським хакерам first appeared on НЕНЬКА ІНФО.

попередня стаття
Українська армія: нові правила проходження служби за стандартами НАТО
наступна стаття
Забудовники шукають можливості за кордоном, залишаючи заморожені об’єкти в Україні

День пам’яті святих мучеників Ахиндина, Пигасія, Афтонія, Єлпидифора та Анемподиста

Події

Конфлікт між Київською міською військовою адміністрацією та мерією: звинувачення та політична напруга

Політика

Масштабний витік даних у Gmail: що потрібно знати користувачам

Наука

Олена Таможня: нове призначення та контроверсії навколо атестації прокурорки Київщини

Події

Визнання на міжнародному рівні: науковці Київського авіаційного інституту потрапили до топ-2% найцитованіших фахівців світу

Наука

Схожі статті

Скандал у ТЦК: багатодітну матір-медика незаконно оштрафували на 17 тисяч гривень

Народний депутат від партії «Європейська Солідарність» Олексій Гончаренко повідомив про резонансний випадок, що стався у одному з Територіальних центрів комплектування. За його словами, багатодітну матір, яка є медиком за фахом, оштрафували на 17 000 гривень, попри те, що вона офіційно звільнена з військового обліку ще у 2023 році.

Жінка перебувала на військовому обліку з 2004 року, а минулого року отримала відповідну повістку про звільнення від служби у зв’язку з багатодітністю. Однак нещодавно її повторно викликали до ТЦК, де, всупереч наявним документам, склали акт про нібито порушення військового обліку та винесли рішення про штраф. Ба більше, посадовці пригрозили новим штрафом у розмірі 18 000 гривень, якщо вона відмовиться проходити військово-лікарську комісію.

Гончаренко прокоментував ситуацію як «треш» і звернув увагу на те, що жінка змушена буде оскаржувати рішення ТЦК у суді, витрачаючи час і ресурси замість можливості піклуватися про свою родину.

За даними медіа, випадок освітлений на сайті «Коментарі». Станом на момент публікації ще немає офіційного коментаря від ТЦК чи Міноборони з цього приводу.

Глобальні зсуви 2025 року: як п’ять чинників формують нову архітектуру ринку праці

У 2025 році світовий ринок праці переживає фундаментальні перетворення під впливом одразу кількох потужних чинників. Поєднання технологічного прориву, кліматичних викликів, демографічних змін та політичної фрагментації створює безпрецедентний тиск на економічні системи. Найдинамічніше розвиваються напрями, пов’язані з інформаційними технологіями, аналізом даних, кібербезпекою та управлінням штучним інтелектом, тоді як традиційні, рутинні професії поступово зникають або трансформуються.

Фахівці Erasmus University Rotterdam виокремлюють п’ять головних рушіїв цих змін. Перший — технологічні зсуви: автоматизація процесів, масове впровадження ШІ та роботизація промисловості. Другий — «зелений» перехід, що охоплює розвиток сталої енергетики, скорочення викидів і формування циркулярної економіки. Третій чинник — демографічні процеси: старіння населення в розвинених країнах і збільшення трудової міграції у глобальному масштабі. Четвертий — геополітична фрагментація, що призводить до нових бар’єрів у торгівлі, перерозподілу виробничих ланцюгів та регіоналізації ринків. П’ятий — економічна невизначеність, яка підживлюється інфляційними ризиками, коливаннями валют і зміною споживчих моделей.

За оцінками World Economic Forum, до 2030 року у світі може з’явитися близько 170 млн нових робочих місць. Найбільш помітний приріст очікується у спеціальностях, пов’язаних із даними (Big Data), фінтех-інженерією, штучним інтелектом і машинним навчанням, а також розробкою програмного забезпечення. Водночас під найбільшим ризиком — касири, адміністративні помічники та оператори вводу даних: їхні функції швидко автоматизуються.

Для працівників і бізнесу це означає поступову «переупаковку» компетенцій. Попит зростає на аналітичне мислення, цифрову грамотність, роботу з великими даними, кібербезпеку, управління продуктом і «зелені» навички — від енергоаудиту до проєктування низьковуглецевої інфраструктури. Компанії, які швидко інвестують у перепідготовку, виграють у конкуренції за таланти, а працівники, що першими опанують нові інструменти ШІ та аналітики, підвищують стійкість кар’єри.

Зимовий щит: як харчування допомагає зміцнити імунітет без ліків

Під час холодного сезону організм особливо потребує підтримки, адже ризик застуд і вірусних інфекцій зростає. Один із найприродніших способів зміцнити імунітет — скоригувати свій раціон, роблячи ставку на продукти, що насичують тіло вітамінами, антиоксидантами та корисними сполуками. Саме харчування формує фундамент «зимового щита», який допомагає організму ефективно протистояти мікробам.

Ключову роль відіграють яскраві фрукти й овочі. Помаранчеві та червоні продукти — гарбуз, морква, батат, манго, абрикоси — містять бета-каротин, що в тілі людини перетворюється на вітамін А. Цей елемент підтримує здоров’я слизових оболонок носа, горла й легень, утворюючи природний бар’єр на шляху вірусів. Не менш важливими є джерела вітаміну С: свіжа зелень, броколі, болгарський перець, цитрусові, ківі. Вітамін С не лише зміцнює імунну систему, а й сприяє швидшому відновленню клітин після хвороби.

Другий акцент — часник і цибуля. Їхні природні сірковмісні сполуки мають антимікробний ефект і водночас живлять корисну мікрофлору кишківника, яка впливає на імунну відповідь.

В осінньо-зимовий період варто подбати і про вітамін D. Його джерела — жирна риба (лосось, скумбрія), яйця та деякі гриби. Достатній рівень «сонячного вітаміну» пов’язують із нижчим ризиком інфекцій і кращою роботою імунної системи.

Корисними є й цільні злаки — насамперед овес і ячмінь. Бета-глюкани в їхньому складі мають імуномодулювальний ефект і сприяють нормальній роботі захисних клітин.

Окремо дієтолог радить не забувати про омега-3. Порція жирної риби (скумбрія, лосось, сардини, форель) забезпечує необхідні жирні кислоти для побудови імунних клітин. Для веганів і вегетаріанців альтернативою стануть насіння льону та чіа, а також волоські горіхи.

Завершує список ферментована їжа: кефір, квашена капуста, кімчі. Пробіотики з таких продуктів підтримують баланс мікробіому — важливого «регулятора» місцевого та системного імунітету.

У Білій Церкві затримали директора будівельної компанії за шахрайство з нерухомістю

У Білій Церкві співробітники поліції затримали директора будівельної компанії, який став фігурантом кримінальної справи за підозрою у шахрайстві. За даними правоохоронців, він продав одну й ту ж квартиру двом різним покупцям, отримавши за це майже 1,9 мільйона гривень. Проти зловмисника відкрито кримінальне провадження за частиною 5 статті 190 Кримінального кодексу України, що передбачає відповідальність за шахрайство в особливо великих розмірах.

Як стверджує слідство, директор компанії підписав договір із жінкою про придбання квартири, хоча ця ж сама квартира вже була раніше продана іншому покупцеві. Відомо, що усі квитанції про оплату, які він видавав, не відповідали фактичним платежам, і на момент укладання угоди житло вже не перебувало у власності компанії.

Чоловіка затримано, йому інкримінують заволодіння чужим майном шляхом шахрайства, вчинене в особливо великих розмірах (ч. 5 ст. 190 КК України). Слідчі перевіряють можливі інші епізоди за схожою схемою та встановлюють додаткових потерпілих.

Телеграм-канал «Викривач» припускає дотичність до історії осіб із оточення місцевих депутатів Євгена та Марини Ткаленків.

Депутати Євген і Марина Ткаленки раніше фігурували в публікаціях про земельний конфлікт навколо ділянки на вул. Спартаківській у Білій Церкві. Нині власником землі є кооператив «ЖБК Гетьман», а забудовою займається «Житлобуд БЦ». Зв’язок цих проєктів із поточною кримінальною справою слідство не підтвердило.

Справу розслідують слідчі поліції Київщини; санкція інкримінованої статті передбачає до 12 років позбавлення волі з конфіскацією майна.

Контакти: [email protected]