«Серый» трафик Кремля и российская пропаганда: как провайдер FoxCloud использует лазейки в законодательстве ЕС для обхода санкций и медиаблокировок

На первый взгляд, FOXCLOUD LLP — обычная британская компания, одна из сотен аналогичных. Но при более внимательном рассмотрении становится ясно: это совсем не рядовой случай.

Основное, что ее выделяет из ряда таких же фирм, предоставляющих услуги хостинга, – фирма с офисом в Уотфорде, минимальной публичной активностью и со странным цифровым следом всплывает рядом с российскими пропагандистскими ресурсами, техническим обходом санкций и инфраструктурой, которой, по идее, в ЕС сейчас не место.

FOXCLOUD позиционирует себя «провайдером для бизнеса»: на их сайте легко заказать VPS-хостинг, выделенный сервер, выделенный IP; они обещают DDoS-защиту, технические домены и поддержку 24/7, при этом активно обслуживают клиентов из русскоязычного пространства.

В этом не было бы ничего особенного, если бы не ряд нюансов. FOXCLOUD LLP зарегистрирована 10 декабря 2013 года в Великобритании (номер OC389771), с адресом Office 181, Regico Offices, 153 The High Street Parade, Watford WD17 1NA.

По данным публичного реестра, это микро-компания с балансом менее £200 000, имеющая менее 10 сотрудников.

Владеют компанией, по данным контролеров (PSC), два человека — Alexander Basunov и Tamara Basunova, указанные как живущие в Молдове. То есть юридический «британский щит» покрывает компанию, за которой стоят не британцы, а физлица из Молдовы – что уже резко снижает уровень прозрачности и повышает подозрительность структуры.

Но бенефициары британской фирмы из Молдовы – еще не доказательство того, что фирма вызывает подозрения. Так бы оно и было, если бы не совокупность последующих данных. Профиль компании FOXCLOUD LLP на Crunchbase сообщает, что у компании совсем другой владелец: в качестве соучредителя и СЕО значится Moustafa Attayyib.

Сведений о нем крайне мало – тот же Crunchbase дает следующую информацию: «Мустафа Аттайиб — генеральный директор и соучредитель FoxCloud. Ранее он работал бизнес-консультантом в ProInt. Мустафа Аттайиб окончил Александрийский университет». Здесь же размещена ссылка на профиль Moustafa Attayyib в Linkedin, из которой следует, что Moustafa Attayyib на данный момент и на протяжении последних пяти лет – «самозанятый». И живет на Мальте. Упоминаний о его причастности в какой-либо ипостаси к FOXCLOUD LLP нет.

То есть публично заявленный владелец – одна персона; в официальных реестрах числятся другие люди, а официальный «СЕО и совладелец», судя по всему, не подозревает о своем месте работы и владении фирмой. Что выглядит не просто странно, а является классической схемой маскировки: реальные операторы, владельцы, учредители скрываются за псевдонимами, подставными юридическими лицами, серым администраторским персоналом.

Crunchbase описывает Foxcloud как компанию, предоставляющую «ІТ-решения, включая услуги хостинга, настройку доменов, восстановление паролей CMS и мониторинг фотоэлектрических установок». Но публичный финансовый баланс крайне скромный, обороты минимальны.

Если это легальный, «белый» бизнес – почему все выглядит так, будто кто-то намеренно скрывает активность и конечных бенефициаров? Чем же на самом деле занимается FOXCLOUD?

Румынский след

Почти вся цифровая активность FOXCLOUD указывает на то, что юридическая британская оболочка – это чистой воды фасад. Проверка DNS-записей, IP-диапазонов и подсетей (с использованием публичных инструментов вроде SecurityTrails и WhoisXML) показывает: значительная часть инфраструктуры FOXCLOUD размещена в румынских дата-центрах; сетевые диапазоны связаны с провайдерами из Бухареста и Клуж-Напока; техническая поддержка отвечает с таймзонами и задержками, характерными для восточноевропейских операторов.

Читайте на эту же тему:The Kremlin’s "gray" traffic and Russian propaganda: how provider FoxCloud uses loopholes in EU law to bypass sanctions and media blocks

Почему именно Румыния? Ответ прост – эта страна уже много лет является популярным хостинговым хабом для компаний, нацеленных на рынки бывшего СССР. Здесь мягкий регулятор, дешёвые сервера, никто особенно не спрашивает, кому и зачем ты арендуешь помещения и оборудование.

Для российских клиентов Румыния стала идеальным компромиссом между доступностью, скоростью и относительной безопасностью от санкционных действий. Румыния – один из хабов для российских сайтов, которые убегают из Латвии и Германии после блокировок. И FOXCLOUD – типичный представитель этой «второй линии» хостинга.

Именно здесь, а не в Великобритании, FOXCLOUD реализует 95% своей технической деятельности. Британская форма – румынское содержание – российские клиенты.
Идеальная формула для тех, кому есть что скрывать.

REN TV и другие пропагандисты

Самое интересное начинается, когда смотришь, кто пользуется услугами FOXCLOUD.

Через их инфраструктуру проходили: зеркала и CDN-узлы, связанные с группой REN TV; временные копии пропагандистских сайтов; сайты-"прокладки", через которые гонят трафик на российские государственные медиа; вспомогательные домены для российских медиа; технические обходные каналы, которые позволяют доставлять контент в ЕС; «одноразовые» лендинги, которые появляются во время DDOS-атак на российские пропагандистские ресурсы и исчезают спустя сутки.

То есть FOXCLOUD предоставляет европейскую инфраструктуру для того, чтобы российская пропаганда выглядела «чистой» и «легальной». Это не официальные сайты. Это техническая подложка – сеть дублей, прокси и кеширующих узлов, которые российские СМИ использовали годами, чтобы обходить блокировки в ЕС.

Если главный сайт закрывают – в бой идут именно такие зеркала. И тут FOXCLOUD оказывается очень кстати: британская регистрация снижает подозрения, а румынская «тихая гавань» позволяет закрывать глаза на контент.

Сеть и инфраструктура

Главная «инструментальная подсказка» - FOXCLOUD оперирует своим автономным системным номером (AS) – AS200904. По информации из bgp.tools / bgp.he.net, этот AS объявляет 16 IPv4-префиксов и обслуживает около 4096 IPv4-адресов. Upstream-провайдерами AS200904 выступают крупные международные каналы – например, Cogent Communications, LLC, Serverius Holding B.V., GTT Communications Inc. и DDOS‑GUARD LTD.

Читайте на эту же тему:Politico: Болгария может остаться без горючего из-за прекращения работы завода «Лукойл»

Все это признаки полноценного дата-центра / реселлера / хостинг-провайдера, который способен предлагать виртуальные и физические серверы, аренду IP и transit. Другими словами, под британской вывеской FOXCLOUD функционирует реальная, техничная инфраструктура с европейскими IP, выходом на глобальный Интернет и возможностью хостинга – включая веб-сайты, стриминг, CDN-узлы, прокси и так далее.

Интересно, что один из IP-адресов, принадлежащих FOXCLOUD – 194.156.65.65 – зарегистрирован в Тирасполе. Хотя официально это Молдова, откуда родом номинальные владельцы фирмы, на самом деле Тирасполь – столица так называемой Приднестровской молдавской республики, созданной Россией и стоящей на российских штыках. Об этом недвусмысленно говорит адрес хоста: mail.tiras.ru. Да и национальности «владельцев» FOXCLOUD тоже как бы намекают.

Другой IP-адрес – 185.92.73.115 – внесен в базу общественных жалоб на злоупотребления AbuseIPDB. С 2023 по 2024 г. на него поступали десятки жалоб: brute-force, попытки несанкционированного доступа, попытки VPN-входов, сканирование портов и пр. Hostname этого IP — nl-isp-8.foxcloud.net, что прямо указывает на голову сети FOXCLOUD.

То есть значительная доля сетевой активности, приходящая с FOXCLOUD, помечена как «абьюзная»: атаки, взломы, злоупотребления. А злоупотребления на хостинг-сети часто связаны с «теневым» контентом: зеркалами, пиратством, потоками, прокси, VPN, обходами блокировок и т.п.

Итак, в сухом остатке мы имеем целую совокупность факторов, которые неоднозначно свидетельствуют о том, что FOXCLOUD – не просто хостер. Это – инфраструктурный щит российской пропаганды под европейской маской.

FOXCLOUD официально зарегистрирована в Великобритании, но фактически управляется людьми из Молдовы, имеющими «серую» репутацию для медиарынка. Еще один «владелец» то ли из Египта, то ли с Мальты, скорее всего, даже не подозревает о своей роли.

Фактическая сеть – AS200904 – это полноценная серверная структура с тысячами IP, сдаваемых в аренду, с upstream-каналами и возможностью предоставления VPS, CDN, transit – т.е. тем, что надо медиасети, IPTV-проектам, зеркалам.

Некоторые IP имеют десятки жалоб на brute-force, атаки, VPN-входы, что характерно для «тёмных» площадок: стриминг, торрент, прокси, рассылки, пиратство, контент-продвижение.

Публичные заявления и реальные владельцы и структура не совпадают, что типично для «оболочек», призванных скрыть реальное происхождение и контроль.

Можно с высокой вероятностью утверждать: FOXCLOUD – не обычный хостинг, а теневой провайдер, удобный для тех, кто хочет распространять пропаганду, контент, обходить санкции и блокировки, сохраняя «европейский» фасад.

И если кто-то сомневается, мол, «нет прямых доказательств, что REN TV или другие российские СМИ официально обслуживаются у них», то именно так и задумано: «прокладка» строится через зеркала, поддомены, краткосрочные аренды. Такие цепочки почти невозможно отследить публично, если не иметь доступа к логам, платежам, контрактам.

Автор: Анатолий Войнов