В сеть слили данные предполагаемых разработчиков «Гидры» — площадки по продаже наркотиков в даркнете
В сети появились якобы контактные данные предполагаемых разработчиков «Гидры» — крупнейшей в России площадки по торговле наркотиками в даркнете. Тот, кто слил эту информацию, утверждает, что пытался договориться с командой разработчиков проекта о выкупе, но после неудачных попыток решил опубликовать данные.
По словам неизвестного, сведения о людях, которые делают «Гидру», ему удалось раскрыть в результате продолжительной DDOS-атаки на сайт. Благодаря некоторым фрагментам кода, который разработчики убрали через три часа после его появления, автор якобы смог установить личность администратора под псевдонимом Аскольд Монархов.
Затем он выяснил, что под этим псевдонимом скрывается гражданин Украины Колеснев Богдан Русланович — разработчик торговых и финансовых систем, ориентированных на рынок ПАВ. Помимо Колеснева, по его словам, в команду разработчиков входит некий Александр Дырявин из Чернигова, который отвечает за имейл-, СМС- и мессенджер-маркетинг в компании SendPulse.
Подробности того, как ему удалось найти личные данные предполагаемых разработчиков «Гидры», он выложил на сайте hydra.expert.
«Афише Daily» удалось дозвониться по номеру, который якобы принадлежит Дырявину. Человек на другом конце провода представился Денисом и сказал, что не знает, кто такой Александр Дырявин и никогда не слышал о «Гидре». Он заявил, что находится в шоке от происходящего, и что с утра ему уже звонили с подобными вопросами. Собеседник подтвердил, что живет в Украине, однако о роде своей деятельности и других подробностях личной жизни уточнять не стал. По второму номеру никто так и не ответил.
Комментарий от человека, который представился Александром Дырявиным, удалось получить по почте. Он заявил, что является обычным рядовым разработчиком, который никогда не разрабатывал продуктов и сайтов, используемых в теневом бизнесе. До вчерашнего дня, по его словам, он даже не знал о существовании «Гидры». Другие контакты, указанные на сайте и приписываемые Дырявину, за исключением номера телефона, принадлежат ему, подтвердил собеседник.
В контактах, якобы принадлежащих Богдану Колесневу, указаны группа в «ВКонтакте» проекта «Telebot Community» по созданию ботов для Telegram, телеграм-канал под названием «Наркотики зло» с 7 подписчиками, страница в «ВКонтакте» некоего Александра Птушкина, твиттер-аккаунт пользователя Askold Monarkhov и резюме Колеснева Богдана на сайте work.ua.
С почтового ящика, который приписывается Колесневу, нам пришел следующий ответ: «Мои разработки под заказ начали использовать в целях, о которых мне не сообщали. Но даже при этом там мои разработки использовались не в „Гидре“, а в каких‑то других проектах, отношения к которым я не имею».
«Гидра» — сайт в даркнете, выполняющий роль посредника между продавцами наркотических веществ и их покупателями. Помимо наркотиков, на площадке можно купить поддельные купюры, хакерские услуги, фальшивые документы и другие запрещенные товары. За год, по подсчетам издания «Проект», площадка зарабатывает больше 1 млрд рублей.
Русскоязычная «Гидра» выросла за счет закрытия конкурентов
Исследование провели американские компании Chainalysis и Flashpoint.
«Гидра» существует с 2015 года. Площадка позволяет продавать наркотики, а также поддельные документы и фальшивые купюры. На «Гидре», помимо прочего, предлагают услуги по взлому аккаунтов и кибератакам. В 2019 году на площадке было зарегистрировано 2,5 млн аккаунтов.
Транзакции на «Гидре» осуществляются в криптовалюте, а продавцы с 2018 года конвертируют их в российские «фиаты» через биржи и электронные кошельки, используя платежные системы Qiwi или «ЮMoney». При этом в «ЮMoney» утверждают, что не работают с «Гидрой», а Qiwi никак не комментирует ситуацию.
Авторы отчета смогли подсчитать только тот объем транзакций, который проходит через кошельки из базы Chainalysis.
Эксперты считают фактором роста «Гидры» преследование киберпреступных площадок-аналогов, в том числе, RAMP, Joker’s Stash, Verified и Maza. Теперь, по их мнению, «Гидра» может стать специализированным киберпреступным магазином.
Одни эксперты считают, что «Гидре» получается оставаться «устойчивой к колебаниям геополитики и усилиям правоохранительных органов». Другие же предполагают, что площадка сотрудничает с силовиками, которые предпочитают контролировать одну площадку, чем иметь дело со многими мелкими.
Представитель рынка сообщил, что у некоторых компаний по кибербезопасности есть негласное указание «не работать с «Гидрой»», то есть, они не занимаются поиском киберпреступников на этом ресурсе.
При этом, по мнению экспертов, для ликвидации ресурса достаточно DDoS-атак, которые ранее уже позволили закрыть Dream Market, Empire Market, Nightmare Market и форум Dread. Кроме того, любой аккаунт на «Гидре» можно взломать путем фишинга или автоматического перебора паролей, либо организовать показательную утечку данных.
Ранее аналитики платформы Clain подсчитали, что доля российских операций на криптовалютных биржах, через которые проходят транзакции в даркнете, достигла 40 % в 2020 году. Эксперты связывают это с популярностью запрещенных сервисов, в том числе «Гидры».
Одновременно специалисты по кибербезопасности Check Point Research зафиксировали в даркнете резкий рост объявлений от специалистов, которые ищут нелегальную работу.
Гидра
Приложение предоставляет доступ к социальной сети, где пользователи могут общаться друг с другом. Можно просматривать публикации и оставлять комментарии.
Гидра — приложение для Android, представляющее собой официальный клиент одноименной социальной сети. Пользователи могут заводить новые знакомства и общаться с друзьями.
Общение
Предоставляется возможность вести переписки и делиться различными файлами, в том числе видео, изображениями и музыкой. Можно создавать группы и приглашать участников для совместных бесед.
Предоставив доступ к контактным данным, пользователи могут добавлять друзей по номеру мобильного телефона из журнала звонков. Дополнительно присутствует строка поиска, с помощью которой есть возможность находить друзей по названию профиля.
Пользователи могут также заводить новые знакомства. Можно просматривать аккаунты, которые находятся на открытом доступе и отправлять им сообщения.
Во время переписок есть возможность обмениваться стикерами и GIF файлами. Чат поддерживает различные гифки, которые можно найти в приложении GIPHY.
Контент
На главной странице Гидры регулярно публикуются новые посты с интересным контентом. Пользователи могут ознакомиться с популярными мемами и трендами, а также подписаться на различные каналы. Можно обсуждать публикации, ставить лайки и сохранять любимые посты в избранное.
Профиль
В профиле пользователи могут добавлять фото в качестве аватара, просматривать количество подписчиков и персонализировать оформление страниц с помощью функции Theme Maker. Для того, чтобы войти в учетную запись, достаточно указать электронную почту.
В сети разошёлся монолог «основателя» Hydra о связи наркоплощадки с полицией. Это похоже на вброс для кражи данных
Неизвестный утверждает, что проект делится данными о клиентах с силовиками, но продавцы и администрация это опровергают.
5 августа в сети появился монолог неизвестного, представившегося сооснователем площадки по продаже наркотиков Hydra. Он рассказал, что с конца 2017 года руководство проекта якобы давало взятки силовикам, а после стала «сливать» полиции информацию о своих пользователях. Вскоре читатель TJ опубликовал полную версию монолога на нашем сайте: редакция скорректировала заметку, указав на недостоверность информации, но публикация разошлась по соцсетям, Telegram-каналам и форумам на Hydra.
Взятки до 600 тысяч долларов и торговля пользовательскими данными — что говорится в монологе о Hydra
В начале обращения неизвестный от лица сооснователя даркнет-площадки Альдерамина сообщил, что больше не работает на Hydra, а его аккаунтом пользуются другие люди. По его словам, проблемы у площадки начались с конца 2017-середины 2018 года, когда она «умирала от невменяемого DDoS». В декабре 2017 года администрация площадки действительно объявила о мощных атаках и приостановила работу ресурса.
Позже с администрацией якобы связался некий Малевский, связанный с силовиками, и потребовал регулярные выплаты в обмен на прекращение атак. С изначальной суммы в 250 тысяч долларов требования выросли до 600 тысяч долларов. В дальнейшем руководству, как утверждает автор, «приказали сливать мусорам» личные данные владельцев магазинов на площадке и их покупателей.
В доказательство своей истории неизвестный приложил скриншоты переписки с другим администратором в чате Hydra, а также ролик, демонстрирующий монитор с открытой страницей с перепиской. Он также оставил свой логин в Jabber (популярный у программистов протокол обмена сообщениями), предложив доказать подлинность его базы. «Кто хочет проверить подлинность слитой базы, можете написать мне в джабер свой логин, а я вам напишу ваш пароль», — призвал неизвестный.
Подозрения во вбросе и разбор по фактам — как даркнет-сообщество отреагировало на монолог о Hydra
TJ обратился к представителям больше шести магазинов по продаже наркотиков на Hydra с просьбой прокомментировать распространившуюся историю. Все они поставили под сомнение её достоверность, назвав «бредом» или «вбросом». Некоторые уточнили, что даже если бы эта информация оказалась достоверной, руководство магазинов заранее предусмотрело, как оградить себя и клиентов от угрозы.
Автор Telegram-канала «Кладмен» и совладелец магазина на Hydra также поставил под сомнение информацию в монологе. «Не очень понимаю, как можно „слить“ аккаунты, защищённые двухфакторкой», — написал он, имея в виду функцию двухфакторной аутентификации аккаунтов на площадке.
На форуме Hydra администрация ресурса назвала монолог «информационным вбросом», указав на недостоверности в скриншотах, которые неизвестный приложил в качестве доказательств. Другие претензии к достоверности монолога также опубликовали тематические Telegram-каналы.
Сомнения вызывают и сумма взяток, которые указаны в монологе. В тексте говорится, что после увеличения «ставки» до 600 тысяч долларов администрация начала «сливать» данные пользователей, чтобы сэкономить. Хотя сумма звучит внушительно, а о заработках Hydra известно немногое, сомнительно, что в такой ситуации руководство начало бы «экономить», ставя под угрозу репутацию всей площадки.
Самый очевидный пункт заработка ресурса — это магазины, которые там размещаются. В условиях сотрудничества на сайте Hydra сказано, что стоимость открытия магазина составляет 300 долларов (оплата проходит в биткоинах ), а ежемесячная аренда — 100 долларов. Как в июне 2019 года подсчитал Telegram-канал по теме даркнета, на площадке работает около 3270 магазинов.
Второй основной источник заработка Hydra — комиссия с каждой сделки. До 5% — на сделки до 200 тысяч рублей, 3% комиссии — от 200 тысяч рублей и до миллиона, 1,5% комиссии — от двух миллионов рублей. Под эти условия подпадают не только розница, но и оптовые сделки. Соглашения в обход правил на площадке запрещены и наказываются штрафами вплоть до 500 тысяч рублей или блокировки магазина.
Несколько тематических Telegram-каналов предположили, что автор монолога — это злоумышленник, который с помощью фишинга пытается получить доступ к аккаунтам пользователей Hydra. В случае, если они отправят неизвестному свой логин на сайте для проверки «в слитой базе», злоумышленник может путём подбора пароля взломать чужой профиль.
В организации «вброса» администрация обвинила владельцев магазина iklad. В даркнете действительно можно найти отдельный сайт магазина с таким названием, где авторы уведомляют, что «переехали» на Hydra. TJ не удалось обнаружить на площадке ничего, связанного с этим названием. В Telegram существует профиль человека с аналогичным логином, среди фотографий которого находится логотип даркнет-магазина.
На момент написания статьи владелец аккаунта не ответил на вопросы TJ.
Конкурентная борьба с RAMP и информационные вбросы — из чего формируется версия о связи Hydra с силовиками
Обвинения в утечках личных данных пользователей в открытый доступ или силовикам — это давний метод информационной борьбы конкурентных площадок по торговле наркотиками. В середине 2017 года в сети разошлась информация о том, что база данных пользователей RAMP утекла и продаётся в даркнете. Тогда собеседники TJ, знакомые с ситуацией, назвали эти сообщения «вбросом», предположив, что она исходила от главного конкурента площадки — Hydra.
При этом автор Telegram-канала «Кладмен» рассказал, что в годы конкуренции площадок пользователи RAMP распространяли слухи о связи Hydra с полицией. «На форумах РАМПа писали, что Гидра красная, и что силовики держат на ней, по разным словам, то отдельные шопы, а то и весь ресурс», — пояснил собеседник, отметив, что не встречал никаких доказательств этой версии.
С закрытия RAMP летом 2017 года клиенты и партнёры площадки перебрались на Hydra, которая стала главной площадкой по торговле запрещёнными веществами в русском сегменте даркнета и, возможно, мировом. В связи с этим в сообществе появились версии о причастности Hydra к падению конкурента. По одному из предположений, именно руководство Hydra организовало затяжные DDoS-атаки на RAMP, которые и стали причиной закрытия ресурса.
Другая версия строилась на новости о причастности полиции к падению площадки. В сентябре, спустя лишь несколько месяцев после негласного закрытия проекта, МВД отчиталось о закрытии RAMP. Ведомство заявило, что ликвидировало платформу в июле, и эта информация активно разошлась в СМИ. Это же стало аргументом в пользу версии о связи Hydra с силовиками, которые якобы победили конкурента «совместными» усилиями.
Впрочем, позже силовики признали, что речь шла о ликвидации не всей площадки, а только нескольких размещавшихся на ней малоизвестных магазинов. Это вряд ли могло хоть немного навредить работе RAMP в целом.
«Положительный» имидж и отсутствие противодействий со стороны регуляторов — легко ли Hydra рекламируется в «открытом» интернете
Руководство Hydra стремится к позитивному образу, выступая за «правильное» и «безопасное» употребление наркотиков. В интервью в декабре 2018 года предполагаемый администратор ресурса заявил, что цель проекта — «создание честного и удобного рынка, пропаганда и формирование правильной культуры потребления веществ».
По словам автора Telegram-канала «Кладмен», для поддержания имиджа Hydra проводит «профессиональные проверки качества товара при помощи спектрального анализа, систему сертификации производителей, руководства и [даёт] советы на форуме».
Официальный канал площадки в Telegram заблокирован, однако в мессенджере функционирует бот по «оказанию информационной поддержки наркозависимым», созданным Hydra. Он предоставляет базовые данные о наркотиках и принципах доврачебной помощи, а также предлагает анонимно связаться со «специалистом наркологом».
В разговоре с «Деловым Петербургом» представитель ресурса рассказал, что у него достаточно сильный «рекламный отдел», привлекающий новую аудиторию с помощью рекламных акций. Одна из них прошла летом 2017 года, когда на YouTube появлялись ролики с логотипом Hydra в виде преролла, в которых пользователям предлагали «накуриться» и купить «стафф».
Прероллы с рекламой Hydra вернулись на YouTube в феврале 2018 года: в них показывались логотип и ссылка на площадку. Роскомнадзор подал запрос об удалении рекламы владельцам видеохостинга только после внимания СМИ. Осенью того же года реклама площадки встречалась в ленте некоторых пользователей Инстаграма.
В ответ на жалобы в МВД сообщили о «комплексе мероприятий» по борьбе с продажей наркотиков в интернете. Никакой информации о задержании людей, связанных с рассылкой, и её происхождением, силовики не сообщали.