🔥 ТРЕД: Как мы идентифицировали человека, помогающего сажать антивоенных россиян через фишинговые сайты.
Около года мы вместе с @artemtam ведём расследование масштабной фишинговой кампании, предположительно направленной на уголовное преследование россиян с антивоенной позицией.
Около года мы вместе с @artemtam ведём расследование масштабной фишинговой кампании, предположительно направленной на уголовное преследование россиян с антивоенной позицией.
Ранее, в августе '24 года мы рассказывали о сайтах-клонах, имитирующих официальные ресурсы @legion_svoboda и РДК.
Оказываясь в топе поисковой выдачи Яндекса, они собирали данные россиян, интересующихся вступлением в антипутинские формирования.
Оказываясь в топе поисковой выдачи Яндекса, они собирали данные россиян, интересующихся вступлением в антипутинские формирования.
https://x.com/artemtam/status/1823795453730939373
На протяжении этого времени, @artemtam уничтожает такие ресурсы и портит жизнь российским силовикам — автоматическими средствами узнаем о новых попытках развернуть очередной фишинговый ресурс и моментально отправляем запрос хостингу/регистратору с требованием блокировки.
За все время мониторинга мы находили и сайты, имитирующие сайт ЦРУ, и клоны сайтов РДК/ЛСР, и фишинговую версию "Хочу Жить". Кампания, в рамках которой весь этот фишинг разворачивается идёт с 2023 года остаётся активной и по сей день.
В рамках одной из рутинных проверок свежезарегистрированных доменов, был обнаружен новый подозрительный домен: legionliberty[.]space
IP-адрес, на который указывал домен, принадлежит к сети Ekabi LLC — на смежных сетях этого оператора ранее наблюдались и иные фишинговые ресурсы.
IP-адрес, на который указывал домен, принадлежит к сети Ekabi LLC — на смежных сетях этого оператора ранее наблюдались и иные фишинговые ресурсы.
Например, rusvolcorps[.]net, который изображал из себя сайт РДК и хостился на AS401120. Позднее, материнская ASN этой сети (Sovy Cloud Services) была отключена из-за регулярного размещения вредоносных ресурсов.
Но вернемся к домену legionliberty[.]space, о котором мы говорили двумя твитами ранее. Он был зарегистрирован через российского регистратора REG-RU. Но несколько деталей выгодно (для нас) отличали этот домен от остальных, вероятно относящихся к этой же кампании.
При регистрации конкретно этого домена, наш персонаж забыл скрыть свои контактные данные владельца домена в WHOIS — информационной карточке домена.
Регистратор REG-RU требует верификации email'а для добавления в WHOIS. Таким образом, мы достоверно знаем, что данный домен был зарегистрирован человеком с данным email'ом.
Обычно, для регистрации фишинговых ресурсов используется одноразовый email и рандомный номер, который не применяется больше нигде. Однако в данном случае, картина была совсем другая.
Даже если просто ввести этот email в форму отправки письма в Gmail, то можно увидеть, что учетная запись используется — у нее даже есть аватарка.
Сам email найти в каких-либо источниках нам не удалось, зато удалось найти человека, который очень активно использует никнейм "illegalmercy". Вот например, YouTube канал. По аватарке и совпадающему никнейму можно сделать вывод, что он закреплен за тем же самым аккаунтом Google.
А вот результаты поиска в Google. Сразу находится и профиль в Github, и профиль разработчика расширений для браузера Firefox.
Для Firefox наш персонаж написал аудиоплеер Lo-Fi музыки. Здесь можно обнаружить точно такую же аватарку, как и в аккаунте Google.
К разговорам о любви к Synthwave, Retrowave и Lo-Fi жанрам мы ещё вернёмся.
К разговорам о любви к Synthwave, Retrowave и Lo-Fi жанрам мы ещё вернёмся.
Несложно сопоставить это и с аккаунтом на Github, где выложен исходный код этого расширения. На этом моменте мы впервые узнаем имя нашего "героя" — Александр Остаенков. Из Екатеринбурга.
Вспомним, что в карточке WHOIS помимо email'а был еще и номер телефона. На Github'е — Екатеринбург. А код номера телефона из WHOIS — тоже относится к Свердловской области.
Также находим пользователя с таким email'ом в Trello. И там он зарегистрирован с точно таким же никнеймом в аналогичном формате написания — с маленькой "i" в начале, и большой "M" у второго слова.
С помощью платформы ищем что-нибудь по номеру телефона из WHOIS — и снова находим Александра Остаенкова, 1999 года рождения. OSEENT.com
Исследуя домены, также указывающие на тот же IP-адрес, что и вышеупомянутый, мы находим еще один интересный домен — hochuzhit[.]tech
Очевидно, что это фейковый клон @hochuzhit_com — проекта горячей линии для сдающихся в плен российских военнослужащих, которую курирует украинская разведка.
WHOIS-домена hochuzhit[.]tech возвращает те же контактные данные, что подтверждает его принадлежность тому же человеку.
WHOIS-домена hochuzhit[.]tech возвращает те же контактные данные, что подтверждает его принадлежность тому же человеку.
Через поиск в Google мы быстро находим ссылающиеся на эти домены фейковые Telegram-каналы и боты, выдающие себя за официальные.
Каналы публикуют абсолютно идентичный контент, что и оригинальные официальные каналы, однако изменяют контактные данные для связи в публикациях — предположительно для получения данных людей, желающих сдаться или вступить в ЛСР/РДК.
Вернёмся к самому персонажу — Александру Остаенкову.
Александр ведёт себя чрезвычайно осторожно в информационной среде. Его онлайн-присутствие минимизировано и он практически никогда не публикует фотографии.
Александр ведёт себя чрезвычайно осторожно в информационной среде. Его онлайн-присутствие минимизировано и он практически никогда не публикует фотографии.
Вот, например, его страничка ВКонтакте:
Ранее "Александр Остаенков" сменил имя профиля на "Контент Уехал" и удалил свою аватарку. vk.com/id220540855
Ранее "Александр Остаенков" сменил имя профиля на "Контент Уехал" и удалил свою аватарку. vk.com/id220540855
Совпадает всё — и дата рождения, и никнейм, и место проживания в Свердловской области, и даже, чёрт возьми, любовь к Synthwave/Retrowave.
Александр предусмотрительно скрыл своих родителей из списка друзей ВКонтакте, однако родители у себя сына скрывать не стали. Вот он в списке друзей у матери и отца: Валентины Остаенковой и Александра-старшего.
На фото, размещённых в профиле матери Александра, мы можем его опознать Остаенкова по характерной стрижке, форме ушей и другим внешним признакам, совпадающим с внешностью человека на удаленной аватарке "Контент Уехал" (справа).
Используя реверсивный поиск по лицам, мы с легкостью находим профиль отца Остаенкова и в другой соц. сети — в Одноклассниках.
Некоторые группы, в которых состоит батя, весьма специфичны — например, сообщества бывших членов экипажей конкретных подводных лодок с баллистическими ракетами (РПКСН), входящих в ядерную триаду России.
У Остаенкова-старшего также есть несколько друзей, которые указывают себя как действующие или бывшие офицеры российской армии и правоохранительных органов.
Резюмирую: Нам удалось найти, по меньшей мере, два Telegram-канала (~4K подписчиков), два бота и два сайта имперсонирующих @legion_svoboda и @hochuzhit_com. И нам удалось установить личность человека, стоящего за их развертыванием — 25-летний Александр Остаенков из Свердловской области.
@legion_svoboda @hochuzhit_com Опасные ресурсы:
• hochuzhit[.]tech
• legionliberty[.]space
• 87.120.117[.]52
• t[.]me/hochu_zhyt_offical
• t[.]me/legionoffreedom_offical
• t[.]me/spasisebya_offical_bot
• t[.]me/legionoffreedom_offical_bot
• dvizheneeSR@proton.me
• hochuzhit[.]tech
• legionliberty[.]space
• 87.120.117[.]52
• t[.]me/hochu_zhyt_offical
• t[.]me/legionoffreedom_offical
• t[.]me/spasisebya_offical_bot
• t[.]me/legionoffreedom_offical_bot
• dvizheneeSR@proton.me
@legion_svoboda @hochuzhit_com Привет, спишь? @illegalMercy
• • •
Missing some Tweet in this thread? You can try to
force a refresh
