Как мы идентифицировали человека, помогающего сажать антивоенных россиян через фишинговые сайты
Около года мы вместе с Артёмом Тамояном ведём расследование масштабной фишинговой кампании, предположительно направленной на уголовное преследование россиян с антивоенной позицией.
Ранее, в августе ’24 года мы рассказывали о сайтах-клонах, имитирующих официальные ресурсы Легиона «Свобода России» и РДК. Оказываясь в топе поисковой выдачи Яндекса, они собирали данные россиян, интересующихся вступлением в антипутинские формирования.
На протяжении этого времени, Артём уничтожает такие ресурсы и портит жизнь российским силовикам — автоматическими средствами узнаем о новых попытках развернуть очередной фишинговый ресурс и моментально отправляем запрос хостингу/регистратору с требованием блокировки.
За все время мониторинга мы находили и сайты, имитирующие сайт ЦРУ, и клоны сайтов РДК/ЛСР, и фишинговую версию «Хочу Жить». Кампания, в рамках которой весь этот фишинг разворачивается идёт с 2023 года остаётся активной и по сей день.
В рамках одной из рутинных проверок свежезарегистрированных доменов, был обнаружен новый подозрительный домен: legionliberty[.]space.
IP-адрес, на который указывал домен, принадлежит к сети Ekabi LLC — на смежных сетях этого оператора ранее наблюдались и иные фишинговые ресурсы.
Например, rusvolcorps[.]net, который изображал из себя сайт РДК и хостился на AS401120. Позднее, материнская ASN этой сети (Sovy Cloud Services) была отключена из-за регулярного размещения вредоносных ресурсов.
Но вернемся к домену legionliberty[.]space, о котором мы говорили двумя твитами ранее. Он был зарегистрирован через российского регистратора REG-RU. Но несколько деталей выгодно (для нас) отличали этот домен от остальных, вероятно относящихся к этой же кампании.
При регистрации конкретно этого домена, наш персонаж забыл скрыть свои контактные данные владельца домена в WHOIS — информационной карточке домена.
Регистратор REG-RU требует верификации email’а для добавления в WHOIS. Таким образом, мы достоверно знаем, что данный домен был зарегистрирован человеком с данным email’ом.
Обычно, для регистрации фишинговых ресурсов используется одноразовый email и рандомный номер, который не применяется больше нигде. Однако в данном случае, картина была совсем другая.
Даже если просто ввести этот email в форму отправки письма в Gmail, то можно увидеть, что учетная запись используется — у нее даже есть аватарка.
Сам email найти в каких-либо источниках нам не удалось, зато удалось найти человека, который очень активно использует никнейм «illegalmercy». Вот например, YouTube-канал. По аватарке и совпадающему никнейму можно сделать вывод, что он закреплен за тем же самым аккаунтом Google.
А вот результаты поиска в Google. Сразу находится и профиль в Github, и профиль разработчика расширений для браузера Firefox.
Для Firefox наш персонаж написал аудиоплеер Lo-Fi музыки. Здесь можно обнаружить точно такую же аватарку, как и в аккаунте Google. К разговорам о любви к Synthwave, Retrowave и Lo-Fi жанрам мы ещё вернёмся.
Несложно сопоставить это и с аккаунтом на Github, где выложен исходный код этого расширения. На этом моменте мы впервые узнаем имя нашего «героя» — Александр Остаенков. Из Екатеринбурга.
Вспомним, что в карточке WHOIS помимо email’а был еще и номер телефона. На Github’е — Екатеринбург. А код номера телефона из WHOIS — тоже относится к Свердловской области.
Также находим пользователя с таким email’ом в Trello. И там он зарегистрирован с точно таким же никнеймом в аналогичном формате написания — с маленькой «i» в начале, и большой «M» у второго слова.
С помощью платформы http://OSEENT.com ищем что-нибудь по номеру телефона из WHOIS — и снова находим Александра Остаенкова, 1999 года рождения.
Исследуя домены, также указывающие на тот же IP-адрес, что и вышеупомянутый, мы находим еще один интересный домен — hochuzhit[.]tech
Очевидно, что это фейковый клон «Хочу Жить» — проекта горячей линии для сдающихся в плен российских военнослужащих, которую курирует украинская разведка. WHOIS-домена hochuzhit[.]tech возвращает те же контактные данные, что подтверждает его принадлежность тому же человеку.
Через поиск в Google мы быстро находим ссылающиеся на эти домены фейковые Telegram-каналы и боты, выдающие себя за официальные.
Каналы публикуют абсолютно идентичный контент, что и оригинальные официальные каналы, однако изменяют контактные данные для связи в публикациях — предположительно для получения данных людей, желающих сдаться или вступить в ЛСР/РДК.
Вернёмся к самому персонажу — Александру Остаенкову. Александр ведёт себя чрезвычайно осторожно в информационной среде. Его онлайн-присутствие минимизировано и он практически никогда не публикует фотографии.
Вот, например, его страничка «ВКонтакте». Ранее «Александр Остаенков» сменил имя профиля на «Контент Уехал» и удалил свою аватарку.
Совпадает всё — и дата рождения, и никнейм, и место проживания в Свердловской области, и даже, чёрт возьми, любовь к Synthwave/Retrowave.
Александр предусмотрительно скрыл своих родителей из списка друзей «ВКонтакте», однако родители у себя сына скрывать не стали. Вот он в списке друзей у матери и отца: Валентины Остаенковой и Александра-старшего.
На фото, размещённых в профиле матери Александра, мы можем его опознать Остаенкова по характерной стрижке, форме ушей и другим внешним признакам, совпадающим с внешностью человека на удаленной аватарке «Контент Уехал» (справа).
Используя реверсивный поиск по лицам, мы с легкостью находим профиль отца Остаенкова и в другой соц. сети — в Одноклассниках.
Некоторые группы, в которых состоит батя, весьма специфичны — например, сообщества бывших членов экипажей конкретных подводных лодок с баллистическими ракетами (РПКСН), входящих в ядерную триаду России.
У Остаенкова-старшего также есть несколько друзей, которые указывают себя как действующие или бывшие офицеры российской армии и правоохранительных органов.
Резюмирую: Нам удалось найти, по меньшей мере, два Telegram-канала (~4K подписчиков), два бота и два сайта имперсонирующих Легион «Свобода России» и «Хочу Жить». И нам удалось установить личность человека, стоящего за их развертыванием — 25-летний Александр Остаенков из Свердловской области.
