Компромат из достоверных источников

Уважаемые заказчики DDoS-атак! Рекомендуем Вам не тратить деньги и время впустую, так что если Вас что-то не устраивает на нашем сайте - значительно проще связаться с нами - [email protected]

Заказчики взлома сайта, мы можем бадаться с Вами вечно, но как Вы уже поняли, у нас нормально работают бекапы, а также мы и далее легко будем отлавливать и блокировать ваши запросы, поэтому также рекомендуем не тратить деньги и время впустую, а обратиться к нам на вышеуказанную почту.


Трафик не пахнет

Трафик не пахнет

DDoS-Guard Евгения Марченко и Дмитрия Сабитова берется за заказы от форума кардеров и магазина наркотиков до Минобороны и ЦБ России

Оригинал этого материала © Meduza, 28.01.2021, Уберите эту заразу из своей сети, Фото: via Meduza, heroic777, Иллюстрация: via Meduza

Мария Коломыченко

Евгений Марченко
Евгений Марченко
Небольшая российская компания DDoS-Guard в январе 2021 года предоставила свою инфраструктуру американской соцсети Parler. Перед этим в хостинге Parler отказал Amazon, а и удалили ее из своих магазинов приложений — поскольку правые активисты использовали соцсеть для «поощрения и разжигания насилия», а также организации атаки на Капитолий. У DDoS-Guard и раньше была не идеальная репутация: ее услугами пользовались анонимный форум конспирологов 8kun и сайт исламистского движения «Хамас» — хотя создатели DDoS-Guard неоднократно заявляли, что не считают это проблемой и работают с любыми клиентами, которые действуют в рамках закона. Как выяснила «Медуза», это не совсем правда: DDoS-Guard подозревали в предоставлении хостинга мошенникам, ворующим банковские данные, — а на инфраструктуре, связанной с DDoS-Guard, работает один из крупнейших онлайн-магазинов по торговле наркотиками. Однако все это не мешает DDoS-Guard сотрудничать с Минобороны России и Центробанком.

Украинские корни

В июле 2014 года, через несколько месяцев после присоединения Крыма к России, двое уроженцев Украины — Евгений Марченко и Дмитрий Сабитов — зарегистрировали в Севастополе российское ООО «ДДоС-Гвард», работающее под брендом DDoS-Guard.

Дмитрий Сабитов
Дмитрий Сабитов
Компания с тем же названием и теми же владельцами работала на Украине с 2011-го, рассказали «Медузе» два ее бывших сотрудника; в том же году был зарегистрирован сайт ddos-guard.net. В пресс-службе DDoS-Guard не ответили на вопрос о том, функционировала ли компания в Севастополе до 2014 года, заявив лишь, что «в 2011 году началась разработка программного обеспечения, которое впоследствии стало полноценным сервисом»; в какой стране началась эта разработка, в ответе не указано. «Основной точкой базирования компании всегда являлся Ростов-на-Дону», — утверждает пресс-служба.

Как выяснила «Медуза», регистрация в российской юрисдикции и переезд в Россию — офис компании открылся в Ростове-на-Дону только в 2015 году — могли быть вызваны проблемами, которые начались еще до крымских событий. Весной 2013-го Служба безопасности Украины (СБУ) совместно с местной киберполицией проводила расследование, в рамках которого устроила следственные действия в севастопольском офисе DDoS-Guard. Об этом «Медузе» рассказали гендиректор IT-компании из этой сферы и бывший сотрудник DDoS-Guard: по словам обоих, украинские силовики заподозрили структуры Марченко и Сабитова в предоставлении хостинга одному из старейших русскоязычных форумов для мошенников с банковскими картами (кардеров) — Verified.

«У нас нет информации о подобных действиях служб иностранных государств», — ответила пресс-служба DDos-Guard на просьбу прокомментировать эту информацию. СБУ и киберполиция не ответили на запросы «Медузы».

Verified — один из старейших русскоязычных форумов для общения интернет-мошенников всех мастей, писал в 2011 году американский специалист по кибербезопасности Брайан Кребс. Стоимость регистрации на форуме составляла 50 долларов, его позиционировали как «учебник кардеров и место для общения, поиска информации и нужных для теневой работы людей».

«Verified действительно был клиентом DDoS-Guard, но у них тогда много всякого такого висело в сети. Компания маленькая, клиентов особо выбирать не приходилось, — рассказал „Медузе“ бывший сотрудник DDoS-Guard. — Кроме того, у ресурсов из даркнета и им подобных ддосить конкурентов было в порядке вещей, поэтому и спрос на анти-DDoS среди них был огромный, в то время как „белый бизнес“ таким занимался значительно реже. Хостить такие сайты тоже хотят немногие, поэтому и цену на хостинг им можно заломить побольше».

Узнав, что из-за Verified ими интересуется СБУ, «Марченко и компания» начали спешно «рубить хвосты», рассказывает собеседник «Медузы»: «Информацию про Verified СБУ, насколько я слышал, правоохранительные органы США передали — да потому что там испокон веков тусуются русские кардеры, терроризирующие западные банки» («Медузе» не удалось с помощью сторонних источников подтвердить факт передачи такой информации Украине из США).

По данным IP History от сервиса ViewDNS, домен verified.ms, на котором долгое время функционировал одноименный форум для кардеров, в апреле 2013 года резолвился в IP 186.2.175.18 — а владельцем этого IP с декабря 2012-го является DDoS-Guard. В базе данных интернет-регистратора LACNIC указано, что этот IP-адрес принадлежит DDoS-GUARD Ecuador, а в качестве контактного указан номер телефона, принадлежащий гендиректору DDoS-Guard Евгению Марченко (журналист «Медузы» смог связаться с ним по этому номеру, но Марченко отказался от разговора, предложив направить все вопросы в пресс-службу компании). Иными словами, эти данные позволяют с огромной долей вероятности утверждать, что DDos-Guard предоставляла свою инфраструктуру форуму Verified.

Насколько велика эта вероятность? По словам бывшего совладельца хостинг-провайдера Diphost Филиппа Кулина, в данном случае набор факторов позволяет говорить о вероятности, близкой к 100%, даже несмотря на то, что почти любая техническая информация в интернете, кроме SSL-сертификатов, строго не верифицирована.

«Блок этих IP на данный момент, по данным LACNIC, принадлежит DDoS-Guard, поэтому можно утверждать, что аналогичная запись в реестре тех лет тоже не чудесное совпадение. Кроме маршрутной информации, реестровые записи содержат контакты для технических вопросов или жалоб — и мобильный телефон совладельца DDoS-Guard в них вряд ли совпадение, — объясняет Кулин. — Я считаю практически невозможным, чтобы такой яркий клиент, как Verified, тихо и незаметно, как бы случайно использовал хоть какое-то заметное время чьи-то IP, а их владелец бы не был об этом осведомлен. В итоге все эти данные позволяют с вероятностью в 99,9% утверждать, что Verified действительно был клиентом DDoS-Guard в том или ином виде».

Пресс-служба DDoS-Guard не утверждает, что такого не могло быть, позиция компании выглядит иначе. «Наша работа — обеспечение безопасности сайтов, а не наполнение их контентом. Все вопросы по наполнению сайтов относятся к их владельцам. Провайдер не обязан отслеживать и нести ответственность за размещаемый его клиентами контент — на этом принципе строится интернет», — говорится в ответах пресс-службы «Медузе». К тому же клиент мог предоставить фальшивые документы или поменять содержание сайта со временем, добавляет компания: «Подобные изменения невозможно отследить, особенно когда у вас сотни тысяч клиентов».

Переезд в Россию

Еще до регистрации российского юридического лица, в январе 2014 года, DDoS-Guard стала партнером крупного регистратора доменов Reg.ru, рассказал «Медузе» бывший сотрудник компании: «У Марченко был русский паспорт — он хоть и родился в Киеве, но жил в Ростове-на-Дону и окончил там вуз, поэтому туда в дальнейшем и перенесли офис DDoS-Guard. А Сабитов из Севастополя и получил российское гражданство после присоединения Крыма».

В России у DDoS-Guard появились статусные клиенты из числа госструктур. В январе 2016 года компания заключила контракт с Минобороны РФ на предоставление услуг по защите от DDoS-атак, а в 2018-м участвовала в тестировании DPI-систем под закон о «суверенном Рунете», которое проводил Роскомнадзор.

Гендиректор крупной IT-компании рассказал «Медузе», что среди клиентов DDoS-Guard есть и Центробанк. У AS 8904, принадлежащей ЦБ, одним из трех провайдеров действительно указана AS57724 DDoS-Guard. Исполнительный директор Общества защиты интернета Михаил Климарев подтвердил «Медузе», что, исходя из данной схемы организации сети, Центробанк действительно является клиентом DDoS-Guard.

Защищая Центробанк, DDoS-Guard продолжал предоставлять услуги некоторым форумам для мошенников с банковскими картами и хакеров. На IP-адресах DDoS-Guard в 2015–2020 годах располагались сайты darkode.su, hacker-pro.net, crimeprint.com и validcc.name, рассказал гендиректор крупной IT-компании; это подтверждается данными ViewDNS. Форум Verified, переехавший на домен verified.vc, тоже некоторое время продолжал работу на IP-адресах DDoS-Guard.

Подтвердить или опровергнуть эти выводы «Медуза» попросила технического консультанта «Роскомсвободы» Леонида Евдокимова. «Предположение, что веб-страницы этих доменов обслуживаются DDoS-Guard, у меня опровергнуть не получается. IP-адреса из архива DNS-записей приписаны DDoS-Guard, из других автономных систем, согласно архиву RIPEstat, данные адреса не анонсировались, а веб-страницы, по данным Internet Archive, были доступны», — ответил Евдокимов.

Теоретически DDoS-Guard могла сдать свои IP-адреса в субаренду, и тогда компания не имеет отношения к хостингу перечисленных ресурсов, «но в подтверждение этой версии фактов найти не удалось», добавил Евдокимов. Он также сомневается, что какие-то злоумышленники могут без ведома DDoS-Guard пользоваться IP-адресами компании: «На сегодня адресное пространство IP-адресов DDoS-Guard подписано электронной цифровой подписью, что должно существенно уменьшать риск несанкционированного захвата этих IP-адресов злонамеренным веб-ресурсом».

Протесты в Гонконге

Летом 2019-го Гонконг охватили многомиллионные демонстрации, спровоцированные попыткой властей КНР обязать город выдавать Китаю нарушителей китайских законов. До 2047 года, когда на город-государство должны полностью распространиться китайские законы, он теоретически имеет право на широкую автономию.

Столкновения протестующих с властями продолжались несколько месяцев, обе стороны действовали жестко: полиция применяла слезоточивый газ, резиновые пули и проводила массовые аресты; протестующие захватывали городской парламент, устраивали бунты в университетах, блокировали общественный транспорт и поджигали полицейскую технику.

Спустя пару месяцев после начала протестов в интернете появились сайты под общим названием HKLeaks — на них неизвестные начали массово публиковать личные данные протестующих в Гонконге: имена, домашние адреса, профили в соцсетях и номера телефонов, а также описание их предполагаемых преступлений в ходе акций. Началась травля: например, гонконгская активистка Кэрол Нгэ рассказала, что после появления ее данных на HKLeaks она стала получать звонки с угрозами от незнакомцев и сообщения, в которых ее называли «тараканом».

Комиссар Гонконга по конфиденциальности Стивен Вонг обращался в полицию с требованием прекратить работу этих сайтов в 2019 году, однако некоторые из них по-прежнему работают, убедилась «Медуза». При этом в ходе протестных акций сайты HKLeaks активно рекламировались на ресурсах, связанных с Коммунистической партией Китая, говорилось во многих публикациях СМИ.

Хостинг некоторым доменам проекта HKLeaks (а именно сайтам hkleaks.ru, hkleaks.pk, hkleaks.pw, hkleaks.cc, hkleaks.kg и hkleaks.kz) предоставляла DDoS-Guard, рассказал сотрудник международной IT-компании, живущий в Юго-Восточной Азии. IP History для этих доменов свидетельствует о том, что они действительно находились на IP-адресах, принадлежащих DDoS-Guard.

Больше того, в своем официальном аккаунте в твиттере DDoS-Guard подтверждала, что предоставляет услуги проекту HKLeaks. «Несмотря на то, что нас постоянно втягивают в историю с протестами в Гонконге, мы остаемся вне политики. Мы получаем тысячи сообщений, в которых говорится, что наш клиент HKLeaks нарушает закон, но никаких юридических доказательств этому нет (презумпция невиновности, помните о такой?)», — это цитата из официального твиттера DDoS-Guard, пост вышел в октябре 2019 года.

«Контент HKLeaks был направлен на решение политических проблем в Гонконге для властей Китая, поэтому поддерживать его и утверждать, что при этом компания остается вне политики, совершенно нелогично, — говорит сотрудник международной IT-компании, живущий в Юго-Восточной Азии. — Если бы DDoS-Guard, наоборот, хостили контент протестующих, ситуация была бы аналогичной, в Китае их бы просто обвинили в нарушении закона о запрете пропаганды сепаратизма. Поэтому, если компания действительно вне политики, лучшая стратегия — не ввязываться в конфликт ни на одной из сторон».

Гонимый Parler

По-настоящему мировую известность DDoS-Guard получила в январе 2021 года, когда начала предоставлять услуги опальной американской соцсети Parler.

Parler была очень популярна среди сторонников бывшего президента США — именно на этой платформе они, в частности, обсуждали готовящуюся атаку на Капитолий, которая произошла 6 января. После этих беспорядков компания Amazon прекратила хостить Parler, приложение из своих магазинов удалили Apple и Google. В конечном итоге соцсеть ушла в офлайн.

Отключив Parler от интернета, технологические компании пытаются «подавить подстрекательства к насилию», отмечал Forbes. Исполнительный директор Parler Джон Матце в ответ обвинял технологических гигантов в скоординированной атаке на свободу слова и попытке уничтожить конкуренцию на свободном рынке.

Через несколько дней Parler стал использовать для работы инфраструктуру DDoS-Guard. Российская компания отказывается раскрывать, какие именно услуги она предоставляет соцсети, ссылаясь на конфиденциальность (и, вероятно, с учетом предыдущих проблем Parler). Однако скрытность не очень помогла, и DDoS-Guard сама оказалась под ударом — ее американский партнер, компания Coresite лишила компанию доступа к своему дата-центру, хотя формальным поводом для этого стало не сотрудничество с Parler.

В США у DDoS-Guard давно неоднозначная репутация: специалист по кибербезопасности Брайан Кребс писал, что компания предоставляла услуги сайту исламистского движения «Хамас», которое в США и многих других странах (но не в России) признано террористическим. А в конце 2020-го стало известно, что клиентом DDoS-Guard стал скандальный имиджборд 8kun, ранее известный как 8chan — на нем в разное время появлялась и детская порнография, и манифесты террористов, а в последнее время активно обсуждалась теория заговора QAnon про «сатанистов-педофилов» в правящих кругах США.

Правда, в DDoS-Guard утверждали, что на момент заключения контрактов не были в курсе того, кому именно предоставляют услуги, и отключили сайты «Хамас» и 8chan, как только узнали о содержании размещаемого на них контента. Гендиректор DDoS-Guard Евгений Марченко в разговоре с The Guardian в очередной раз говорил, что «компания не поддерживает никакую незаконную деятельность» и «не связана ни с какими политическими движениями».

В размещенном на официальном сайте DDoS-Guard документе о политике компании говорится, что ее клиенты должны использовать сервисы DDoS-Guard только в законных целях. Там же перечислены незаконные — среди них торговля наркотиками, азартные игры, пиратство, а также «отправка сообщений, имеющих своим намерением угрозу или преследование личности».

Но «Медуза» убедилась, что на IP-адресах DDoS-Guard по-прежнему работает сайт hkleaks.pk, который используется для запугивания протестующих в Гонконге, а также ресурсы с контентом, который сама компания объявила незаконным.

В частности, на IP-адресе 185.178.211.2, зарегистрированном на компанию Cognitive Cloud, сейчас находится сайт d****anonstore.to — один из старейших и наиболее крупных интернет-магазинов по торговле наркотиками, существующий с 2012 года. Согласно данным британского реестра компаний, Cognitive Cloud была зарегистрирована Евгением Марченко и директором по информационной безопасности в DDoS-Guard Алексеем Лихачевым. Марченко подтверждал, что Cognitive Cloud — одна из его структур и была зарегистрирована в Шотландии, поскольку «Великобритания очень комфортна для ведения бизнеса».

Compromat.Ru: 69447
IP History для домена d****anonstore.to
«Спасибо, что сообщили про данный домен», — сказали «Медузе» в пресс-службе DDos-Guard, добавив, что компания выступает против любого нелегального контента и использования своих сервисов — и проведет проверку.

Однако специалист по кибербезопасности Брайан Кребс также отмечал: его исследование нескольких тысяч сайтов, размещаемых DDoS-Guard, показало, что среди них «огромное количество фишинговых сайтов и доменов, предоставляющих сервисы и форумы для киберпреступников».

Проблемные и сомнительные

Нельзя сказать, что предоставление услуг ресурсам с нелегальным и спорным контентом редкая практика среди компаний, работающих на рынке хостинга и защиты от DDoS-атак. Например, один из крупнейших провайдеров в этой сфере — американская Cloudflare — в 2011 году защищала от DDoS-атак сайт хакерской группировки LulzSec, взломавшей киностудию Sony Pictures. После обнародования этой информация глава Cloudflare Мэттью Принс оправдывался тем, что если этот сайт не обслуживать, он все равно не исчезнет навсегда из интернета.

«Мы в Cloudflare твердо убеждены, что наша роль — не цензура интернета… Мы уважаем законы тех юрисдикций, в которых мы работаем, но не считаем, что это наша задача — определять, какой контент можно публиковать, а какой нет. Это скользкая дорожка, на которую мы не ступим», — писал Принс. Правда, со временем позиция компании немного изменилась: например, в 2019 году Cloudflare публично разорвала отношения с имиджбордом 8chan, назвав его «выгребной ямой ненависти».

«Cloudflare действительно предоставляет услуги многим сомнительным ресурсам. С одной стороны, у них так много клиентов, что они могут и не знать, кто там у них в сети работает. С другой — они явно и не стремятся узнать; позиция компании такова, что решения принимаются постфактум, после получения разного рода жалоб и запросов от правоохранительных органов», — рассуждает в разговоре с «Медузой» генеральный директор Института исследований интернета Карен Казарян.

Вопрос, должны ли инфраструктурные провайдеры заниматься цензурой в интернете, «философский», и каждая компания решает его сама, говорит Казарян: «Некоторые, как Cloudflare, считают, что не должны разбираться в том, какой контент размещают их клиенты, — это не их дело, а правоохранительных органов. С другой стороны, многие уважаемые европейские и американские провайдеры действительно отказываются хостить у себя ресурсы с незаконным и спорным контентом, чтобы не портить репутацию. Именно поэтому хостинг таких сайтов довольно выгодная с точки зрения бизнеса история, потому что он оплачивается дороже из-за сопутствующих рисков».

«Наши сервисы может автоматически подключить себе каждый пользователь сети интернет. Наша цель — предоставлять клиентам услуги безопасности для их ресурсов, — ответили в пресс-службе DDos-Guard на просьбу „Медузы“ прокомментировать предоставление услуг мошенникам и продавцам наркотиков. — Мы не несем ответственности за то, что размещают люди и организации на своих сайтах, — точно так же, как интернет-провайдер не несет ответственности за контент, который просматривают его клиенты после работ по подключению интернета, а также за действия самих пользователей, которые совершаются в сети».

Не нужно перекладывать на хостинг-провайдеров задачи правоохранительных органов, потому что нет четких критериев добросовестности клиентов, добавляет бывший совладелец хостинг-провайдера Diphost Филипп Кулин: «Например, если на сайте некий спорный, а не совсем незаконный контент, то как решать, можно ли ему предоставлять услуги? Непонятно».

Однако Кулин считает, что DDoS-Guard и лично Евгений Марченко лукавят, когда делают вид, что не работают с ресурсами, содержащими незаконный контент. «Когда у тебя появляется такой клиент, как Verified или D****anonstore, к тебе тут же приходят его конкуренты и начинают устраивать DDoS-атаки, приходят спецслужбы, разные сердобольные люди шлют сообщения: „А вы знаете, что они у вас работают?“ Когда у нас в сети хостился подобный ресурс, к нам люди даже в офис приходили и говорили: „Уберите эту заразу из своей сети, мы знаем, что она у вас хостится“. Токсичные сайты невозможно разместить — и не знать об этом, а также не иметь за это конкретных проблем», — говорит Кулин. Имея «конкретные проблемы», компания всегда потребует больших денег, которые способны их окупить, добавляет он.

«Все прекрасно знают, что DDoS-Guard хостят у себя много непонятных и порой незаконных ресурсов, и они сами об этом знают в первую очередь, наверняка имеют из-за этого офигенные проблемы, и как следствие — офигенные деньги, потому что за обычный ценник ты таких проблемных клиентов хостить не будешь», — резюмирует Кулин.

По словам Карена Казаряна, Parler — с учетом масштаба этой площадки и количества пользователей, — вероятно, платил Amazon за хостинг и сопутствующие услуги около миллиона долларов в год, «и вряд ли будет платить DDoS-Guard сильно меньше, с учетом сложившейся ситуации».

«Для еще более токсичных клиентов и разных нелегальных сервисов цена на каждую услугу обычно увеличивается как минимум вдвое в сравнении со стандартными тарифами. Кроме того, конечная цена сильно зависит от размера ресурса и количества пользователей. Также не стоит забывать, что сайты обычно берут сразу пакет услуг: хостинг, защита от DDoS и так далее, — и когда цена на каждую из них повышается хотя бы вдвое, то в итоге получается большой ценник», — говорит Казарян.

Стоимость услуг для таких клиентов — предмет индивидуальных договоренностей: ценник может быть и в пять, и в 50 раз больше, чем в случае с аналогичными услугами для стандартного клиента, добавляет Филипп Кулин: «В 2009–2014 годах один клиент из подобной категории мне платил за хостинг и анти-DDoS одну тысячу рублей в месяц вместо стандартных 250 рублей, а другой — 10 тысяч. А у Verified и им подобных масштабы токсичности и DDoS-атак в отношении них совсем иные».

Топ