Наш новий проєкт проти киберкриміналу Solaris та Killnet в Forbes.
Українець краде 25 тисяч доларів у біткоїнах із російського наркоринку у Dark Web і віддає їх київській благодійній організації
Українець повідомляє, що зламав головний гаманець наркомаркету «Соляріс» і спрямував його кошти до української гуманітарної благодійної організації.
Цього Різдва український фахівець з кіберрозвідки Алекс Холден віддає свою данину батьківщині. Мешканець Мекуона, штат Вісконсін, грає роль Робін Гуда темної мережі: його команда Hold Security зламала один із найбільших російських онлайн-ринків наркотиків під назвою Solaris і через дилерів та власників сайту переспрямувала криптовалюту до благодійної організації, яка надає гуманітарну допомогу в Україні.
Холден, який покинув Київ підлітком у 1980-х роках через наслідки аварії на Чорнобильській АЕС, відмовився розповісти, як він це зробив, але сказав, що зміг взяти під контроль більшу частину інтернет-інфраструктури, на якій працює Solaris, низку облікових записів адміністраторів, які керують незаконним продажем, вихідним кодом веб-сайту та базою даних його користувачів, а також пункти доставки наркотиків. Короткочасно його команда також контролювала «головний гаманець» Solaris. Цей гаманець використовувався покупцями та дилерами для внесення та зняття коштів, діючи як біржа криптовалют на сайті.
Холден продемонстрував Forbes кілька скріншотів доступу до адміністративних облікових записів Solaris і головного гаманця, а український експерт з кібербезпеки підтвердив, що скріншоти дійсно показують доступ до облікових записів серверної частини Solaris
За словами Холдена, гроші швидко надходили в гаманець і виходили з нього, тому у ньому рідко коли було більше 3 біткойнів вартістю 50 000 доларів. Це означало, що там не було великої суми, яку можна було б вивести, хоча йому вдалося захопити 1,6 біткоїна вартістю 25 000 доларів і надіслати його до благодійної організації. Hold Security також здійснює окрему пожертву в розмірі 8000 доларів США.
Співзасновниця фонду підтвердила, що некомерційна організація отримала пожертву, зазначивши, що всі внески пішли безпосередньо людям літнього віку, родинам із певними потребами та внутрішньо переміщеним особам, які постраждали через війну з Росією.
Зараз Холден зберігає значну кількість інформації про користувачів і операції Solaris, яку, на його думку, можна використати для визначення місцезнаходження будь-яких російських кіберзлочинців, які використовують сайт для підтримки своїх операцій. Він також зберігає анонімний контроль за різними частинами ринку. Заявляючи про це через Forbes, він хоче змусити власників закрити сайт. Ця атака має й політичне підґрунтя. «Можливо, росіяни без своїх наркотиків тверезо дивилися б на свою країну і щось робили», – сказав він. «Можливо, Кремль не захищатиме наркоторгівлю своєї країни, а вирішуватиме проблеми з наркотиками замість того, щоб вторгатися в Україну».
Зв’язок із Killnet
Ці атаки можуть вплинути не тільки на наркоторгівлю темною мережею в Росії. Це може порушити роботу одного з партнерів Solaris: групи хакерів, відомої як Killnet. Killnet, що з’явилася на початку року, вперше запропонувала блокувати веб-сайти за певну плату, переповнюючи їх трафіком, що широко відомо як розподілена атака типу відмови від обслуговування (DDoS). Але після того, як Росія вторглася в Україну, Killnet стала патріотично налаштованою хакерською командою, що пообіцяла атакувати українців та їхніх прихильників. Надалі DDoS-атаки були спрямовані на веб-сайти аеропортів США, Національне агентство геопросторових досліджень та урядові веб-сайти різних штатів. Згідно з повідомленнями, серед його європейських цілей були пісенний конкурс Євробачення, уряд Естонії та Національний інститут охорони здоров’я Італії. Хоча ці атаки змогли уповільнити або запобігти доступу до веб-сайтів цільових організацій, вони мали мінімальний ефект у порівнянні з українською ІТ-армією, яка атакувала різні відомі російські організації, включаючи Сбербанк і Московську фондову біржу, власними DDoS атаками.
Холден прагне загнати Killnet у глухий кут будь-яким можливим способом, і його проникнення в Solaris пропонує один із таких шляхів, оскільки біржа має численні зв’язки з російською хакерською групою. Влітку остання здійснила DDoS-атаки на головного конкурента Solaris – Rutor, який став лідером російського підпільного ринку наркотиків після того, як у березні закрили інший базар – Hydra. Раніше цього року аналітики американської фірми з кібербезпеки ZeroFox заявили, що Solaris оплачує DDoS-послуги Killnet.
Керівництво Killnet теж відкрито заявляло, що в них є підтримка з боку Solaris. У жовтневому інтерв’ю російському виданню RT засновник Killnet, відомий як KillMilk, сказав, що його група має «величезну підтримку» з боку «сміливої та сильної команди Solaris». Пообіцявши зламати американські державні установи у відповідь на підтримку України США, він сказав, що знає команду Solaris «дуже давно».
Андрас Тот-Чіфра, аналітик компанії з кіберрозвідки Flashpoint, відстежував діяльність Killnet протягом останнього року. Він зазначив, що невдовзі після інтерв’ю RT хакери в дописі в Telegram повідомили, що отримували фінансові внески від Solaris. «За своєю суттю, це була реклама, розміщена на каналі Killnet», — сказав Тот-Чіфра.
Холден, вважаючи, що Killnet фінансується наркогрішми Solaris, додав, що «можливо, розірвання цього зв’язку знищить трохи хмизу для багаття, яким палає сміття Killnet». Томас Брюстер, співробітник Forbes. Помічник редактора Forbes, оглядач питань кіберзлочинності, конфіденційності, безпеки та стеження.