Solaris – викрито Російську наркоплатформу

Вступ

Наприкінці грудня минулого року Forbes опублікував статтю про дії Hold Security проти російської нелегальної наркоплатформи Solaris. Сьогодні ми публікуємо додаткову інформацію та дані про цю платформу, які були зібрані протягом останнього року та мали місце до моменту цієї публікації.

Hold Security - міжнародна компанія, яка займається моніторингом та захистом клієнтів від кіберзагроз та атак. Наша програма виявлення загроз базується на трьох основних стовпах - людському інтелекті, технологіях та штучному інтелекті. Поєднання всіх трьох елементів дає неймовірні результати, які запобігають та зупиняють кіберзлочини.

Існують певні кіберзлочинці, які уникають ідентифікації та яких неможливо відстежити за допомогою звичайних засобів. Майже десять років тому ми додали вектор у наші дослідження, щоб відстежувати таких злочинців через їхні наркоторговельні операції. Хоча ми не використовуємо цю можливість для моніторингу самої нелегальної торгівлі наркотиками, ми бачимо, що значний відсоток кіберзлочинців вживають нелегальні наркотики. Ця методика завжди виявлялася корисною для їх відстеження шляхом моніторингу їхніх звичок до незаконних наркотиків.

Незаконна торгівля наркотиками в Росії

Росія є безпечним осередком і благодатним ґрунтом для кількох небезпечних платформ, які постачають нелегальні наркотики десяткам тисяч користувачів. Використання Dark Web і технологій внесло величезні зміни в сучасну торгівлю наркотиками. Дилери більше не сидять у темних провулках, пропонуючи свій незаконний товар незнайомцям. Замість цього вони використовують онлайн-сервіси для відправки армій наркобігунів, які ховають різні наркотики посеред звичайних районів у непримітних місцях. Потім вони ретельно документують приховані схованки за допомогою GPS-координат, фотографій та інструкцій. Використовуючи ці нові онлайн-сервіси, дилер і клієнт ніколи не зустрічаються віч-на-віч, що створює більше шансів на фізичну безпеку для обох сторін. Як же тоді вони знаходять один одного? Наркоспоживачі знаходять наркотики за допомогою декількох платформ Dark Web, які дозволяють дилерам вести власні магазини і взаємодіяти з цими споживачами через відносно простий веб-інтерфейс.

Більшість назв та графіки магазинів імітують популярні бренди, знаменитостей або використовують інші добре відомі трюки, щоб привернути більше уваги до своїх магазинів. Наприклад, магазин, що використовує зображення Філіпа Кіркорова, російського поп-співака, пропонує різноманітні заборонені наркотики. "Дядя Філя" або "Дядя Філ" - один із сотень магазинів, які змагаються за увагу споживачів наркотиків, залежно від місцевості та видів наркотиків, кількості клієнтів, цін і навіть рейтингів.

Код магазину та SQL база даних – Посилання

Магазин «Дядя Філя»

Поява Solaris

Ряд схожих популярних платформ стали відомими і зникли з поля зору. Однак після нещодавньої зникнення основної платформи Hydra залишилося лише кілька популярних платформ. Один з таких ринків наркотиків Dark Web, RuTor, з'явився на дуже популярному російськомовному форумі Solaris. Solaris не є новою платформою, заснованою на цьому описі, датованому 2017 роком:

Соляріс - автомагазини з загальним каталогом. Проєкт Занзі. Майже безлюдно.

Після виходу з тіні, група Solaris влаштувала безжальну атаку на RuTor за допомогою DDoS та безліч інших кібератак і кіберзагроз. Це забезпечило Solaris першість в російській інтернет-торгівлі наркотиками.

Магазини Solaris працюють у дуже складний спосіб: покупці наркотиків вносять гроші на рахунок біржі, де вони зберігаються в біткоїнах (незаконних в Росії). Кожен рахунок з коштами на ньому має власний біткоїн-гаманець, і гроші переміщуються через біржу, яка працює як банк. На цих рахунках зберігаються різні залишки для виплат власникам магазинів та іншому персоналу.

Наше розслідування

У липні 2022 року компанія Hold Security отримала інсайдерський доступ до інфраструктури Solaris. Ця інфраструктура виявилася не тільки складною, але й сучасною та розвиненою. Її захищеність була значно вищою за середню. Збирати відомості про загрози з наркоплатформи непросто, але до цього дня нам вдавалося залишатися частково непоміченими для цього злочинного угруповання. Hold Security відчувала, що з цього має вийти щось хороше. Тому ми обрали для підтримки велику українську гуманітарну благодійну організацію «Життєлюб».

Гуманітарна благодійна організація України «Життєлюб» «Життєлюб» допомагає долати наслідки військової агресії, в тому числі евакуацію постраждалих людей, забезпечення продуктами харчування та продуктовими пайками, медикаментами та засобами гігієни тих, хто найбільше потребує допомоги.

Маючи безперешкодний доступ до ресурсів Solaris, ми змогли вивести понад 1,5 біткоїна на біткоїн-гаманець для цієї української благодійної організації. Ця транзакція не торкнулася гаманців наркозалежних або власників магазинів, а була спрямована саме проти операторів платформи. Це лише початок занепаду Solaris.

Партнерство Solaris та Killnet

У своєму інтерв'ю російському виданню RT у жовтні 2022 року KillMilk, засновник Killnet (російського хактивістського угруповання, що атакує Україну та її союзників), публічно подякував групі Solaris за їхню "величезну підтримку".

Це стало переломним моментом. До цього часу Killnet не соромився просити підтримки, але їхня причетність до нелегальної наркоплатформи була вкрай незвичною. Якщо вже на те пішло, то співробітники Solaris мають бути опозиційними до російського уряду та його прихильників. Наприклад, в рядах Solaris є загрозливий гравець TonyMontana, який раніше керував магазином крадених кредитних карток "TrumpDumps". Цей магазин був ліквідований російським урядом у лютому 2022 року.

- Яку підтримку ви маєте з-за кордону, якщо вона є?

- Я маю величезну підтримку від моїх друзів з SOLARIS - це така ж зухвала та сильна команда з Dark Web. Не знаю, звідки вони, але я знаю цих професіоналів дуже давно. Завдяки їхній увазі до нас, Killnet рухається вперед повним ходом. Також наша сім'я - це наші підписники з Telegram - сильна опора для нас, за що ми їм вдячні.

Наша мета

Ми сформували свою мету: привернути увагу громадськості до групи Solaris та висвітлити їх зв'язок з Killnet. Можливо, увага громадськості та проведення розслідування дасть нам відповіді на питання про KillMilk та їх зв'язок з російською наркоторгівлею. Чи підтримує решта Killnet такого лідера? Чи повинна увага громадськості і недостатній контроль безпеки змусити групу Solaris піти в безвість і ганьбу?

Брехня Solaris

Після того, як біткоїни були виведені з платформи, адміністрація Solaris демонтувала більшу частину своєї інфраструктури, повідомивши, що це було пов'язано з серйозною модернізацією. Вони зробили все можливе, щоб спростувати історію Forbes (за винятком переказу коштів), запевняючи своїх клієнтів, що їхня нова версія буде більшою і кращою. Все це було брехнею.

Killnet також відхрестився від новини про те, що його лідер пов'язаний з наркобандою. Деякі члени Killnet звернулися до KillMilk з проханням прокоментувати ситуацію, але у відповідь почули лише боягузливе мовчання.

Як експерти з кібербезпеки, Hold Security не втратили багато своїх ключових позицій в інфраструктурі Solaris. Тому ми знаємо, що єдиним оновленням коду стала сезонна адаптація логотипу Solaris і деякі зміни обмінного гаманця.

Зараз Hold Security публікує дані Solaris з більшої частини своєї інфраструктури, щоб привернути увагу до все ще вразливої платформи. Ці дані підкреслюють постійний зв'язок і підтримку Killnet та російської інфраструктури незаконного обігу наркотиків. Вони також дозволяють дослідникам кібербезпеки отримати інформацію та інструменти, необхідні для подальшого розслідування діяльності цієї групи.

Зміна адреси біржового гаманця

Tor Nodes та захист від DDoS-атак

Наведені нижче дані містять скрипти Ansible та SSH-ключі для автоматизованого розгортання на понад 60 серверів, зокрема: вихідний код системи AntiDDoS Solaris Guard, перенаправлення з RuTor на Solaris, а також конфігурацію балансувальника навантаження Tor (onionbalance). Ці дані також включають приховані сервісні ключі Onion. Посилання.

Автоматизація інфраструктури Solaris

Система моніторингу

Дамп MySQL з моніторингу Zabbix для частини інфраструктури Solaris – Посилання.

Каталог Solaris і Shop GIT - повний вихідний код

Актуальна (11 січня 2023 року) копія каталогу Solaris та магазину GIT – Посилання.

GIT-репозиторії Solaris

Дамп папки з даними MongoDB Форумів Solaris

Хоча це не найновіші дані з форумів Solaris, вони є справжнім кладезем інформації для розслідування діяльності суб'єктів загроз через їхні публічні та приватні комунікації – Посилання.

Форум Solaris

База даних SQL з низки магазинів Solaris

SQL-дані та дані Docker-контейнерів з магазинів Solaris. (Зверніть увагу, що ми видалили ключі розшифрування гаманців користувачів, щоб запобігти їх незаконному використанню). Посилання.

Висновок

Hold Security ділиться своїми знахідками та даними з російської платформи нелегальних наркотиків Solaris. У ряді публічних заяв група Solaris пов'язувала себе з Killnet. Наша мета - підвищити обізнаність про злочини та зв'язки Solaris, а також порушити питання щодо керівництва Killnet та джерел їхньої підтримки. Дані, на які є посилання в цій статті, говорять самі за себе.

Натисніть тут і дізнайтесь більше про компанію Hold Security та її послуги з виявлення загроз.