Твитнуть
Источник - https://holdsecurity.com/news/2023/0...tform-exposed/
Россия является безопасным убежищем для нелегальных наркотиков и благодатной почвой для нескольких опасных платформ, которые поставляют нелегальные наркотики десяткам тысяч пользователей. Использование темной сети и технологий имело огромное значение в нынешней торговле наркотиками. Дилеры больше не сидят в темных переулках, предлагая свои незаконные товары незнакомцам. Вместо этого наркоторговцы теперь используют онлайн-сервисы для отправки армий наркокурьеров, которые прячут различные наркотики посреди непритязательных районов обычных районов. Затем они тщательно документируют скрытые тайники с помощью GPS-координат, фотографий и инструкций. Используя эти новые онлайн-сервисы, дилер и клиент никогда не встречаются лицом к лицу, что повышает шансы на физическую безопасность для обеих сторон. Итак, как же они тогда находят друг друга? Наркопотребители находят наркотики через несколько темных веб-платформ, которые позволяют дилерам открывать свои собственные магазины и взаимодействовать с этими наркопотребителями через относительно простой веб-интерфейс.
Большинство названий магазинов и графики имитируют популярные бренды, знаменитостей или другие хорошо известные уловки, чтобы привлечь больше внимания к своим магазинам. Например, магазин, использующий изображения Филиппа Киркорова, российского поп-певца, предлагал различные нелегальные наркотики. “Djadja Filjua” или “Дядя Фил” - один из сотен магазинов, борющихся за внимание потребителей наркотиков на основе местоположения и типов наркотиков, количества клиентов, цен и даже рейтингов.
Код магазина и база данных SQL - Ссылка
Ряд таких популярных платформ получили известность и прекратили свое существование. Однако после последнего краха основной платформы Hydra осталось всего несколько популярных платформ. Один из таких рынков наркотиков в темной Сети, RuTor, возник из очень популярного русскоязычного форума Solaris. Solaris не является новой платформой, основанной на этом описании, датированном 2017 годом:
Выйдя из тени, банда Solaris организовала безжалостную атаку на RuTor с помощью DDoS-атак и множества других кибератак и киберугроз. Это позволило Solaris занять лидирующие позиции в российской нелегальной онлайн-торговле наркотиками.
Магазины Solaris работают очень изощренным способом, в то время как покупатели наркотиков вносят деньги на биржу, где они хранятся в биткойнах (незаконно в России). Каждая учетная запись, на которой хранятся средства, имеет свой собственный биткойн-кошелек, и деньги переводятся через биржу, которая работает как банк. На этих счетах хранятся различные балансы для выплат владельцам магазинов и другому персоналу.
В июле 2022 года Hold Security получила инсайдерский доступ к инфраструктуре Solaris. Эта инфраструктура была не только сложной, но и современной и зрелой. Их безопасность была значительно выше средней. Собирать информацию об угрозах с наркоплатформы непросто, но до сих пор нам удавалось оставаться частично невидимыми для этой вредоносной группы. Hold Security почувствовала, что из этого должно получиться что-то хорошее. Поэтому мы выбрали для поддержки великую украинскую гуманитарную благотворительную организацию - Enjoying Life.
Наслаждение жизнью помогает справиться с последствиями нынешней военной агрессии, включая эвакуацию пострадавших людей, обеспечение продуктами питания и продовольственными пайками, медикаментами и средствами гигиены тех, кто больше всего нуждается в помощи.
Благодаря беспрепятственному доступу к ресурсам Solaris мы смогли перевести более 1,5 биткойнов с биржи Solaris на биткойн-кошелек для этой украинской благотворительной организации. Эта транзакция не затронула кошельки потребителей наркотиков или владельцев магазинов, а была нацелена на самих операторов обмена. Это только начало гибели Solaris.
В своем интервью российскому изданию RT в октябре 2022 года КиллМилк, основатель Killnet (российской хактивистской группы, атакующей Украину и ее союзников), публично поблагодарил группу Solaris за их “огромную поддержку”.
Это изменило правила игры. На сегодняшний день Killnet не стеснялся просить о поддержке, но их принадлежность к нелегальной наркоплатформе была весьма необычной. Во всяком случае, сотрудники Solaris должны быть настроены против российского правительства и его сторонников. Например, в рядах Solaris есть субъект угрозы, ТоноМонтана, который ранее управлял магазином краденых кредитных карт под названием “TrumpDumps”. Этот магазин был закрыт российским правительством в феврале 2022 года.
- Какую поддержку вы получаете из-за рубежа, если она есть?
- У меня огромная поддержка от моих друзей в SOLARIS – это также агрессивная и сильная команда из Темной паутины. Я не знаю, откуда они, но я давно знаю этих профессионалов. Спасибо за внимание к нам, Killnet движется полным ходом…
Была сформулирована наша цель: привлечь внимание общественности к группе Solaris и подчеркнуть их связь с Killnet. Возможно, общественное внимание и исследования помогут нам получить ответы о KillMilk и их связи с российской наркоторговлей. Поддерживает ли такого лидера остальная часть Killnet? Должно ли общественное внимание и слабый контроль безопасности заставить группу Solaris исчезнуть в безвестности и позоре?
После того, как биткойны были перенаправлены с биржи Solaris, администрация Solaris отключила большую часть своей инфраструктуры, заявив, что это связано с серьезным обновлением. Они сделали все возможное, чтобы опровергнуть историю Forbes (за исключением перевода денег), заверив своих клиентов, что их новая версия будет больше и лучше. Все это было ложью.
Killnet также опроверг новость о том, что его лидер был связан с бандой наркоторговцев. Некоторые участники Killnet попросили KillMilk прокомментировать, но последовало только трусливое молчание.
Будучи экспертами в области кибербезопасности, Hold Security не утратила многих своих преимуществ в инфраструктуре Solaris. Поэтому мы знаем, что единственными обновлениями в коде были сезонная адаптация логотипа Solaris и некоторые изменения кошелька exchange.
Hold Security теперь освобождает данные Solaris от большей части своей инфраструктуры, чтобы привлечь внимание к своей все еще уязвимой платформе. Эти данные свидетельствуют о продолжающейся связи и поддержке Killnet и российской инфраструктуры незаконного оборота наркотиков. Она также предоставляет исследователям кибербезопасности информацию и инструменты, необходимые для дальнейшего расследования этой группы.
Следующие данные включают в себя скрипты Ansible и SSH-ключи для автоматического развертывания на более чем 60 серверах, в том числе: исходный код системы защиты от DDoS-атак Solaris, перенаправления с RuTor на Solaris и конфигурацию балансировщика нагрузки Tor (onionbalance). Эти данные также включают ключи скрытой службы Onion. Ссылка
Дамп MySQL из мониторинга Zabbix для части инфраструктуры Solaris - Ссылка
Каталог Solaris и магазин GIT – полный исходный код
Самая последняя (11 января 2023 года) копия каталога Solaris и GIT - Link магазина
Дамп папки данных Solaris Forums MongoDB
Хотя это не самые последние данные с форумов Solaris, это кладезь информации для расследования угроз, исходящих от участников их публичных и частных коммуникаций - Ссылка
База данных SQL из нескольких магазинов Solaris
Данные SQL и контейнеры Docker хранят данные из магазинов Solaris. (Пожалуйста, обратите внимание, что мы удалили ключи дешифрования кошелька пользователя, чтобы предотвратить злоупотребление.) Ссылка
Заключение
Hold Security делится своими выводами и данными с российской нелегальной наркоплатформы Solaris. В нескольких публичных заявлениях группа Solaris связала себя с Killnet. Наша цель - повысить осведомленность о преступлениях и связях Solaris, а также поднять вопросы о руководстве Killnet и источниках их поддержки. Данные, приведенные в этой статье, должны говорить сами за себя.
В конце декабря прошлого года Forbes опубликовал статью, описывающую
действия Hold Security против российской нелегальной наркоплатформы Solaris. Сегодня мы публикуем дополнительную информацию и данные об этой платформе, которые были собраны за последний год и продолжались до момента этой публикации.
Hold Security - международная компания по анализу угроз, которая отслеживает и защищает клиентов от киберугроз и атак. Наша программа анализа угроз основана на трех основных принципах – человеческом интеллекте, технологиях и искусственном интеллекте. Сочетание всех трех дает невероятные результаты, которые предотвращают и останавливают киберпреступность.
Есть определенные киберпреступники, которые уклоняются от идентификации и остаются непрослеживаемыми с помощью обычных средств. Почти десять лет назад мы добавили вектор в наши исследования, чтобы отслеживать таких преступников, наблюдая за их сделками с наркотиками. Хотя мы не используем эту возможность для мониторинга самой незаконной торговли наркотиками, мы видим, что значительный процент киберпреступников использует незаконные наркотики. Этот метод всегда оказывался полезным для отслеживания их нелегальных пристрастий к наркотикам.
действия Hold Security против российской нелегальной наркоплатформы Solaris. Сегодня мы публикуем дополнительную информацию и данные об этой платформе, которые были собраны за последний год и продолжались до момента этой публикации.
Hold Security - международная компания по анализу угроз, которая отслеживает и защищает клиентов от киберугроз и атак. Наша программа анализа угроз основана на трех основных принципах – человеческом интеллекте, технологиях и искусственном интеллекте. Сочетание всех трех дает невероятные результаты, которые предотвращают и останавливают киберпреступность.
Есть определенные киберпреступники, которые уклоняются от идентификации и остаются непрослеживаемыми с помощью обычных средств. Почти десять лет назад мы добавили вектор в наши исследования, чтобы отслеживать таких преступников, наблюдая за их сделками с наркотиками. Хотя мы не используем эту возможность для мониторинга самой незаконной торговли наркотиками, мы видим, что значительный процент киберпреступников использует незаконные наркотики. Этот метод всегда оказывался полезным для отслеживания их нелегальных пристрастий к наркотикам.
Незаконная торговля наркотиками в России
Россия является безопасным убежищем для нелегальных наркотиков и благодатной почвой для нескольких опасных платформ, которые поставляют нелегальные наркотики десяткам тысяч пользователей. Использование темной сети и технологий имело огромное значение в нынешней торговле наркотиками. Дилеры больше не сидят в темных переулках, предлагая свои незаконные товары незнакомцам. Вместо этого наркоторговцы теперь используют онлайн-сервисы для отправки армий наркокурьеров, которые прячут различные наркотики посреди непритязательных районов обычных районов. Затем они тщательно документируют скрытые тайники с помощью GPS-координат, фотографий и инструкций. Используя эти новые онлайн-сервисы, дилер и клиент никогда не встречаются лицом к лицу, что повышает шансы на физическую безопасность для обеих сторон. Итак, как же они тогда находят друг друга? Наркопотребители находят наркотики через несколько темных веб-платформ, которые позволяют дилерам открывать свои собственные магазины и взаимодействовать с этими наркопотребителями через относительно простой веб-интерфейс.
Большинство названий магазинов и графики имитируют популярные бренды, знаменитостей или другие хорошо известные уловки, чтобы привлечь больше внимания к своим магазинам. Например, магазин, использующий изображения Филиппа Киркорова, российского поп-певца, предлагал различные нелегальные наркотики. “Djadja Filjua” или “Дядя Фил” - один из сотен магазинов, борющихся за внимание потребителей наркотиков на основе местоположения и типов наркотиков, количества клиентов, цен и даже рейтингов.
Код магазина и база данных SQL - Ссылка
Появление Solaris
Ряд таких популярных платформ получили известность и прекратили свое существование. Однако после последнего краха основной платформы Hydra осталось всего несколько популярных платформ. Один из таких рынков наркотиков в темной Сети, RuTor, возник из очень популярного русскоязычного форума Solaris. Solaris не является новой платформой, основанной на этом описании, датированном 2017 годом:
Выйдя из тени, банда Solaris организовала безжалостную атаку на RuTor с помощью DDoS-атак и множества других кибератак и киберугроз. Это позволило Solaris занять лидирующие позиции в российской нелегальной онлайн-торговле наркотиками.
Магазины Solaris работают очень изощренным способом, в то время как покупатели наркотиков вносят деньги на биржу, где они хранятся в биткойнах (незаконно в России). Каждая учетная запись, на которой хранятся средства, имеет свой собственный биткойн-кошелек, и деньги переводятся через биржу, которая работает как банк. На этих счетах хранятся различные балансы для выплат владельцам магазинов и другому персоналу.
Наше исследование
В июле 2022 года Hold Security получила инсайдерский доступ к инфраструктуре Solaris. Эта инфраструктура была не только сложной, но и современной и зрелой. Их безопасность была значительно выше средней. Собирать информацию об угрозах с наркоплатформы непросто, но до сих пор нам удавалось оставаться частично невидимыми для этой вредоносной группы. Hold Security почувствовала, что из этого должно получиться что-то хорошее. Поэтому мы выбрали для поддержки великую украинскую гуманитарную благотворительную организацию - Enjoying Life.
Гуманитарная благотворительность Enjoying Life Украина
Наслаждение жизнью помогает справиться с последствиями нынешней военной агрессии, включая эвакуацию пострадавших людей, обеспечение продуктами питания и продовольственными пайками, медикаментами и средствами гигиены тех, кто больше всего нуждается в помощи.
Благодаря беспрепятственному доступу к ресурсам Solaris мы смогли перевести более 1,5 биткойнов с биржи Solaris на биткойн-кошелек для этой украинской благотворительной организации. Эта транзакция не затронула кошельки потребителей наркотиков или владельцев магазинов, а была нацелена на самих операторов обмена. Это только начало гибели Solaris.
Партнерство Solaris и Killnet
В своем интервью российскому изданию RT в октябре 2022 года КиллМилк, основатель Killnet (российской хактивистской группы, атакующей Украину и ее союзников), публично поблагодарил группу Solaris за их “огромную поддержку”.
Это изменило правила игры. На сегодняшний день Killnet не стеснялся просить о поддержке, но их принадлежность к нелегальной наркоплатформе была весьма необычной. Во всяком случае, сотрудники Solaris должны быть настроены против российского правительства и его сторонников. Например, в рядах Solaris есть субъект угрозы, ТоноМонтана, который ранее управлял магазином краденых кредитных карт под названием “TrumpDumps”. Этот магазин был закрыт российским правительством в феврале 2022 года.
KillMilk поблагодарил Solaris за поддержку
- Какую поддержку вы получаете из-за рубежа, если она есть?
- У меня огромная поддержка от моих друзей в SOLARIS – это также агрессивная и сильная команда из Темной паутины. Я не знаю, откуда они, но я давно знаю этих профессионалов. Спасибо за внимание к нам, Killnet движется полным ходом…
Наша цель
Была сформулирована наша цель: привлечь внимание общественности к группе Solaris и подчеркнуть их связь с Killnet. Возможно, общественное внимание и исследования помогут нам получить ответы о KillMilk и их связи с российской наркоторговлей. Поддерживает ли такого лидера остальная часть Killnet? Должно ли общественное внимание и слабый контроль безопасности заставить группу Solaris исчезнуть в безвестности и позоре?
Солярис лжет
После того, как биткойны были перенаправлены с биржи Solaris, администрация Solaris отключила большую часть своей инфраструктуры, заявив, что это связано с серьезным обновлением. Они сделали все возможное, чтобы опровергнуть историю Forbes (за исключением перевода денег), заверив своих клиентов, что их новая версия будет больше и лучше. Все это было ложью.
Killnet также опроверг новость о том, что его лидер был связан с бандой наркоторговцев. Некоторые участники Killnet попросили KillMilk прокомментировать, но последовало только трусливое молчание.
Будучи экспертами в области кибербезопасности, Hold Security не утратила многих своих преимуществ в инфраструктуре Solaris. Поэтому мы знаем, что единственными обновлениями в коде были сезонная адаптация логотипа Solaris и некоторые изменения кошелька exchange.
Hold Security теперь освобождает данные Solaris от большей части своей инфраструктуры, чтобы привлечь внимание к своей все еще уязвимой платформе. Эти данные свидетельствуют о продолжающейся связи и поддержке Killnet и российской инфраструктуры незаконного оборота наркотиков. Она также предоставляет исследователям кибербезопасности информацию и инструменты, необходимые для дальнейшего расследования этой группы.
Узлы Tor и защита от DDoS-атак
Следующие данные включают в себя скрипты Ansible и SSH-ключи для автоматического развертывания на более чем 60 серверах, в том числе: исходный код системы защиты от DDoS-атак Solaris, перенаправления с RuTor на Solaris и конфигурацию балансировщика нагрузки Tor (onionbalance). Эти данные также включают ключи скрытой службы Onion. Ссылка
Система мониторинга
Дамп MySQL из мониторинга Zabbix для части инфраструктуры Solaris - Ссылка
Каталог Solaris и магазин GIT – полный исходный код
Самая последняя (11 января 2023 года) копия каталога Solaris и GIT - Link магазина
Дамп папки данных Solaris Forums MongoDB
Хотя это не самые последние данные с форумов Solaris, это кладезь информации для расследования угроз, исходящих от участников их публичных и частных коммуникаций - Ссылка
Форум Solaris
База данных SQL из нескольких магазинов Solaris
Данные SQL и контейнеры Docker хранят данные из магазинов Solaris. (Пожалуйста, обратите внимание, что мы удалили ключи дешифрования кошелька пользователя, чтобы предотвратить злоупотребление.) Ссылка
Заключение
Hold Security делится своими выводами и данными с российской нелегальной наркоплатформы Solaris. В нескольких публичных заявлениях группа Solaris связала себя с Killnet. Наша цель - повысить осведомленность о преступлениях и связях Solaris, а также поднять вопросы о руководстве Killnet и источниках их поддержки. Данные, приведенные в этой статье, должны говорить сами за себя.
Комментарий