В даркнете продолжается жестокая война за рынок наркотиков. Чем это опасно для обычных россиян?
Война за главенство на рынке онлайн-продажи наркотиков, спровоцированная закрытием прежнего монополиста «Гидры», продолжается уже десять месяцев. За это время реклама запрещенных веществ переехала из глубин даркнета на щиты на улицах российских городов, а проморолики маркетплейсов можно найти практически на всех доступных легальных платформах.
Рынок почти лишился одного из претендентов на монополию
Ключевым аспектом в борьбе наркоплощадок, которая началась сразу после отключения «Гидры» весной 2022 года, стали попытки маркетплейсов вывести из строя сайты конкурентов. Расчет был на то, что хроническая недоступность сервисов утомит покупателей и вынудит их искать альтернативные площадки по продаже запрещенных веществ. В качестве конкретных инструментов претенденты на место монополиста используют DDoS-атаки (были особенно популярны летом и осенью 2022 года) и перехват контроля над доменами конкурентов (эта тактика активно применяется в последние месяцы). В последнем случае могут страдать как сайты площадок в клирнете, так и их страницы в даркнете, считающиеся, как правило, основными.
Вскоре после падения «Гидры» претенденты на ее место начали активно создавать представительства в клирнете. С их помощью площадки по продаже нелегальных веществ пытались повысить собственную доступность: для посещения даркнета нужно не только скачать и установить браузер Tor или его аналоги, но еще и разобраться пусть в несложных, но требующих определенной смекалки настройках, тогда как посещение обычного сайта не подразумевает всех этих трудностей.
Какие площадки борются за наркорынок?
С тем, что конкуренты пытались отключить их сайты, сталкивались почти все маркетплейсы, но больше всех досталось So****s. Этот маркетплейс потерял доступ к своим площадкам в даркнете, а сайт в клирнете пришлось на время закрыть. И хотя за этим событием в январе наблюдали многие даркнет-аналитики, данные о том, что же на самом деле произошло, разнятся. Все неизменно сходятся лишь в одном: первым о проблемах маркетплейса на его же главной странице сообщили представители Kr***n.
«Уважаемые покупатели и продавцы! Данная площадка была полностью нами скомпрометирована, скачаны все исходники, базы данных магазинов и все, что полагается в таких случаях. Добро пожаловать на Kr***n», — написали взломщики 13 января, параллельно выложив исходный код своего конкурента и часть данных размещавшихся у него магазинов.
Снос быстродоступных удобных доменов может серьезно навредить маркетплейсу, и я даже вижу, что в нынешних условиях это может оказаться эффективнее DDoS-атак, ведь это дешевле и, как показала практика, проворачивать такое можно хоть каждый день
Disputmanдаркнет-аналитик
После этого onion-ссылки маркетплейса перестали работать, а на сайте в клирнете аватарки сразу нескольких магазинов превратились в логотип Kr***n. В разговоре с «Лентой.ру» представители маркетплейса подтвердили, что именно они стоят за взломом So****s.
На протяжении следующей недели So****s обновлял сообщение на главной странице своего клирнет-ресурса, пытаясь убедить пользователей в том, что их средства в безопасности, а Kr***n не имеет никакого отношения к взлому. По версии маркетплейса, конкурент лишь воспользовался оказавшимися в его распоряжении базами данных и исходным кодом ресурса. В итоге ответственность за произошедшее возложили на бывшего сотрудника.
Скриншот: главная страница клирнет-ресурса So****s (орфография и пунктуация автора сохранены)
Никто никого не предавал и ничего не выкупал. Просто был получен доступ к GitLab-репозитарию So****s, исходникам проекта от 12.01.23, а далее — ко всей локальной сети и инфраструктуре Hetzner в Финляндии. У проекта есть несколько огромных ошибок в коде, которые и по сей день остаются актуальными. Но еще большая ошибка — хранение паролей и ключей от своих серверов в открытом виде, удел школьников с пятой парты
администрация Kr***n
Killnet обвинили в связях с наркомафией
Еще за сутки до взлома So****s исходный код и другие данные с маркетплейса оказались в публичном доступе и начали стремительно рапространяться по даркнет-форумам. Ответственность за утечку взял на себя известный на Западе специалист по информационной безопасности с украинскими корнями Алекс Холден, занимающий руководящий пост в созданной им компании Hold Security. В статье,
размещенной на сайте организации, он заявил, что доступ к инфраструктуре So****s он получил еще в июле 2022 года.
«Россия стала раем для продавцов наркотиков и благодатной почвой для нескольких даркнет-площадок, представляющих самую серьезную угрозу. Развитие даркнета и использование различных технологий сильно изменило торговлю наркотиками в этой стране. Дилеры больше не сидят в темных переулках, предлагая свои товары незнакомцам. Вместо этого они используют онлайн-сервисы для отправки армий кладменов, которые прячут психоактивные вещества (ПАВ) в глуби обычных непритязательных районов городов», — написал Холден.
По его словам, IT-инфраструктура So****s оказалась достаточно сложной, а уровень безопасности он охарактеризовал фразой «выше среднего». Несмотря на это, проникновение Холдена в маркетплейс осталось незамеченным администрацией площадки. Более того, в декабре 2022 года ему удалось выкрасть у наркоторговцев 25 тысяч долларов в биткоинах и
направить их на счета благотворительных организаций в Киеве.
Публикация исходного кода ресурса, судя по всему, стала ответом на заявления So****s о том, что Холден никогда не имел доступа к инфраструктуре маркетплейса и не переводил никаких денег на Украину. Помимо основного кода проекта, Холден опубликовал частичные базы данных некоторых магазинов и систем мониторинга, раскрыл особенности инструментов, направленных на противодействие внешним DDoS-атакам, а также ряд других сугубо профессиональных сведений.
Отдельная часть материала была посвящена предполагаемому сотрудничеству пророссийских хакеров из группировки Killnet с наркомафией. В качестве доказательства такой связи Холден приводит цитату лидера группировки Killmilk из интервью Russia Today: «У меня огромная поддержка от моих друзей из So****s — это такая же дерзкая и сильная команда из даркнета. Я не знаю, откуда они, но я знаю этих профессионалов очень давно. Благодаря их вниманию в нашу сторону Killnet остается на полном ходу», —
сказал Killmilk в октябре 2022 года.
«Это полностью меняет правила игры, — пишет в своей статье Холден. — Связь Killnet с нелегальной наркоплатформой можно считать весьма необычной, потому что сотрудники So****s должны бы напротив — противопоставлять себя российскому правительству и его сторонникам. Например, в рядах So****s есть злоумышленница Тони Монтана, которая ранее управляла магазином украденных кредитных карт под названием TrumpDumps, закрытым российским правительством в феврале 2022 года».
Тему развили исследователи из компании Eliptic. Им удалось
отследить несколько биткоин-транзакций, направленных от So****s к Killnet общей суммой в 44 тысячи долларов. Утверждается, что эти средства были потрачены пророссийскими хакерами на организацию кибератак против стран Запада. $ 44 000 якобы были переведены So****s на нужды Killnet
На все эти данные в даркнете отреагировали по-разному. Killmilk действительно неоднократно говорил о знакомстве с членами So****s, но ничего не упоминал ни о денежных вливаниях, ни о конкретных направлениях сотрудничества. Одни аналитики склонны видеть в попытках установить столь четкую взаимосвязь между двумя теневыми организациями стремление очернить Killnet. Другие напоминают, что Killmilk и до, и после интервью Russia Today, заявлял о нетерпимости к наркоторговцам. Подобное мнение он неоднократно озвучивал и в приватных беседах с «Лентой.ру». Не исключено, что на самом деле Killmilk мог иметь в виду отдельных сотрудников So****s, которые занимаются развитием форума, а не самого маркетплейса: So****s фактически состоит из двух ресурсов, один из которых используется как торговая площадка, а другой — как пространство для обмена мнениями по самому широкому спектру вопросов, в том числе и не нарушающих законодательство.
Сам факт, что наркомагазин может иметь отношения с проправительственной группировкой, должен напрячь многих покупателей
посетитель одного из даркнет-форумов
Но практически все наблюдатели сходятся во мнении, что Kr***n в любом случае умело воспользовался ситуацией, сумев всего за сутки после обнаружения исходного кода площадки изучить его и найти способы отключения onion-доменов So****s.
«Мы действительно воспользовались частью информации, которая утекла в сеть, синхронизировали ее с имевшимися у нас данными и сделали то, что планировали, — раскрыл в беседе с «Лентой.ру» детали атаки представитель Kr***n. — Более того, после перехвата контроля над площадкой мы поставили там переадресацию на наш ресурс. Мы получили доступ, наверное, ко всем серверам проекта».
Несмотря на то что So****s удалось восстановить работоспособность своих страниц, уровень доверия к площадке, которая не смогла защитить от атаки свои основные сайты, мог значительно понизиться. Тем не менее сложно судить, добились ли конкуренты маркетплейса своих целей: данных по посещаемости So****s до и после инцидента не поступало.
За что мстит Kr***n
Через несколько дней после исчезновения onion-ресурсов So****s о смене адресов заявил и сам Kr***n. Новые клирнет-представительства были открыты в австрийской доменной зоне, которая в каком-то смысле относится к представительскому классу. Для открытия такого домена необходимо быть физлицом-резидентом страны либо юрлицом, имеющим филиал в Австрии. Впрочем, для даркнет-предпринимателей обход этого правила при всем многообразии доступных им поддельных документов вряд ли оказался сложным.
Во второй половине января маркетплейс Bl***S***t намекнул, что причиной смены доменов Kr***n стали именно их представители, опубликовав на главной странице своей площадки сообщение: «Будете лезть к нашим доменам в клирнете, будем сносить ваши и дальше». В беседе с «Лентой.ру» представители Kr***n удивились такой формулировке, предположив, что конкурирующая площадка решила сделать из переезда Kr***n повод для самопиара.
Само сообщение пропало спустя всего пару суток, сменившись ссылкой на пространный пост администрации Bl***S***t на теневом форуме Pa*****os. В нем руководство маркетплейса несколько раз назвало Kr***n «Гидрой», отсылая как к тому, что команда администраторов и модераторов бывшего монополиста перешла на работу в Kr***n, так и к методам, которые использует конкурирующая площадка.
Речь идет как раз о DDoS-атаках на остальных претендентов на лидирующие позиции на рынке (хотя этот пункт обвинений Kr***n отрицает), а также попытки уничтожать чужие домены, сопровождающиеся рекламной кампанией в Telegram-каналах под слоганом «"Гидра" вернулась».
При этом сам Bl***S***t с незавидным постоянством теряет сайты в клирнете и сталкивается с различными другими сложностями. С 20 декабря 2022 года команда Bl***S***t утратила контроль над четырьмя доменами, наименее живучий из которых просуществовал всего пару дней. Атаковали даже форум Pa*****os, провинившийся только тем, что на нем у Bl***S***t была своя ветка. До этого, летом и осенью 2022 года, появлялись сообщения о том, что на ресурсах площадки в даркнете стояла переадресация на фишинговые копии сайта. А в августе Bl***S***t и вовсе был вынужден уйти на технические работы почти на месяц, чтобы оправиться от длительной DDoS-атаки.
В этой борьбе досталось также и маркетплейсу M**a, также потерявшему несколько доменов в последнее время. Причиной того, что Kr***n стал активно нападать именно на эти наркосайты, даркнет-специалисты считают создание альянса маркетплейсами M**a, So****s и Bl***S***t, произошедшее вопреки достаточно напряженным отношениям между этими ресурсами. Представители данных площадок восстали против Kr***n, будучи не в силах противостоять конкуренту поодиночке и опасаясь как раз его доминирования, о чем прямо говорится в сообщении Bl***S***t на Pa*****os.
Если они сейчас такое вытворяют (снос доменов и DDoS-атаки, —
прим. «Ленты.ру»), то что будет дальше? Они так и будут ставить палки в колеса всем маркетплейсам и, поверьте, когда выйдут на пик своей силы, они ****** (достанут, —
прим. «Ленты.ру») конкурентов
администрация Bl***S***tпост на теневом форуме Pa*****os
Суть появившегося перед самым Новым годом альянса сводится к фактическому запрету для магазинов на двойное размещение. Продавцы наркотиков должны выбирать — размещаться или только на Kr***n, или на всех других входящих в объединение площадках. По задумке членов альянса, столь суровая позиция должна была хотя бы приостановить стремительный приток магазинов на открывшийся только в декабре Kr***n. По факту же этого не произошло из-за позиции самих магазинов, некоторые из которых публично осудили политику альянса.
Вы зря думаете, что дилерское сообщество разобщено. За последние полгода мы сплотились. На связи десятки крупнейших магазинов, и мы обсуждаем, что происходит в сфере. Поверьте, то, что сейчас делает ваша триада, не одобрил и не оценил позитивно ни один из магазинов. Рынок — не вы. Нервировать нас не нужно. Потому что если вы плюнете в рынок, в селлеров, мы утремся. А вот если мы начнем плевать в вас — вы утонете в забвении, потому что рынок, которым вы называете себя, уйдет от вас
iziyrpпредставитель крупного наркомагазина
Отдельные магазины также столкнулись с блокировкой и невозможностью вывести деньги со счетов на площадках альянса, что, по мнению многих наблюдателей, приведет к оттоку как крупных, так и средних и даже незначительных игроков с этих маркетплейсов. Владельцы магазинов также предложили коалиции «завоевывать аудиторию функционалом, качеством и стабильностью», а не запретом сотрудничать с другими площадками, добавляя, что терпение десятков других крупных игроков уже на исходе.
Кроме того, к альянсу не стали присоединяться многие маркетплейсы и форумы, занимающие на рынке нишевые позиции и не претендующие на доминирование во всем российском даркнете. Более того, по информации «Ленты.ру», руководство площадки Bl***S***t активно рассматривает вопрос выхода из коалиции под влиянием давления отдельных магазинов и их возможного ухода с ресурса.
Как отмечают сами пользователи даркнета, подобные диспозиции крупных игроков и выжидающая позиция небольших площадок свидетельствуют о том, что война за российский наркорынок только начинается, а решающие сражения еще впереди. И по воле самих маркетплейсов эта война вышла уже очень далеко за пределы даркнета.
Рекламы наркотиков на улицах и в YouTube становится все больше
Реклама наркотиков в России за последний год стала настолько публичной, что названия торгующих ими маркетплейсов теперь известны не только завсегдатаям даркнета или потребителям запрещенных веществ. Вторая половина декабря и весь январь сопровождались беспрецедентными акциями крупных площадок, очевидцами которых стали тысячи людей, а снятые ими видео стали вирусными даже на легальных платформах.
При этом продавцы наркотиков практически отошли от известных в прошлом десятилетии практик: трафаретных надписей на асфальтах и небольших стикеров на столбах. Во времена монополии «Гидры» подобным продвижением занимались отдельные региональные наркомагазины.
https://lenta.ru/articles/2023/01/13/darkpr/
Уже в январе идею с видео повторил Bl***S***t, а другие площадки начали обрабатывать посетителей роликами на различных стриминговых сервисах (в том числе YouTube) и в профильных Telegram-каналах. Их видео выглядят действительно качественными и дорогими, а сами их создатели для привлечения внимания устраивают в комментариях раздачи купонов на пополнение балансов на своих площадках. При этом сам Kr***n вышел за пределы столицы, пусть пока и с явно пробными акциями: баннеры ресурса с его адресом появились в нескольких местах вдоль трассы Москва-Петербург, а также в самом городе на Неве.
***
Пользователи различных даркнет-форумов сходятся во мнении, что столь агрессивное продвижение стало следствием все более ожесточенной борьбы за место лидера рынка. Пока она ведется по закону этого рынка, однако еще в августе 2022 года, до того, как Kr***n вышел на рынок, объявив себя новой «Гидрой», представитель одного из крупных игроков в приватном разговоре с «Лентой.ру» не исключил переноса этой борьбы в сугубо криминальную плоскость. Разборки между площадками с привлечением киллеров в новейшей истории России уже случались. Именно так RAMP, бывший ключевым игроком рынка до «Гидры», поначалу и конкурировал: подобным образом представители площадки решали вопросы с владельцами магазинов, ушедших к конкурентам. Однако та история в итоге закончилась победой «Гидры», не последнюю роль в которой сыграли DDoS-атаки.
При этом другим явным следствием происходящих перемен, по мнению даркнет-аналитиков, станет увеличение количества наркозависимых в стране. Один из них, попросив не называть свой ник, отметил, что публичность маркетплейсов даже на психологическом уровне снижает порог входа в употребление наркотиков, превращает нарушение закона и очевидные риски здоровью в обыденную рутину. Жертвами этого уже стали тысячи россиян, а новые зависимые появляются каждый день.