расследование
March 28

BBC-мания, или Терроризм на аутсорсе

Предупреждение: в создании этого материала большую роль сыграл несовершеннолетний. Во избежание негативных последствий для ребёнка, я не буду разглашать некоторые детали, замажу некоторые слова на скриншотах, а также останусь анонимным.

Акт I: Культура вербовки в Восточной Европе

26 марта 2024 года мне прислал этот скриншот мой несовершеннолетний родственник:

Я объяснил ему, что это, скорее всего, ЦИПСО працюе, и давным-давно уже пора подписаться на Екатерину Мизулину, которая про это много писала. Со смехуёчками родилась идея не сливать «Саида» сразу, а пообщаться. Вдруг это и не ЦИПСО вовсе, а обычные наркорекрутеры ищут закладчиков, и можно с них половить рофлы. Мы дождались ответа:

Ого, и впрямь похоже на ЦИПСО. Классическая попытка вербовки ребёнка, чего ещё ждать от хрюкающих людоедов?

Разберём по частям написанное «Саидом». Во-первых, попытка давления, явно рассчитанная на морально слабого человека. Однако давление максимально топорное. Ставим незачёт и идём дальше.

Во-вторых, бросается в глаза странное написание буквы «ы». В четвёртом сообщении «Саида» она написана, как положено, а в шестом как «ьi». Мягкий знак и буква i. Так пишут только хохлы, т.к. у них в раскладке нет буквы «ы». Безусловно, это маркер, но тогда почему в первый раз буква «ы» написана по-человечески, а не по-поросячьи? Это так и останется загадкой.

В-третьих, странно, что сходу говорится – в сумке бомба. За время подготовки этого текста я изучил слитые в интернет скриншоты переписок с такими вербовщиками. Они не всегда сообщают, что вербуют для терроризма. Спишем на то, что в этом случае вербовщик рассчитывает на агрессивное запугивание, поэтому раскрывает карты, чтобы испугать и подчинить жертву.

На этом моменте надо было уже бросать диалог, но я решил продолжить. Внимание: все трюки выполнены профессионалами, не пытайтесь повторить их в домашних условиях. Не соглашайтесь на подобные предложения даже в шутку, вы не знаете, какие цели преследует ваш собеседник. Как минимум он может заскриншотить вашу переписку и переслать её в СК РФ, после чего вы будете объяснять соответствующим органам, что вы так шутили. Зачем? А чтобы навести суету вам и органам. Просто по кайфу. Никогда нельзя недооценивать оппонента.

Что ж, «Саид» предлагает целых сто тыщ! С ума сойти! Немногим меньше, чем таджикам за убийство более 100 человек в «Крокус Сити Холле». Там было полмиллиона на четверых, аж 125 тысяч на каждого носителя корон. А тут – плёвое дело – просто принести сумку, и всего на 25 тысяч меньше.

Обращу внимание на то, что «Саид» пишет излишне безграмотно. Возможно, это закос под неграмотного среднеазиата, но крайне плохой, они делают другие ошибки. Есть также вероятность, что наш оппонент не знает про существование мягкого знака. От ЦИПСО можно ожидать чего угодно.

Мы заявили, что можем экспроприировать сумку на нужды государства, за что получили угрозу в сторону мамы. Осуждаю, мама – это святое, но только не для нашего хрюкозавра. Оцените красоту его игры, как же он давит бедного подростка!

Как бы то ни было, мы получили верное имя моего родственника и номер квартиры, в которой он раньше жил. Автору очень интересно, откуда были слиты эти данные, причём, судя по всему, и с номером телефона в комплекте. Работают люди, и вряд ли одна база утекла. Гады, скорее всего, используют собранную и объединённую базу из нескольких источников. Адептам OSINT не удалось установить вероятные источники, поскольку их слишком много.

Читайте теперь ОЧЕНЬ ВНИМАТЕЛЬНО! Обращаем внимание на наше последнее сообщение. Мы уточняем, в каком именно городе находится ТЦ, про который говорит «Саид»: где мой родственник или в другом. Подчеркну, что название ТЦ и города, в котором есть ТЦ с таким же названием, замазано специально, дабы избежать деанонимизации. Проверка для «Саида» здесь в том, что ТЦ с таким же названием в указанном нами городе нет. Пример: «Саид» пишет петербуржцу и говорит, отнеси сумку в ТЦ «Славянский». Петербуржец отвечает: а ты точно про питерский ТЦ пишешь, ведь «Славянский» есть ещё во Всеволжске? Это проверка на местного, знает человек городские ТЦ или нет. ЦИПСО может проколоться на незнании местной конъюнктуры.

Снова – ещё внимательнее к последнему сообщению. Мы приложили координаты, облегчая задачу по проверке «Саиду». Уж хоть на карте он должен местоположение объекта узнать. Да, это рискованный шаг, т.к. мы отыгрываем испуганного школьника и даем детали сами, но надеемся на глупость оппонента. Обращаем внимание на то, что координаты подчёркнуты и сообщение было изменено. Что это значит?

Наберите воздуха в грудь, вы готовы?

Это не автоматическое подсвечивание координат от Telegram или операционной системы, а встроенная гиперссылка, потому сообщение было изменено. Мой родственник плохо знаком с форматированием текста в Telegram, из-за чего пришлось редактировать сообщение. Это чуть не сорвало операцию. По нажатию на координаты открывается айпи-логгер, перенаправляющий на гугл-карты с указанной локацией. Если кто не понял, то сначала у «Саида» открылся сайт, спаливший нам айпи-адрес посетителя, а затем гугл-карты. Айпи оказался… киевским, какая неожиданность! Айпи из массивов одного интернет-провайдера, ничего необычного. По траст-факторам маркеров, указывающих на использование этого айпи как прокси или блоков, не было. Это доказывает, что в конкретном случае, вероятнее всего, працюе ЦИПСО. Причём максимально глупо – оппонент легко заглотил наживку, нажав на левую ссылку.

Казалось бы, ципсошнику «Саиду» пора сливаться в ужасе, ведь уже на этом этапе можно было заметить логгер и понять, что с тобой играют. Не тут-то было:

А логгера-то «Саид» и не заметил! Лишь убедился, что речь о нужном объекте, и продолжил давить. Мы, конечно, продолжили отыгрывать школьника и сделали в третьем сообщении заход на срыв и эскалацию в мою следующую предполагаемую идею. Увы, не выгорело. Обращаем внимание на очередной маркер хохла по ту сторону экрана: «скучать за». Прямо хрестоматийный пример, русские говорят «скучать по». Интересно, что «Саид» не даёт координаты сумки с взрывчаткой, а говорит ждать. Может быть, сумки сейчас и нет. Может быть, её и нет вовсе. Поймём дальше.

О БОЖЕ, МОЙ РОДСТВЕННИК ПЕРЕСЛАЛ АРХИВ С ФОТКАМИ КАКОЙ-ТО КАТИ ЦИПСОШНИКУ, НАВЕРНОЕ, ИНТИМКИ! ТЕПЕРЬ УЖЕ ДВА РЕБЕНКА ЖЕСТЬ КАК НА КРЮЧКЕ У ЦИПСО!!1 ГРЯДЁТ ПОЛНАЯ ДЕАНОНИМИЗАЦИЯ И ПОТЕНЦИАЛЬНЫЙ ПОДРОСТКОВЫЙ РОСКОМНАДЗОР!!1

Спокойно. Хрю не будет. Будет техническая духота, но без нее никуда. Во-первых, нам помогли тайваньские братушки, предоставив свою узнаваемую аббревиатуру: msi – исполняемый файл, точно так же, как exe или scr. Exe крайне подозрителен, scr за последние годы успели засветить школьники, а msi почти никто не использует.

Во-вторых, этот файл – склейка архива со случайным домашним интимным фотосетом категории teen и одного интересного софта, предоставляющего полный удаленный доступ к компьютеру. Такой тип программ в простонародье называется «ратник» (обзорщики милитари-шмоток, спок), от изначального термина RAT – Remote Access Trojan. После запуска файла у жертвы открывается архив, а компьютер подключается к моей панели, из которой я могу им управлять.

Мы закинули ратник ровно через два часа, т.к. ждали, что «Саид» проклюнется и напишет что-то ещё, а я смогу вывести диалог на необходимость запуска файла. Не дождались, и я решил спровоцировать сам. Провокация удалась успешно:

Это скриншот из панели управления «ратником». «Саид» успешно подхватился! Гойда!!!

Далее мне пришлось отвлечься. Тем временем моего родственника «Саид» начал прессовать ещё сильнее, угрожая распространить фотки из архива (на что нам, понятное дело, плевать) и убить вообще всю родню, если он не сообщит контакты антиправительственно настроенных знакомых. Мой родственник не выдержал давления и без моего ведома удалил чат, затем пересоздал свой аккаунт. Скриншотов не сохранилось, и связь с «Саидом» в Telegram оказалась полностью утеряна, однако, «ратник»-то работает!

Акт II: Специальная наблюдательная операция

Я начал изучать техническую часть ПК, с которого работал… Давайте теперь уже не оппонента, а жертву, будем называть не «Саид», ведь очевидно, что действует хрюконавт. Так вот, салопитек работает с Windows 7 (sic!), у него установлены портативный Telegram и старая версия Google Chrome. Всё, больше на компе ничего нет. Это подозрительно, т.к. на рабочем компе должно быть что-то ещё, на личном тем более. Я проверил заражённое устройство, оно оказалось не виртуальной машиной. Полазил по файлам – нет ни документов, ни отчетов. Пусто! Даже авторизаций на какие-либо сайты не было. Пусть это обстоятельство пока будет загадкой.

С момента взлома прошло чуть больше часа. Дальше я проник в Telegram-аккаунт с кодовым именем «Саид», выкачав авторизационные файлы сессии к себе и подставив их в свой клиент. Это абсолютно незаметный для жертвы способ взлома, она не получает уведомлений об авторизации в аккаунт. Впрочем, как только я начал смотреть чаты, аккаунт был удалён поросенком. Чатов было немного, 10-12 штук, я успел отсмотреть только 3. Везде свиновербовщика слали подальше или сходу кидали в черный список. Жаль, что я не успел заскринить, не подумал в тот момент. Радостно, что наши подрастающие слоны не боятся хрюканины! Почему аккаунт был удалён? Вероятно, он предназначался для одноразового использования, и рассылка уже закончилась.

Раз уж ничего вытащить не получилось, то можно и посмотреть, чем занят информационный воин хохлостана. Да, в «ратнике» есть функция трансляции экрана заражённого компьютера. Я включил её и…

Буууум! Негры долбят белую женщину. Всё сходится! ЦИПСО в рабочее время играет не с российским ментальным полем, а с собой. Когда тарасик досмотрел видео, то вышел из режима полного экрана и:

Обращаем внимание на название и убеждаемся, что информационные воины хрюкостана придерживаются национал-куколдизма. Как будто мы не знали!

Я решил наблюдать до конца рабочей смены солдата интернетного фронта в надежде увидеть что-то интересное. Где-то полтора-два часа герой занимался рукоблудством с использованием тегов “bbc”, “ukrainian”, “skinny”. Фетиши очевидны. Думайте, подписаться. Запоминаем время, затраченное на самоудовлетворение. По всей видимости, имеем дело с секс-гигантом.

Потом жертва выключила порнуху и тут же полезла читать новости на сайтах. Обращаю внимание на то, что не было временного промежутка между выключением порновидосов и переходом на новости. Биологическую жидкость надо же как-то утилизировать, для чего, вероятно, нужно отойти от компа. Порнуха на паузу поставлена не была, можно предполагать, что поросёночек не отходил. Безотходное производство эякулята? Всё полезно, что в рот полезло? Влажные салфетки или хохлоносок всегда под рукой? Загадка!

А дальше свинорылый полез на…

…сайты по «Геншин Импакт». Тут два варианта: либо это пузатый дядя-скуф, либо молоденький фембойчик. И притом, оба варианта с куколд-направленностью. Прошло ещё несколько часов, жертве надоело читать, и она полезла смотреть видосы по всё тому же «Геншину» на ютубе. Снова прошло несколько часов, и… соединение с заражённым устройством внезапно оборвалось.

Итоги операции

А вот и нет! Через полчаса соединение появилось вновь! Гойда!!!

Акт III: Big Russian cock pounding a skinny Ukrainian girl

Я вновь подключился к экрану и начал проверять, изменилось ли что-то на устройстве. Не изменилось ничего, а ненасытный мыкола вновь смотрел порнуху. Опять с неграми и украинками… Тут стоит сказать спасибо нашим увлажняемым партнерам из Pornhub за интересную статистику с доказательством роста популярности куколд-темы в нелегитимном квазигосударственном образовании:

Тем временем на часах было 00:45 по Москве и 23:45 по Киеву. Ничто не предвещало беды, и внезапно порнуха выключилась. Жертва открыла privnote.com – сайт с самоуничтожающимися после прочтения записками, где начала писать отчёт о проделанной работе.

Пэтро пишет долго, видимо, мовы не знает и вспоминает слова. И…

Краткий перевод: 200+ обработанных лиц по базе, 5 из них согласны. Мониторинг 20+ чатов, но, увы, без каких-либо интересностей. Герой социалистического труда прям. И, конечно, ни слова правды: треть смены – самоудовлетворение, две трети – изучение «Геншина», ну и работы на часик, чут чут совсем. Но в конце кое-что стоящее:

НЕ ТАРАСИК! НЕ МЫКОЛА И ДАЖЕ НЕ ВОЛОДИМИР! БОНДАРЬ ТЕТЯНА ВАСИЛIВНА, ТВЕРДО И ЧЕТКО!

Теперь вся картинка складывается в одно целое: долгое время мастурбации, отсутствие перерыва на утилизацию эякулята и интерес к «Геншину».

После написания отчета Тетяна вбила руками в браузере ссылку на архив, лежащий на файлообменнике files.catbox.moe, скачала его и разархивировала. В архиве оказался файл сессии для Telegram, подобный тому, который я экспроприировал для аккаунта «Саид». Порнушница ципсошница подставила его в папку Telegram, вошла в аккаунт и отправила ссылку с отчётом в единственный контакт с ником «21». После этого она вышла из аккаунта, и соединение с машиной прервалось. Скриншотов не будет, т.к. всё это время я пытался вытащить сессию, но мне не удалось. Да это и не имело смысла, ведь после выхода из аккаунта сессия всё равно умерла. Единственный раз за всю кампанию Тетянка меня переиграла. Однако есть основания полагать, что это лишь инструкция от её начальства, которое явно в курсе про возможность угона сессий.

Густая аналитическая выкладка

Пойдем по порядку. База для проспама явно обогащена несколькими источниками, поскольку вряд ли есть такая база, в которой собраны одновременно Telegram-аккаунт, имя и место проживания несовершеннолетнего. Места сливов даже предположительно установить не удалось, но это лишний повод задуматься о хранении персональных данных и ничтожной ответственности в случае их утечки.

Довольно вероятно, никакой сумки и нет вовсе. Судя по скриншотам переписок других людей, общавшихся с вербовщиками, их можно поделить на две упрощённые категории: грамотные и неграмотные, как наша Тетянка. Вывод прост: грамотные стараются подвести к реальным действиям, как это кажется, а неграмотные прогревают, не особо старательно вербуя. Косвенное доказательство прогрева в том, что Тетяна не указала в отчёте ники или номера телефонов согласившихся подростков, хотя, по идее, должна. Также я проверял историю браузера. Там не было ни одной гугл-таблички, куда она это могла внести. Похоже, цель не в терактах, а в дестабилизации нашего общества. Впрочем, ничего нового.

Важно отметить, что заражённое устройство было пустым. Минимум программ, никаких файлов, не было авторизаций на сайты. Рабочие компы такими не бывают, что-то налипает за время работы, личные тем более. По-видимому, это был виртуальный рабочий стол с предустановленным софтом, разворачивающийся заново каждый раз при подключении и полностью удаляющийся при отключении. Это косвенно доказывает, что 27 и 28 марта контакта с машиной не было. Антивирусов на устройстве тоже не было. Windows Defender в Windows 7 отсутствует, поэтому «ратник» не мог быть удалён. К тому же, он явно прописывался в автозагрузку и включился бы в любом случае. Похоже, стол был уничтожен вместе с «ратником».

Именно эту Бондарь Тетяну Васiливну найти не удалось по ГБ (кто знает, тот знает), старым слитым базам формата Кроноса и в экстремистском запрещённом в России Фейсбуке. С укробазами сложно работать из-за разных форм написания слов. К примеру, Тетяна = Тет’яна, а Василiвна = Васильiвна. Не исключено, что это вообще рабочий псевдоним. Однако можно утверждать, что пол определён верно – слишком много косвенных доказательств.

Общий вывод таков. Это явно не частная самодеятельность, что подтверждается отправлением отчёта. ЦИПСО не справляется со своими обязанностями и вынуждено отдавать часть работы на аутсорс тетянкам. На это указывает виртуальный рабочий стол – во всяких айти-армиях салостана столы не выдают. Речь о телеграм-каналах, где тарасикам кидают ссылки на ботов для проспама. Спамят тоже так себе, в ходе атаки на Каргач из 160 тысяч подписчиков такого канала в бота написали всего примерно 50 свинопитеков. Средний уровень исполнителей упал ниже плинтуса, т.к. тетянки работают, в основном, руками (если вы понимаете, о чём я). Также в ходе подготовки материала появилось косвенное доказательство аутсорса вербовки.

Неудивительно, что с такими исполнителями ЦИПСО сливает все полимеры и правительство Украины намерено цензурировать Telegram. Не нравится маленьким проигрывать ещё и в интернете. Как говорил президент: «нравится, не нравится, терпи, моя красавица». После нашей победы Бондарь Тетяна Василiвна, как и её коллеги из офисов и по аутсорсу, будут торжественно… Впрочем, это уже совсем другая история.

Слава России!

Каргач существует исключительно благодаря вашей поддержке! Подписывайтесь на наш Бусти или присылайте ваши донаты.