Telegram трещит по швам от многочисленных сообщений о продаже RuTor — крупнейшего даркнет-форума на постсоветском пространстве. Хронос объясняет, что на самом деле происходит по ту сторону интернета.
Зверёк с зашифрованным посланием
Ближе к вечеру 11 мая пользователи форума RuTor получили от маркетплейса Solaris необычную рекламную рассылку. Помимо самого рекламного текста в неё было вставлено загадочное послание: «Идут страшные перемены, о которых знают единицы. Шифрованное послание оставит зверёк, который просил передать [эту] информацию всем в установленный срок».
Какого-то активного обсуждения эта рассылка не вызвала. Но оно и не удивительно, ведь послание было скрыто за рекламой, и многие даже не стали открывать рассылку полностью. Однако уже через час, в 16:55 (здесь и далее — время по МСК) зверёк, о котором шла речь, объявился. White Dante — заместитель администратора форума, более известный под ником WD — создал в разделе с новостями новую тему с названием Canary и поместил туда сообщение:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
This is my canary. If it is not updated within 3 days, consider me dead. youWD
11.05.2022
-----BEGIN PGP SIGNATURE-----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=xMzZ
-----END PGP SIGNATURE-----
Для проверки подлинности этого и последующих сообщений WD мы дешифровали зашифрованные части в программе GNU Privacy Assistant (GPA) с использованием публичного PGP-ключа, опубликованного в профиле WD. сохраним этот ключ здесь на случай, если профиль WD и там подвергнется изменениям (далее вы поймёте, к чему это мы):
-----BEGIN PGP PUBLIC KEY BLOCK-----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=K3IU
-----END PGP PUBLIC KEY BLOCK-----
Текст можно перевести как «Это моя канарейка. Если она не будет обновлена в течение трёх дней, считайте меня мёртвым. Ваш WD. 11.05.2022». Ту часть сообщения, которая была зашифрована PGP-ключом, мы проверили, и можем подтвердить, что исходный текст действительно оставил админ, а не кто-то другой:
Если сопоставить рассылку маркетплейса и публикацию админа, то можно сделать очевидный вывод, что WD решил через Solaris предупредить всех пользователей RuTor о неких переменах, решения по которым уже приняты небольшим количеством лиц, и которые будут страшны для огромного числа пользователей. Учитывая, что разница между посланиями составляла около часа, можно однозначно утверждать, что этот ход был спланирован заранее.
Не вполне ясно, что WD мешало опубликовать это предупреждение прямым текстом. Однако его выбор «зверька» говорит о многом — у некоторых американских компаний, которые оказывают услуги связи, есть негласное правило о публикации «свидетельства канарейки». Изначально этот термин пошёл от шахтёров — на глубине есть риск отравления опасными газами, и шахтёры брали с собой канарейку, так как она ощущала воздействие газа существенно раньше человека, и её гибель служила сигналом об опасности. Власти США, в свою очередь, могут обязать компании следить за пользователями, но запрещают им об этом сообщать. Один из законных способов всё же проинформировать их — это заранее опубликовать «канарейку», где бы говорилось об отсутствии слежки, и удалить её, когда слежка начнёт вестись. Из этого напрашивается вывод, что администрации RuTor было запрещено сообщать о «страшных переменах», но WD нашёл элегантный выход из такого положения, формально ничего не нарушая.
Через четыре часа после публикации своей модифицированной «канарейки» WD зашёл на ветку с обсуждением краха Hydra и в своей привычной шутливой манере посоветовал «дать лещей» пользователю, который убеждал окружающих, мол, это он вывел WD из какой-то игры. Далее админ общался только в общем чате, который не сохраняет историю сообщений.
Браконьер в маске
14 мая в 12:42, то есть в момент, когда самого WD уже не было в сети, кто-то из модераторов отредактировал сообщение, оставленное в теме с «канарейкой»...
...и полностью изменил суть послания:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
This is my canary. If it is not updated within 5 days, consider me happy. youWD
11.05.2022
-----BEGIN PGP SIGNATURE-----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=xMzZ
-----END PGP SIGNATURE-----
В переводе текст звучит так: «Это моя канарейка. Если она не будет обновлена в течение 5 дней, считайте, что я счастлив. Ваш WD. 11.05.2022». Мы попытались проверить зашифрованную часть, но столкнулись с ошибкой, которая указывала на то, что эта часть была как-то изменена. Текст внутри подписанного сообщения не соответствовал оригинальному тексту, с которым сообщение и зашифровывалось:
Установить, кто из модераторов это сделал и зачем, к сожалению, не представляется возможным. Но само значение этого изменения позже стало намного более понятным.
Взрыв сверхновой
Параллельно с тем, как WD публиковал своё послание, а кто-то другой его изменял, даркнет-сообщество возвращалось к обсуждению слухов о продаже RuTor, которые циркулировали в узких кругах ещё с конца апреля. Всего через пару часов после того, как послание WD обновилось, основатель маркетплейса xNova опубликовал в своём блоге инсайд, подтверждающий эти слухи:
На форуме он также написал, что сделка состоялась 2 недели назад (в то же время в сети стали распространяться слухи – прим. Хронос) и заручился за правдивость этой информации своей репутацией. Данный инфоповод был в целом использован проектом xNova для своего продвижения и не ограничивался лишь созданием поста в блоге. Его главный администратор также создал переписку на RuTor'е, куда добавил нескольких продавцов и объявил продажу форума актом проявления к ним неуважения, а также раскритиковал техническую подготовленность команды маркетплейса OMG.
Стоит, однако, заметить, что если новость о продаже RuTor'а, выставленная на общественность маркетплейсом xNova, и правдива, то преимуществ у этого проекта и поводов для продавцов переходить к xNova становится меньше, ведь его конкуренты заполучили себе крупнейший нарко-форум на всём пространстве СНГ, что непременно скажется на их рыночном положении. Остаётся лишь догадываться, могла ли данная рекламная кампания как-то помешать сделке или закрепить положение xNova, администратор которого заявил об увеличении активности на своём сайте с «трети от онлайна на руторе» до «1 к 1» с разницей всего в 10 часов.
Рокировка в тени
Почти через три часа после того, как основатель xNova опубликовал инсайд, один из модераторов форума — Rotar, вошедший в команду около месяца назад — объявил о своём уходе с поста, не дав никаких объяснений, и ещё больше подогрев тем самым интерес общественности к слухам о продаже RuTor'а:
Что касается других изменений в команде, то тут стоит отметить, что в минувшую пятницу пользователь Potapych, зарегистрировавшийся на форуме около месяца назад, приступил к исполнению обязанностей администратора по вопросам финансов и рекламы. Он получил красную, высшую в иерархии, подцветку ника — ранее она была только у John`а, главного администратора форума, и самого WD, его заместителя. Сообщество отнеслось к этому назначению не очень тепло, поскольку пользователь с аналогичным ником Potapych в прошлом был одним из модераторов связанного с Hydra форума LegalRC.
В 18:45, уже после публикации поста xNova, мы обнаружили, что сообщение WD обновилось во второй раз:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
This is my canary. If it is not updated within 3 days, consider me dead. youWD
-----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEEzG3umoKdvyUdRZc3qNnTqIBn0EEFAmJ7v4IACgkQqNnTqIBn
0EFzOw//YcAa7eLNj5O+kkgGmhGSaCXj2VvjEGCH7x5/x3X3pk77wSEiinR6Rxhw
mJbM7NLm5tkSQdB0q2Zigbka2ADYJihHjSSaAGTHGVCIAPYAxbEKk+gr8KYerTp1
8NFZuHmKWcYQwUJAWXqCvtISKMcGkI3MiJ6F9plZnxwUV4QJRSgHMz8135eFPyMV
vTmAAm9zJ7Wzcx6g1E3zCbGVTMAteK2yzcpUZIOKq0vcABX23DLRWsr3WxMYZrn2
XBIQyHrgl/8ksrYf5teMbjTbmVcXX1Rs6KE+FJyqJpjf1hU3bJAT9iL7LzUU3nKv
z0A82LO9QbXtm5+OYVqv762YK6wPnSX1DnNMeRnYCqXQuzsqP7akLT9r3CmsSUNS
dx4e01e13GeolZCnLf8AaIPXmpP17hj6tJW67rXeXUYayBKELPgP3emK+EUG7txI
QtLAgbu4MJoJxCaLpnpR4GNa5wRx4rlilLv856DBwNd8vdgYETWHKXMPG10vvxyp
z9STT6Wav7GsZsuua5K2e1Svrbi9Yn7++AF3mJJ/L6DEFrO+YeJztVopCT5HmdVR
5A4zX7EubMc0/15fAGHhA4SVzooeM7YA7TwWi/cNtDzbdxe2iyNsYGFqvwopeGvD
muxURcP7kmItRJc2aPMDXQX1kBbmMn5XKreJm7u2ehHBWMXFUjA=
=6O9+
-----END PGP SIGNATURE-----
Текст внутри зашифрованного блока оказался полностью идентичен исходному за тем исключением, что в конце не была указана дата. Так как WD всё ещё находился в оффлайне, мы были почти уверены, что сообщение вновь фейковое, ведь оно не было оставлено самим White Dante, но проверка PGP-ключом дала неожиданный результат:
Как модераторам удалось правильно зашифровать сообщение, было ли это сделано самим WD или его ключ использовался другим человеком, вопрос отдельный. Но помимо этого мы заметили на странице темы Cannary ещё одну любопытную деталь — часть HTML-кода, блок, который отвечал за отображение последней даты редактирования поста, оказался удалён:
По всей видимости, это была попытка скрыть факт причастности третьих лиц к изменению публикаций WD, который на момент редактирования находился в оффлайне. Как бы то ни было, одно из условий «канарейки» — обновить её в течение трёх дней — выполнено не было, так как правильно подписанное обновление произошло с небольшим опозданием. А невыполнение этого условия означало, что WD следует считать мёртвым. Ровно об этом же, по словам некоторых пользователей, White Dante говорил в чате на RuTor'е, где сообщал, что любое изменение «канарейки» будет означать невыполнение её условий (найти подтверждение этой информации нам не удалось - прим. Хронос).
Тем не менее, утром 15 мая он снова вошёл в сеть:
Но можем ли мы теперь быть уверены, что за аккаунтом WD сидит именно он? Или может ли третье обновление «канарейки» и возвращение White Dante в онлайн говорить о том, что сделка по продаже RuTor'а была прервана после огласки условий её проведения? Ведь логично предположить, что сделки на подобные суммы могут проходить не сразу, а оплачиваться частями в течение переходного периода. И вообще, была ли эта сделка на самом деле, о чём нам пытался сообщить WD в своём зашифрованном послании и рассылке Solaris?
Ответы на эти вопросы даркнет-сообществу только предстоит узнать.
Авторы: Hunter Melrose, Perfection
Подписывайтесь на наш канал в телеграме: @chronos_media
