Очередное OSINT-расследование международного разведывательного сообщества InformNapalm раскрывает попытки российской компании Mail.Ru Group обойти запреты на деятельность в Украине через оффшорную компанию Nessly Holdings Limited, зарегистрированную на Кипре. Компания Mail.Ru Group также владеет социальными сетями «ВКонтакте» и «Одноклассники», попавшими под украинские санкции. Подробнее в техническом заключении InformNapalm.
Mail.Ru мимикрирует под «Пошукач»
01.06.2017 Генеральный директор Mail.Ru Group Борис Добродеев объявил о закрытии офисов компании в Украине. Добродеев также отметил, что украинский бизнес не вносил существенного вклада в выручку компании.
Тем не менее, Mai.Ru Group не собирается отказываться от получения прибыли с украинцев и, как следствие, предпринимает действия для сохранения своего влияния на территории Украины.
24.05.2017 был создан домен poshukach.com. С момента регистрации сайт быстро набрал популярность и, по данным Alexa, на 12.06.2017 занимает 492-е место по посещаемости в Украине.
Но, несмотря на название в украинском стиле, с Украиной «Пошукач» никак не связан.
Интерфейс сайта русско-английский, без намёка на украинский:
Домен POSHUKACH.COM был зарегистрирован российским регистратором RU-CENTER, информация о регистранте домена скрыта российским сервисом whoisproxy.ru:
Исходный код главной страницы сайта содержит отсылки к браузеру FreeU, одним из разработчиков которого является Mail.Ru Group.
О браузере FreeU
Сайт POSHUKACH.COM расположен в сети, территориально принадлежащей России:
Оффшор Nessly Holdings Limited
Упомянутая в скриншоте Nessly Company (известная как Nessly Holdings Limited) — оффшорная компания, аффилированная с Mail.Ru Group. Зарегистрирована на Кипре, контактный email — [email protected]. Сеть, в которой расположен сервер браузера FreeU, также зарегистрирована на Nessly Company.
my.com, будучи дочерней компанией MRG, работающей на международном рынке, подтверждает связь между Mail.Ru Group и Nessly Holdings.
Также Елена Азаренко занимает (либо занимала) пост директора в компаниях, связанных с MRG: MGL Mail.Ru Equity Limited, VK.COM Holdings Limited, MRGroup Invetsments Limited, Odnoklassniki Holdings Limited, MGL Mail.Ru Internet Assets Limited.
Поиск в LinkedIn подтверждает, что Elena Azarenko работает в MRG:
В LinkedIn есть и второй профиль (пустой) Елены Азаренко, в котором она указана как представитель Mail.Ru Group на Кипре:
Таким образом, можно с большой вероятностью утверждать, что Nessly Holdings Limited тесно связана с Mail.Ru Group. Через эту компанию Mail.Ru Group пытается обойти санкции, введённые в отношении российских IT-компаний в Украине: ни домен POSHUKACH.COM, ни связанный IP-адрес не блокируются украинскими провайдерами. Как следствие — Mail.Ru продолжает присутствовать на украинском рынке, использовать собственный поисковый движок для показа результатов, которые Mail.ru посчитает «более релевантными», а также зарабатывать на рекламе, показываемой украинским пользователям.
С момента подписания указа Президента Украины о санкциях в отношении российских IT-компаний прошло 20 дней, но за это время тема обхода блокировки Vkontakte, Одноклассники, сервисов Яндекс и Mail.ru прочно вошла в тренд. Ловить рыбу в мутной воде всегда легче, поэтому мошенники и спецслужбы страны-агрессора не упустили возможности подсадить украинских пользователей на иглу собственных VPN-сервисов. Волонтеры InformNapalm разобрали один из примеров, который ярко иллюстрирует факт ловли пользователей «на живца».
Как обычно, реклама подается под соусом «сделаем украинский интернет свободным от запретов» и «совершенно бесплатно». Бесплатный сыр бывает только в мышеловке. Изучим данный сервис подробнее.
Начнём с изучения группы в VK.
Из описания группы видим, что у владельцев сервиса есть как минимум два сайта: vkunblock.com и vkonline.xyz. По информации whois vkunblock.comбыл зарегистрирован вчера (26.05.2017), а vkonline.xyz — 18.05.2017. Информация о владельце домена закрыта, а сам сервис использует Cloudflare, что позволяет ему скрыть настоящие IP-адреса своих серверов (и, как следствие, мешает установить географическую принадлежность сервиса).
Для дальнейшего анализа придётся устанавливать расширение из Chrome Web Store.
Расширение состоит из четырёх файлов JavaScript: analytics.js (скрипт похож на Google Analytics), app.js, chrome.js и пустого proxy.js.
В app.js самое интересное для нас — это URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac
PAC — Proxy Automatic Configuration — файл для автоматической настройки прокси. В этом файле содержатся правила, указывающие, какие прокси-сервера в каких случаях браузер должен использовать.
Нас больше всего интересуют строки с cdnSrv и imSrv — в них содержатся адреса используемых серверов. Авторы сервиса разбили «санкционный список» на три части, для каждой из этих частей используется свой прокси-сервер, а для сайтов не из списка — прямое соединение (без прокси).
Наш список для анализа сайтов пополнился двумя именами: safe-proxy.com и freevpn.pw. Второе имя отбрасываем сразу: это прокси-сервер, предоставляемый одноимённым сервисом, не имеющим отношения к VK Unblock. Их сервера используются в качестве резервных на случай, если safe-proxy.com не сможет обработать запрос.
Для safe-proxy.com данные whois показывают, что домен был создан 22.05.2017, данные о владельце закрыты, а в качестве DNS-серверов используются те же сервера Cloudflare, что и для vkunblock.com и vkonline.xyz. Казалось бы, снова неудача. Но нет. дело в том, что Cloudflare может скрывать IP-адреса только для обычных сайтов, использующих протокол http или https. А для прокси-сервера это не работает. Следовательно, IP-адреса для hole.safe-proxy.com и imhole.safe-proxy.com будут настоящими.
95.213.205.98 (сеть 95.213.205.0/24) — это IP-адрес, принадлежащий российскому хостинг-провайдеру «Селектел» (для справки: VK тоже использует дата-центр этого провайдера)
88.212.244.244, 213.196.53.28 и 213.196.53.36 — IP-адреса серверов, предоставляемых ООО «Единая сеть» (московская компания, имеющая филиалы в Далласе (США) и Амстердаме (Нидерланды)).
Ещё один интересный момент: VK Unblock использует HTTP-прокси, не HTTPS. Разница между ними в том, что в первом случае используется незащищённое соединение (и при большом желании провайдер может видеть попытку установки соединения с «санкционным сайтом» через прокси), а во втором — защищённое.
Чем плох VK Unblock? Во-первых, данный сервис предоставляется украинцам страной-агрессором. После событий в Крыму и на Донбассе в доброту и бескорыстие «братского народа» мы не верим. Во-вторых, владелец ресурса может вести журнал доступа. Соответственно, доступ к прокси из какой-нибудь государственной сети будет запротоколирован, а сам факт попытки обхода блокировки со стороны чиновника — очередной компромат. В-третьих, нет гарантии, что владелец ресурса в один прекрасный день не начнет проксировать трафик не только для VK, но и, например, для Facebook либо для каких-нибудь правительственных ресурсов (и в зависимости от IP-адреса клиента). Превратив HTTP-прокси в SOCKS, сервис будет пропускать через себя и запросы DNS с возможностью подменять ответы для конкретных пользователей сервиса. Возможности ограничиваются лишь способностями владельца ресурса.
Будьте бдительны. В поисках обходного пути не попадайте в ловушки, расставленные агрессором и мошенниками. Запретный плод сладок, но есть уйма открытых альтернатив почтовых сервисов, поисковиков и социальных сетей, вне досягаемости российских спецслужб. Подумайте, прежде чем нырять в мутную воду, хорошо ли вы плаваете?
Братья и Сёстры из сражающейся Украины!
Чеченцы понимают вашу боль как никто другой. По всей Европе ширится движение по набору добровольцев в защиту Украины: уже...
