Теги Posts tagged with "Mail.ru"

Mail.ru

Очередное OSINT-расследование международного разведывательного сообщества InformNapalm раскрывает попытки российской компании Mail.Ru Group обойти запреты на деятельность в Украине через оффшорную компанию Nessly Holdings Limited, зарегистрированную на Кипре. Компания Mail.Ru Group также владеет социальными сетями «ВКонтакте» и «Одноклассники», попавшими под украинские санкции.  Подробнее в техническом заключении InformNapalm.

Mail.Ru мимикрирует под «Пошукач»

01.06.2017 Генеральный директор Mail.Ru Group Борис Добродеев объявил о закрытии офисов компании в Украине. Добродеев также отметил, что украинский бизнес не вносил существенного вклада в выручку компании.

Тем не менее, Mai.Ru Group не собирается отказываться от получения прибыли с украинцев и, как следствие, предпринимает действия для сохранения своего влияния на территории Украины.

24.05.2017 был создан домен poshukach.com. С момента регистрации сайт быстро набрал популярность и, по данным Alexa, на 12.06.2017 занимает 492-е место по посещаемости в Украине.

Но, несмотря на название в украинском стиле, с Украиной «Пошукач» никак не связан.

Интерфейс сайта русско-английский, без намёка на украинский:

Домен POSHUKACH.COM был зарегистрирован российским регистратором RU-CENTER, информация о регистранте домена скрыта российским сервисом whoisproxy.ru:

Mail.Ru мимикрирует по "Пошукач"

Исходный код главной страницы сайта содержит отсылки к браузеру FreeU, одним из разработчиков которого является Mail.Ru Group.

О браузере FreeU

Сайт POSHUKACH.COM расположен в сети, территориально принадлежащей России:

 

Оффшор Nessly Holdings Limited

Упомянутая в скриншоте Nessly Company (известная как Nessly Holdings Limited) — оффшорная компания, аффилированная с Mail.Ru Group. Зарегистрирована на Кипре, контактный email — [email protected] Сеть, в которой расположен сервер браузера FreeU, также зарегистрирована на Nessly Company.

Nessly Holdings Limited

my.com, будучи дочерней компанией MRG, работающей на международном рынке, подтверждает связь между Mail.Ru Group и Nessly Holdings.

Директором Nessly Holdings Ltd указана некая Елена Азаренко (Elena Azarenko):

Также Елена Азаренко занимает (либо занимала) пост директора в компаниях, связанных с MRG: MGL Mail.Ru Equity Limited, VK.COM Holdings Limited, MRGroup Invetsments Limited, Odnoklassniki Holdings Limited, MGL Mail.Ru Internet Assets Limited.

Поиск в LinkedIn подтверждает, что Elena Azarenko работает в MRG:

В LinkedIn есть и второй профиль (пустой) Елены Азаренко, в котором она указана как представитель Mail.Ru Group на Кипре:

Таким образом, можно с большой вероятностью утверждать, что Nessly Holdings Limited тесно связана с Mail.Ru Group. Через эту компанию Mail.Ru Group пытается обойти санкции, введённые в отношении российских IT-компаний в Украине: ни домен POSHUKACH.COM, ни связанный IP-адрес не блокируются украинскими провайдерами. Как следствие — Mail.Ru продолжает присутствовать на украинском рынке, использовать собственный поисковый движок для показа результатов, которые Mail.ru посчитает «более релевантными», а также зарабатывать на рекламе, показываемой украинским пользователям.

InformNapalm


Шановним патріотам і тим, хто бажає підтримати Україну і знати набагато більше ?!!!!

Підтримай українский проект –лайк на сторінку, ставай одним з нас, ставай поруч з нами!!! Слава Україні!

Приєднуйтесь до обговорення новин у Фейсбуці:  Група УКРАЇНЦІ – ЄДНАЙМОСЯ! Фейсбук. Підтримай Україну! Тисни лайк та поширюй!

Приєднуйтесь до обговорення новин у Фейсбуці: POLITINFO

С момента подписания указа Президента Украины о санкциях в отношении российских IT-компаний прошло 20 дней, но за это время тема обхода блокировки Vkontakte, Одноклассники, сервисов Яндекс и Mail.ru прочно вошла в тренд. Ловить рыбу в мутной воде всегда легче, поэтому мошенники и спецслужбы страны-агрессора не упустили возможности подсадить украинских пользователей на иглу собственных VPN-сервисов. Волонтеры InformNapalm разобрали один из примеров, который ярко иллюстрирует факт ловли пользователей «на живца».

Анализ VPN-наживки

Сообщество «Типичный Киев» разместило рекламу сервиса обхода блокировок — vkunblock.com

Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

Как обычно, реклама подается под соусом «сделаем украинский интернет свободным от запретов» и «совершенно бесплатно». Бесплатный сыр бывает только в мышеловке. Изучим данный сервис подробнее.

Начнём с изучения группы в VK.

Из описания группы видим, что у владельцев сервиса есть как минимум два сайта: vkunblock.com и vkonline.xyz. По информации whois vkunblock.com был зарегистрирован вчера (26.05.2017), а vkonline.xyz — 18.05.2017. Информация о владельце домена закрыта, а сам сервис использует Cloudflare, что позволяет ему скрыть настоящие IP-адреса своих серверов (и, как следствие, мешает установить географическую принадлежность сервиса).

Читайте также: Під Києвом правоохоронці зі стріляниною затримали автівку відомого волонтера

Для дальнейшего анализа придётся устанавливать расширение из Chrome Web Store.

Расширение состоит из четырёх файлов JavaScript: analytics.js (скрипт похож на Google Analytics), app.js, chrome.js и пустого proxy.js.

В app.js самое интересное для нас — это URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac

PAC — Proxy Automatic Configuration — файл для автоматической настройки прокси. В этом файле содержатся правила, указывающие, какие прокси-сервера в каких случаях браузер должен использовать.

Разбор кода

На данный момент файл имеет следующий вид:


function FindProxyForURL(url, host)
{
var cdnSrv = ‘hole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var imSrv = ‘imhole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var mainSrv = cdnSrv;if(shExpMatch(host, «*vk.com») || shExpMatch(host, «*vk-cdn.net»)
|| shExpMatch(host, «*vk-cdn.me»)
|| shExpMatch(host, «*userapi.com»)
|| shExpMatch(url, «*vk.com/audios*»)
|| shExpMatch(url, «*vk.com/al_audio*»))
return «PROXY «+cdnSrv;if(shExpMatch(host, «*vkontakte.ru»)
|| shExpMatch(host, «*.vk.com»)
|| shExpMatch(url, «*apivk.com*»))
return «PROXY «+imSrv;

if(shExpMatch(url, «*vk.cc*») ||
shExpMatch(url, «*vk.me*») ||
shExpMatch(url, «*ok.com*») ||
shExpMatch(url, «*odnoklassniki.com.ua*») ||
shExpMatch(url, «*odnoklassniki.ru*») ||
shExpMatch(url, «*mycdn.me*») ||
shExpMatch(url, «*odnoklassniki.ua*») ||
shExpMatch(url, «*ok.ru*») ||
shExpMatch(url, «*mradx.net*») ||
shExpMatch(url, «*ok.me*») ||
shExpMatch(url, «*portal.mail.ru*») ||
shExpMatch(url, «*ad.mail.ru*») ||
shExpMatch(url, «*imgsmail.ru*») ||
shExpMatch(url, «*mail.ru*») ||
shExpMatch(url, «*ya.ru*») ||
shExpMatch(url, «*2ch.hk*») ||
shExpMatch(url, «*kinopoisk.ru*») ||
shExpMatch(url, «*drweb.com*») ||
shExpMatch(url, «*kaspersky.ua*») ||
shExpMatch(url, «*.kaspersky.*») ||
shExpMatch(url, «*yandex.st*») ||
shExpMatch(url, «*yastatic.net*») ||
shExpMatch(url, «*yandex.ru*») ||
shExpMatch(url, «*yadi.sk*») ||
shExpMatch(url, «*yandex.fr*») ||
shExpMatch(url, «*donationalerts.ru*») ||
shExpMatch(url, «*yandex.net*») ||
shExpMatch(url, «*yandex.com*») ||
shExpMatch(url, «*livejournal.ru*») ||
shExpMatch(url, «*yandex.ua*»))
return «PROXY «+mainSrv;

return «DIRECT»;
}

Нас больше всего интересуют строки с cdnSrv и imSrv — в них содержатся адреса используемых серверов. Авторы сервиса разбили «санкционный список» на три части, для каждой из этих частей используется свой прокси-сервер, а для сайтов не из списка — прямое соединение (без прокси).

Наш список для анализа сайтов пополнился двумя именами: safe-proxy.com и freevpn.pw. Второе имя отбрасываем сразу: это прокси-сервер, предоставляемый одноимённым сервисом, не имеющим отношения к VK Unblock. Их сервера используются в качестве резервных на случай, если safe-proxy.com не сможет обработать запрос.

Для safe-proxy.com данные whois показывают, что домен был создан 22.05.2017, данные о владельце закрыты, а в качестве DNS-серверов используются те же сервера Cloudflare, что и для vkunblock.com и vkonline.xyz. Казалось бы, снова неудача. Но нет. дело в том, что Cloudflare может скрывать IP-адреса только для обычных сайтов, использующих протокол http или https. А для прокси-сервера это не работает. Следовательно, IP-адреса для hole.safe-proxy.com и imhole.safe-proxy.com будут настоящими.

Итак,
imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36

95.213.205.98 (сеть 95.213.205.0/24) — это IP-адрес, принадлежащий российскому хостинг-провайдеру «Селектел» (для справки: VK тоже использует дата-центр этого провайдера)
Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

88.212.244.244, 213.196.53.28 и 213.196.53.36 — IP-адреса серверов, предоставляемых ООО «Единая сеть» (московская компания, имеющая филиалы в Далласе (США) и Амстердаме (Нидерланды)).
Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakteУкраинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

Ещё один интересный момент: VK Unblock использует HTTP-прокси, не HTTPS. Разница между ними в том, что в первом случае используется незащищённое соединение (и при большом желании провайдер может видеть попытку установки соединения с «санкционным сайтом» через прокси), а во втором — защищённое.

Читайте также: У “русских патриотов” горят хвосты от новой песни Шевчука. Просто браво! ( видео с текстом)

Чем плох VK Unblock? Во-первых, данный сервис предоставляется украинцам страной-агрессором. После событий в Крыму и на Донбассе в доброту и бескорыстие «братского народа» мы не верим. Во-вторых, владелец ресурса может вести журнал доступа. Соответственно, доступ к прокси из какой-нибудь государственной сети будет запротоколирован, а сам факт попытки обхода блокировки со стороны чиновника — очередной компромат. В-третьих, нет гарантии, что владелец ресурса в один прекрасный день не начнет проксировать трафик не только для VK, но и, например, для Facebook либо для каких-нибудь правительственных ресурсов (и в зависимости от IP-адреса клиента). Превратив HTTP-прокси в SOCKS, сервис будет пропускать через себя и запросы DNS с возможностью подменять ответы для конкретных пользователей сервиса. Возможности ограничиваются лишь способностями владельца ресурса.

Будьте бдительны. В поисках обходного пути не попадайте в ловушки, расставленные агрессором и мошенниками. Запретный плод сладок, но есть уйма открытых альтернатив почтовых сервисов, поисковиков и социальных сетей, вне досягаемости российских спецслужб. Подумайте, прежде чем нырять в мутную воду, хорошо ли вы плаваете?

InformNapalm


Шановним патріотам і тим, хто бажає підтримати Україну і знати набагато більше ?!!!!

Підтримай українский проект –лайк на сторінку, ставай одним з нас, ставай поруч з нами!!! Слава Україні!

Приєднуйтесь до обговорення новин у Фейсбуці:  Група УКРАЇНЦІ – ЄДНАЙМОСЯ! Фейсбук. Підтримай Україну! Тисни лайк та поширюй!

Приєднуйтесь до обговорення новин у Фейсбуці: POLITINFO