Donații pentru armata Ucrainei, furate de neonaziștii ruși pentru cârpi războiul lui Putin. Metodele, activitatea pe darknet, atrocitățile la care instigă

Sursa: Telegram

Neonaziștii ruși fură criptomonede prin site-uri de strângere de fonduri pentru Forțele Armate ale Ucrainei și folosesc o largă arhitectură de haking pentru a-și spori veniturile. Banii astfel obținuți sunt cheltuiți pe alimentarea războiului, dezvăluie Meduza.

<< Sigla fundației caritabile ucrainene, Happy New Life, e reprezentată de palme deschise spre cer, pe care crește coroana „pomului vieții”. Prin intermediul site-ului său, organizația strânge fonduri pentru nevoile Forțelor Armate ale Ucrainei, refugiaților, și chiar în cazul „contaminării cu radiații a Europei”. Potrivit fundației, aceasta din urmă ar putea fi provocată de situația de la centrala nucleară Zaporojie, aflată din luna martie sub controlul trupelor ruse. Fundația a apărut în iunie 2022, pe baza unei inițiative de voluntariat din Dnipro, a declarat, pentru Meduza, Daniel Ovcearenko, director financiar al Happy New Life.

Și „pentru ca organizația să aibă măcar un fel de chip”, adaugă el, au creat un site web „foarte ieftin”. Imaginile cu copii și militari ucraineni sunt însoțite de următorul apel: „Astăzi luptăm împotriva unui stat terorist. Și victoria noastră va fi victoria întregii lumi civilizate… Pentru a răzbi asupra întunericului, uneori este suficient să aprinzi o lumânare”. Jumătate din ecranul de lângă această inscripție este ocupată de butonul „Donează”.

Însă, după cum a aflat Meduza, cel puțin unele dintre aceste donații ar putea merge exact în direcția opusă: nu către fundația ucraineană de sprijinire a Forțelor Armate ale Ucrainei, ci către grupul de diversiune și asalt, Rusici (DȘRG) – un detașament de neo-naziști ruși care luptă în Ucraina de partea armatei ruse. În orice caz, tocmai lor le aparține un portofel cripto care figurează pe site-ul web Happy New Life drept unul dintre canalele de sprijinre a fundației, a declarat, pentru Meduza, analistul financiar Artem Irgebaev. Acesta a studiat în detaliu infrastructura de criptomonedă a DȘRG.

„Rusici” este cunoscut pentru cruzimea sa. Șeful grupării neonaziste DȘRG, Aleksei Milciakov, a fost fotografiat având pe fundal cadavre mutilate de militari ucraineni, iar canalul de Telegram al detașamentului a cerut în mod deschis torturarea prizonierilor de război ucraineni și uciderea civililor. „Trupurile morților… nu se dau [pur și simplu] așa”, îi instruia DȘRG, pe canalul său de Telegram. „Faceți o fotografie astfel încât să se poată vedea fața și contactați rudele să cumpere date despre locul de înhumare al fiului, al soțului pentru o sumă de două mii până la cinci mii de dolari. Banii pot fi transferați într-un portofel bitcoin”. Iar pentru a obține informațiile necesare, grupul a instigat și la folosirea torturii. „Tăiați degetele, tăiați o ureche, loviți în vintre și articulații, introduceți ace sub unghii. Nu vă fie frică să ucizi prizonierii!”

Ovcearenko (deținătorul site-ului) nu știe cum a ajuns pe pagina fundației adresa portofelului lui „Rusici”: anterior, în același loc se aflase adresa de criptomonedă a Happy New Life.

În timpul invaziei, „Rusici” nu numai că a trecut la blockchain (totuși nu complet), dar a și început să promoveze criptomonedele printre rușii care luptau în Ucraina. Astfel, în septembrie 2022, DȘRG i-a instigat să câștige bani, în bitcoini, pe ucraineni luați prizonieri și pe cei uciși în captivitate.

Rusici ar fi putut să pirateze site-ul Happy New Life și să înlocuiască pur și simplu portofelul cripto al fundației, explică Irghebaev, pentru Meduza.

„A existat o poveste similară cu un site care vindea prin servere proxy, unde plata era și în cripto. Atacatorul a înlocuit adresa proprietarului site-ului cu propria sa adresă, iar resursa a funcționat așa timp de două zile: oamenii au trimis bani nu vânzătorului de server, ci hackerului”, spune analistul. „Escrocii de pe internet fac asta în mod regulat, iar Rusici, după cum se adeverește, este o grupare cu talente extinse – atât mercenari, cât și hackeri”.

În portofel cripto fals al fundației continuă să curgă fonduri. Potrivit serviciului Etherscan.io, acum au mai rămas peste 7.000 de dolari, la cursul actual Ethereum.

Hacking pe veste antiglonț

La sfârșitul lunii iulie, anchetatorul financiar Artem Irgebaev a descărcat shooter-ul Synthetik, Legion Rising, din torenți.

„Prietenul meu și cu mine am descărcat pentru a juca un shooter antic, de 700 de MB, și am observat că [după descărcarea torrentului pe computerele noastre] a început un fel de activitate nesănătoasă”, a spus Irgebaev. „Am întrerupt internetul și am început să cercetăm ce tip de malware este și ce face”.

Malware-ul nu a furat parole și nici nu a încercat să preia conturi. Dar, la o examinare mai atentă , Irghebaev „a găsit câteva adrese de criptomonede chiar în codul binar”.

Analistului i-a devenit clar că programul este un malware de tip clipboard, care fură criptomonede de la utilizator: „Cum vedea victima? Să presupunem că vrea să transfere bani unui prieten. Introducerea manuală a adresei sale de criptomonedă, de 32 de cifre, este o sarcină ingrată, așa că pur și simplu o copiază din note direct în portofel sau în contul de schimb. Adresa intră în clipboard, iar în acest moment malware-ul o înlocuiește cu adresa atacatorilor. Deci banii nu merg acolo unde planificase utilizatorul, ci la escroci”.

Irghebaev a oferit site-lui Meduza adresele găsite în codul malware. Pe site-urile Bitcoinabuse.com și Checkbitcoinaddress.com se găsesc referiri la legătura lor cu programele malware de clipboard, care colectează reclamații despre portofelele criptografice ale escrocilor și șantajiștilor.

Același malware a făcut și o altă acțiune: a instalat automat un miner de criptomonede pe dispozitivul infectat. „Și computerul victimei a început să sape după cripo”, a explicat Irgebaev.

Analistul subliniază că la început malware-ul nu l-a surprins: „Scanare standard. Nimic remarcabil”. Dar apoi Irghebaev a căutat pe Google adresele criptomonedelor conținute în cod și a constatat că acestea nu aparțin unor escroci obișnuiți, ci sunt controlate de grupul Rusici care luptă în Ucraina.

„[Când am căutat pe Google adresa portofelului], au apărut imediat postările de pe canalele Z, de pe Telegram, unde cereau membrilor grupului activist pro-război Rusici să doneze pentru uniforme”, a spus Irghebaev. „Am crezut că hackingul rusesc se amesteca în alegerile americane. Dar s-a dovedit a fi un clipboard-malware  pentru o vestă antiglonț”.

Fondurile care au ajuns în portofelul cripto al DȘRG sunt într-adevăr direcțiobate spre menținerea capacității de luptă a Rusici, ai cărui membri au observați pe frontul ucrainean în aprilie 2022 (până în septembrie, cinci dintre portofelele cripto ale grupului au căzut sub sancțiunile SUA).

Potrivit mesajelor de pe canalul de Telegram al detașamentului însuși, în timpul războiului, Rusici „a activat” pe direcția Harkov și Izium-Slaviansk, suferind pierderi grave în timpul „curățării” satului Dolghenkoe (probabil e vorba de evenimente din iulie 2022). Mai târziu, în august, grupul a luat cu asalt Mariinka – în aceeași lună, luptătorii săi au fost răniți în confruntări din Zaporojie. În octombrie, pe rețelele de socializare ale unității a apărut un filmuleț în care DȘRG a tras în brigada de evacuare a Forțelor Armate ale Ucrainei, grăbindu-se spre ambulanța lor.

Neo-naziștii de pe darknet

Programul malware al „Rusici” a ajuns pe computer după descărcarea torrentului. Aceasta înseamnă că detașamentul de neonaziști a trebuit nu numai să dezvolte malware-ul necesar, ci și să îl poată încorpora în fișierul descărcat, adică să obțină cumva acces la site-ul cu catalogul torrent.

De fapt, remarcă Irghebaev, nu e neapărat nevoie ca Rusici însuși să aibă capacități tehnice de acest nivel. Cel mai probabil, militanții au plătit pur și simplu infractori cibernetici profesionșit, pentru asemenea servicii:

  • „Aceasta se cheamă cybercrime as a service: fiecare etapă a infracțiunii este un serviciu care poate fi pur și simplu achiziționat. Mai întâi cumperi acces la programul dorit de pe forumul din umbră. De obicei, malware-ul se dînchiriază – de exemplu, 200 USD pentru un abonament lunar. Și pentru ca potențialele victime să-și instaleze acest software, poți plăti prostește proprietarul catalogului de torrenți pentru a adăuga un cod rău intenționat în torrenții lor”.

Pe darknet, Rusici și-a făcut cunoștințe nu numai în rândul hackerilor, ci și al traficanților de droguri – și, judecând după portofele, au existat chiar și niște înțelegeri între ei.

„Din iulie până în octombrie 2022, DȘRG a primit 1.787 USD dinspre trei piețe subterane de droguri”, explică Irghebaev.

Vânzătorii sau administratorii acestor site-uri darknet ar putea deveni și ei victime ale malware-ului distribuit de Rusici, sau pur și simplu ar putea plăti pentru serviciile grupului, susține Irghebaev. Meduza nu are cunoștință de asemenea cazuri.

Există și o a treia versiune: cei care au trimis bani către Rusici ar putea folosi piața de pe darknet pentru a-și anonimiza transferul.

Irghebaev a putut să înregistreze sumele pe care Rusici le-a primit de la magazinele darknet, dar nu a putut urmări cine deținea în mod specific acești bani.

Membrii DȘRG înșiși au făcut achiziții de pe darknet, deși foarte mici: de exemplu, 34 de dolari au fost transferați din conturile Rusici pe o piață unde se vând droguri. „Un tribut adus demonului mefedronei, probabil”, spune Irghebaev. „Pentru acea sumă, poți cumpăra un gram”.

 „Donații” de 160.000 de dolari

Sume mari de bani trec constant prin portofelele cu criptomonede ale Rusici. Grupul a obținut aproximativ 1.100 de dolari numai din minerit, a declarat Irghebaev, pentru Meduza. Mai mult, nu se știe dacă exploatarea criptomonedei a fost efectuată cinstit, sau dacă toate veniturile au fost generate de „mineri” instalați pe computerele victimelor cu ajutorul unui program malițios.

Peste 160 de mii de dolari au intrat în portofelele cripto ale Rusici prin transferuri directe. În anunțurile oficiale de crowdfunding, grupul a indicat aceleași portofele de unde provin câștigurile din hacking ale DȘRG. Cu toate acestea, Irghebaev nu exclude ca „toate aceste tranzacții și realimentări să nu provină din donații voluntare, ci să fie furate cu ajutorul programelor malware”:

  • 27,895704431 ETH (peste 45.000 de dolari) au venit la Rusich, pe blockchain-ul Ethereum, în 146 de tranzacții. „Donația” medie depășește 300 USD.
  • 2,26113377 BTC (peste 47.000 de dolari) au venit în bitcoin, din 433 de tranzacții. „Donația” medie: 108 USD.
  • 51,811099906 ETC a venit în portofelul Rusici pe Ethereum Classic, adică aproximativ 1228 USD.
  • 20142,378595 USDC (adică peste 20.000 de dolari) au venit în portofelul stablecoin USD Coin, în patru tranzacții. „Donația” medie – 5.000 de dolari;
  • 51.000 USDT (adică 51.000 de dolari) au venit în portofelul stablecoin pe blockchain-ul Ethereum, în 49 de tranzacții. „Donația” medie – peste 1.000 de dolari.

O astfel de scară de transferuri și donații „medii” l-au făcut pe analist să se îndoiască de faptul că astfel de fonduri ar fi putut ajunge în portofelele Rusici de la donatori aleatori care pur și simplu văzuseră postări pe canalele patriotice de Telegram, în care se cer donații pentru uniforme. „Mi se pare foarte îndoielnic, de exemplu, donații [în valoare] de 0,1 bitcoin — adică puțin peste 2.000 de dolari — care au venit într-un singur transfer, de la o adresă bitcoin care a fost devastată de această tranzacție, ajungând pe zero”, spune Irghebaev. „Adică întregul sold a fost transferat lui Rusici, iar de atunci portofelul nu a mai fost folosit”.

Meduza l-a întrebat pe liderul Rusici, Aleksei Milciakov, despre aceste sume, precum și despre tranzacții de droguri, piratarea site-ului unei fundații caritabile ucrainene și furtul de criptomonede folosind programe malware. Și a confirmat totul:

  • „Avem propriul nostru departament IT și departament financiar care se ocupă de operațiunile despre care ați întrebat. Da, competența departamentului IT include într-adevăr hacking de site-uri web și alte resurse de internet ale inamicului, precum și alte sabotaje în sfera informațională, inclusiv activități nu numai împotriva fostei așa-numitei Ucraine (acționăm pe scară mai largă). Piratarea resursei pe care ați menționat-o [site-ul fundației ucrainene] este doar vârful aisbergului. De altfel, angajații care contribuie direct la decesul celui mai mare număr de oameni, într-o lună, sunt recompensați foarte generos. Departamentul financiar este implicat doar în operațiuni legate de criptomonede, pietre prețioase, spălare de bani (doar în afara Federației Ruse, respectăm legile țării noastre) și colectare, inclusiv frecvente comenzi de la mari sponsori interesați din rândul oamenilor de afaceri din umbră (Mexic, Hong Kong, Somalia etc.). Proiectul primește un sprijin uriaș (după părerea noastră) din partea unui număr de grupări, carteluri și sindicate nemulțumite de hegemonia planetară a SUA”.

Milciakov a adăugat că rușii care luptă Ucraina pot într-adevăr să primească donații de la traficanții de droguri și să coopereze cu aceștia „în vederea obținerii de analgezice”. Potrivit lui Milciakov, astfel de piețe darknet sunt „adevărați patrioți ai Rusiei”.

Război în criptomonede

Rusici cheltuiește fondurile obținute pentru tratarea răniților și achiziționarea a ceea ce e necesar pentru a continua participarea la război: agent hemostatic Ellarga, radiouri Motorola, căști, aparate de bruiat drone, generatoare diesel, uniforme de iarnă Charintia, ichigi de la compania Poskriakov, saci de dormit, îmbrăcăminte termică, drone Mavic, obiective pentru lansatoare de grenade antitanc, sobe și sisteme de securitate perimetrală Kuvșnika. >>

Profesor rus de la Universitatea Chicago: În Rusia va începe războiul civil. Cine va juca roluri-cheie și cum va arăta conflictul

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here