Чим насправді є «російська кіберармія» Killnet

У середині червня хакерське угруповання Killnet оголосило, що готується «покласти» європейську банківську систему. «Якщо Росією керує Бог, то хто керує Європою? Правильно, банківська система. […] Немає грошей, немає зброї, немає київського режиму! […] Таких проблем ви ще ніколи не бачили. Ми Killnet», - заявили вони у відео. Минуло кілька місяців, а з банківською системою нічого не сталося. Як не сталося раніше, ні з НАТО, ні з США, ні з урядами країн Європи, ні з Україною.

Усім їм Killnet загрожувала зламами, зливами даних, руйнуванням IT-інфраструктури. Група оголошувала себе «російською кіберармією», але поки що успіхи у неї приблизно такі самі, як і в армії звичайної. Як з’ясували у виданні The Insider, за розпіареним кремлівськими ЗМІ угрупованням стоять не надто щасливі любителі, а їхні нечисленні успіхи забезпечувалися силами хакерів ГРУ.

Поява Killnet

"Killnet - нова технологія вбивства мережі", - з такою гучною заявою запустилися сайт і Telegram-канал угруповання хакера в січні 2022 року. Фактично Killnet — це сервіс, що пропонує нелегальні послуги хакерів, наприклад, DDoS-атаку вартістю від $5 тисяч на місяць. Завдяки появі таких сервісів люди без IT-освіти чи хакерського бекграунду мають можливість здійснювати атаки на неугодні їм організації. Наприклад, замовниками можуть бути власники конкуруючих між собою бізнесів чи представники держструктур.

Скріншот архівної копії сайту Killnet qhiqqhiqditzant

Скріншот архівної копії сайту Killnet

Власники Killnet стверджують, що в ботнет-мережі вони мають близько 700 тисяч пристроїв. Іншими словами, у їхньому розпорядженні величезна кількість заражених комп’ютерів, роутерів або інших пристроїв, аж до підключених до інтернету мікрохвильових печей. З таких пристроїв можна запускати великий потік трафіку на сервери жертви, через що сайт або додаток на якийсь час йдуть до офлайну. Фактично Killnet заявив, що має один з найбільших ботнетів в історії. Для порівняння, найбільш відомого ботнета було до 900 тисяч заражених пристроїв.

Рекламу сервісу Killnet на профільних форумах хакерів розміщував людина під ніком KillMilk. На найбільш популярному даркнет-форумі Rutor він зареєструвався ще у жовтні 2021 року. Там хакер відкрив тему «ддос по-братськи» та запропонував користувачам свої безкоштовні послуги з атак на сайти. До цього моменту KillMilk не відомий у хакерському середовищі, стверджують співрозмовники The Insider.

Його повідомлення на Rutor часто політизували, що не вітається у хакерському співтоваристві. Ще до початку повномасштабного вторгнення Росії до України він негативно висловлювався про українців. У підсумку у травні 2022 року його було заблоковано. "Кіллмілк неодноразово привертав непотрібну увагу до майданчика, коли "дудосил" державні ресурси, потім вдарився в державну движуху і форум залишив", - пояснив блокування користувача KillMilk адмін Rutor.

Після того як у листопаді 2021 року Gulagu.net опублікував відео катувань ув’язнених у лікарні УФСВП по Саратовській області, KillMilk став писати погрози на адресу ФСВП і обіцяв «покласти» їхні сайти. Наприкінці грудня того ж року Gulagu.net повідомили , що з ними на зв’язок вийшли деякі хакери Universal, які нібито «атакували всі сервери ФСВП в Росії та оголосили їм вендетту». Сайти ФСВП дійсно на кілька годин перестали відкриватися. У чаті Telegram-каналу Gulagu.net з’явилося безліч посилань на угруповання Universal, а один із коментаторів написав «KillMilk красень)».

Не минуло й кількох місяців, як 14 січня 2022 року на каналі Universal раптово оголосили, що закінчили свою «підтримку правозахисникам з Gulagu.net», після чого всі їхні ресурси, а також акаунти, з яких поширювалися посилання на заяви, було видалено. Вже за тиждень після цього KillMilk анонсував запуск ботнету Killnet на форумі Rutor. Користувачі форуму відзначили чудову роботу сервісу, а один із відомих учасників під ніком «Двуликий» написав, що це вже було «доведено на прикладі ФСВП».

Скріншот з форуму Rutor, лютий 2022 року

KillMilk не став сперечатися з цією припущенням і запропонував звертатися з приводу атаки на сайти Сберу та ВТБ. Через кілька днів йому на думку спала ще більш масштабна ідея — «задисити НАТО».

Скріншот з форуму Rutor, лютий 2022 року

Проте KillMilk зупинився на цілі простіше і 4 лютого атакував сайт блогера та колишнього кіберзлочинця Сергія Павловича, а також портал новин про кібербезпеку anonymoushackers.net, «щоб протестувати сервіс». При цьому хакер був упевнений, що сайт належить міжнародній хакерській групі Anonymous, яка насправді має лише Twitter-аккаунт.

Саме там вони оголосили про початок кібервійни проти російського уряду після того, як Росія вторглася до України. А Killnet, у свою чергу, заявив про війну у відповідь з боку Росії, не забувши згадати, що вже атакував нібито пов’язаний з Anonymous сайт. «Ми не дружимо з нашою владою, і ми є кіберзлочинцями… Але коли небезпека знаходиться біля наших кордонів, ми стаємо на захист як уміємо», — пояснив представник Killnet виданню Darknet News.

Скриншот видання Darknet News

У гонитві за передплатниками Killnet продовжив піарити свою «акцію» проти Anonymous. Новину про це підхопили мейнстрімні російські ЗМІ, від каналу «Москва 24» таРІА «Новини» до пригожинського РІА ФАН та « Ленты.ру» , а також популярні Telegram-канали, від «Кремлівської прачки» до «Воєнкорів Російської Весни». Принагідно мережа набирала передплатників серед школярів за допомогою вірусних відеов TikTok.

Боротьба з ворожими країнами

З березня 2022 року Killnet став регулярно публікувати у своїх каналах інформацію про DDoS-атаки на українські, європейські та американські сайти. За заявами угруповання, воно атакувало сотні сайтів. Однак більшість із них не були ні державними сайтами, ні якимось чином спрямованими проти Росії. Втім, і атаки не були серйозними. Як зазначає американська компанія Mandiant, що спеціалізується на кібербезпеці, вони мали незначний ефект і, як правило, тривали недовго. Одним із перших сайтів, які атакував Killnet у своїй боротьбі проти ворожих країн, став polandhub.pl. «Захід у відповідь на Головний сайт ЗМІ Польщі POLANDHUB», — написали у своєму каналі хакери, коли Польща закрила повітряний простір для російських літаків. Чому «головним сайтом ЗМІ Польщі» виявився невеликий портал про життя в Польщі російською мовою, започаткований 2020 року білоруськими емігрантами, залишається загадкою. Це не єдиний випадок, коли Killnet видавали невеликий приватний сайт за велику державну мету. Угруповання зараховує собі у заслуги DDoS сайту американського аеропорту Бредлі у березні 2022 року. Хоча це і викликало інтерес у правоохоронних органів США, оскільки формально подібна діяльність є атакою на критичну інформаційну інфраструктуру країни, дії Killnet ніяк не вплинули на роботу аеропорту. Проте атака припала на портал компанії , яка допомагає американцям складати податкові декларації. У липні Killnet заявив, що заблокували сайт Конгресу США - правда, це виявився лише сайт бібліотеки Конгресу, і він був недоступний лише дві години. У серпні KillMilk оголосив війну корпорації Lockheed Martin, яка проводить артилерійські ракетні системи HIMARS. Протягом двох тижнів у каналах угруповання виникали погрози на адресу корпорації, проте її сайти не припиняли працювати. У результаті гурт заявив, що викрав дані Lockheed Martin. Як доказ вона опублікувала відео нібито зі списком співробітників корпорації, їх телефонами та поштовими адресами.

«Люди з опублікованого списку справді були співробітниками Lockheed Martin, проте це не обов’язково підтверджує, що ці компанії були зламані. Наприклад, це може бути компіляція старих або відкрито опублікованих даних, показана, щоб підірвати довіру до організації та налякати співробітників», - прокоментувала посади Killnet аналітик компанії Searchlight Security Луїз Феррет. Надалі про «злом» Lockheed Martin нічого не було чути. Втім, як і про витоки з інформаційної системи Податкової служби США, даних 10 тисяч співробітників ФБР та багатьох інших зламів, які голосно анонсував на своїх каналах Killnet.

Одну з найгучніших обіцянок Killnet зробив у червні 2023 року. Щоб «навести банківську паніку в європейському курнику», вони пообіцяли паралізувати роботу банківської системи. При цьому своїми цілями вони називали такі різні поняття, як IBAN (міжнародний номер банківського рахунку), SEPA (система грошових переказів у єврозоні), WISE (британська компанія, що спеціалізується на транскордонних переказах), SWIFT (міжнародна система передачі інформації між банками), а також WIRE (що мали на увазі хакери, невідомо, але англійською будь-яка безготівкова оплата називається wire transfer). Незважаючи на гучні погрози, які швидко поширили російські ЗМІ, ні з європейською банківською системою, ні з системами переказів, ні, тим більше, зі стандартом запису банківських рахунків IBAN протягом наступних місяців нічого не сталося.

Більшість компаній, що спеціалізуються на кібербезпеці, які досліджували діяльність Killnet, вважають, що угруповання просто займається самопіаром. "Регулярні оголошення про створення та кооперацію з новими групами як мінімум частково є спробою привертати увагу західних медіа та перебільшувати ефект від власних операцій", - зазначає у своєму звіті Mandiant.

«Не варто приймати будь-які заяви Killnet за чисту монету. Зважаючи на прагнення угруповання до перебільшення, ймовірно, анонси майбутніх операцій робляться лише для привернення уваги — як у публічному просторі, так і серед кіберзлочинців», — зазначає у своєму бюлетені Центр кібербезпеки охорони здоров’я США. "Вплив операцій [Killnet] на національну безпеку дуже обмежений, якщо судити з попередньої та нинішньої поведінки проросійських хакерських груп та їх обмежених ресурсів", - пише аналітична компанія Grey Dynamics.

Проте служби кібербезпеки Австралії, Канади, Нової Зеландії, Великобританії та США у спільному меморандумі включили Killnet до списку погроз у зв’язку з війною Росії та України поряд з хакерськими групами, які давно асоціюються з ГРУ.

Павло Ситников, голова компанії XPanamas, що займається кібербезпекою, вважає, що, незважаючи на більш ніж скромний результат, а іноді й зовсім його відсутність, акції KillNet не можна вважати зовсім провальними:

«Як DDoS [атаки Killnet] повністю успішні, але успішні лише в моменті - така суть DDoS. Цей вид атак дуже легкий у виконанні і відповідно залучає в рух більше людей з меншими здібностями».

А чи був ботнет?

Політична заангажованість угруповання Killnet викликала несхвалення серед хакерської спільноти. Як говорилося раніше, на більшості форумів міркування про політику не вітаються чи зовсім заборонені. І все ж таки вторгнення Росії в Україну внесло свої корективи. До лютого 2022 року російські, українські та білоруські хакери були об’єднані у свого роду ком’юніті.

Вони співпрацювали, обмінювалися «зливами» даних чи купували їх одне в одного. Однак після початку війни співтовариство розкололося на тих, хто за Росію та тих, хто за Україну. І там, і там став процвітати «хактивізм» — злом сайтів та баз даних, докс військових та активістів, DDoS-атаки та кампанії з дезінформації.

Наприклад, про підтримку російської влади заявила група здирників Conti , одне з найвідоміших і найприбутковіших зараз угруповань, що займаються ransomware - зараженням комп’ютерів вірусами-вимагачами. У відповідь українські учасники гурту злили її листування за весь попередній рік. Російську сторону підтримали й інші кіберзлочинці, проте більшість із них залишилися в нейтралітеті. Killnet після своєї гучної інформаційної кампанії про перемогу над Anonymous зайняв чітку політичну проросійську позицію. Нового бійця із Заходом відразу почали рекламувати пропагандистські ресурси, де KillMilk відкрито заявляв про свої плани:

«У Росії я стану героєм, а за кордоном – злочинцем. Незабаром я та KillNet почнуть потужні атаки на європейські та американські підприємства, які побічно призведуть до жертв. Я докладу всіх зусиль, щоб ці регіони та країни відповіли за кожного нашого солдата».

Проте врозріз з успішною піар-кампанією стали з’являтися повідомлення про те, що атаки Killnet проводить за допомогою чужого ботнету, а свого ботнета група взагалі не має. Наприклад, атаку на сайт, нібито пов’язаний з Anonymous, проводив власник стресера Chemistry ( сервісу для перевірки мережі або сервера на стійкість), про що він розповів на своєму каналі ще на початку піар-акції Killnet. Власник стресера виклав скріншоти листування, в якому Killnet просить його «покласти» сайти «Правого сектору», УНА-УНСО та інших українських націоналістичних організацій. Після публікації листування обліковий запис Killnet заблокував його.

Скріншоти з каналу стресера Chemistry

Про те, що Killnet займався перепродажем орендованих потужностей ботнетів і стрессерів, розповіли The Insider два старожили хакерських форумів у даркнеті. Ще один із учасників Rutor у травні 2022 року заявив, що Killnet перепродає послуги стрессера stresser.us, а через кілька місяців група сама стала відкрито рекламувати цей сервіс.

Скріншот з форуму Rutor, травень 2022 року

Втім і на самому каналі Killnet з’являлися посилання на сторонні сервіси. Наприклад, Killnet з гордістю заявив про те, що один із сайтів українських націоналістів «поклав» власник stresser.tech. А пов’язаний з Killnet гурт Anonymous Russia не приховував , що атаки проводить через стрессер stressID.

За півтора роки існування Killnet неодноразово рекламував різні стресери та ботнети, називаючи їх своїми партнерами, наприклад Passion Botnet і Tesla Botnet. Власні ж послуги з DDoS команда з початку своєї політичної діяльності публічно не пропонувала. Можливо, когось це вберегло від небезпечної співпраці: Killnet обіцяв своїм клієнтам повну анонімність, однак після того, як сайт угрупування зламали (ще навесні 2022 року), виявилося, що паролі та інші дані тих, хто зареєструвався як клієнти, адміністратори зберігали у незашифрованому вигляді.

Куратори із ГРУ

Один із старожилів Rutor у розмові з The Insider припустив, що за такої скромної технічної експертизи (відсутності власних ресурсів, нетривалих атак і легких цілях) Killnet вдалося досягти інформаційного успіху завдяки зв’язкам з деякими державними кураторами, які звели їх з угрупуванням XakNet, що з’явилося звідки одразу після початку війни Росії в Україні.

Канал XakNet Team виник у Telegram 1 березня 2022 року і одразу прозвітував про успішну DDoS-атаку на сайт президента України. Вже наступного дня гурт зламав усі регіональні та інші державні сайти України. На той момент DDoS протистояння між активістами з двох країн тривало вже кілька днів.

XakNet Team використав логотип однойменного старого російськомовного хакерського форуму. Учасники цієї спільноти вже займалися провладним хакінгом. Під час війни у Грузії 2008 року деякі з них атакували грузинські державні сайти. Принаймні зроблений цим угрупуванням дефейс (підміна вмісту головної сторінки сайту) потрапив у репортаж CNN.

Скріншот із репортажу CNN, серпень 2008 року

Хоча у ЗМІ з’являлися версії про те, що за атаками стоїть Кремль, дефейси та DDoS були зроблені скоріше на волонтерських засадах. Форум вже багато років закритий, а його учасники, ймовірно, на пенсії, розповів The Insider відомий користувач Rutor.

Тим часом учасник нового XakNet незабаром розкрив себе, розповівши про атаки і знову висміявши Anonymous:

«Все, що змогли продемонструвати школярі в масках, – організувати DDoS-атаку. І навіть із нею облажалися. ForceFull DDoS та Killnet на пару дали відповідь кратно потужнішу та вирубали взагалі всі урядові сайти України. Навіть у цьому аспекті, в якому весь світ визнавав беззаперечне лідерство анонімусів, два хлопці з Росії розтоптали їх у потерть і показали, як треба це робити правильно, російською».

Якщо Killnet і не мав своїх потужностей для DDoS, то у другого названого учасника атак XakNet вони цілком могли бути. ForceFull DDoS у чатах XakNet позначений як член команди. Він рекламував послуги атаки сайтів як мінімум з 2014 року та продовжував публікувати комерційні оголошення як мінімум до весни 2023 року.

Втім, вирубати всі урядові сайти України йому вдалося лише на кілька годин. Потім адміністратори держсайтів просто заборонили заходити на портали в домені gov.ua звідкись, крім України. Такий метод захисту від DDoS застосовується, оскільки трафік зазвичай йде з-за кордону.

Цікаво, що XakNet, де з’явився звіт про атаку на українські сайти, виник 1 березня, але атаки почалися вже 23 лютого буквально за кілька годин до початку військових дій. Про це повідомив міністр цифрової трансформації України Михайло Федоров, а згодом в інтерв’ю Ленте.Ru підтвердив KillMilk. «Свій перший удар ми завдали домену gov.ua, […] перестали працювати приблизно 67 ресурсів. […] Це сталося за десять годин до початку спеціальної операції, і ми не афішували цю акцію», — сказав він, не пояснюючи, що спонукало його атакувати українські державні сайти.

При цьому популярність у патріотичних каналах – а з нею й аудиторія – до XakNet прийшла не через цю DDoS-атаку. Через тиждень після початку війни з Україною на каналі XakNet опублікували файли, які нібито містять особисті дані військовослужбовців ЗСУ. Згодом угруповання заявить ще про кілька зламів та опублікує дані, нібито викрадені з серверів міністерств та правоохоронних органів України.

При цьому злами українських сайтів, за які брав відповідальність XakNet, мабуть, робив хтось інший. У середині січня 2022 року одразу кілька українських державних порталів зазнали кібератаків. Комп’ютери були заражені вірусом WhisperGate, який вдавав здирника, проте насправді, отримавши доступ до даних на серверах державних сайтів і НКО України, прав дані. Атаку розслідувала компанія Microsoft, яка дійшла висновку, що за зламами стоїть ГРУ. Відразу після атак фрагменти даних, вкрадених з українських державних серверів, були опубліковані на форумі RaidForums, а також на сайті Free Civilian у даркнеті. Архіви, які з’являлися в каналі XakNet після початку повномасштабного вторгнення Росії в Україну, належали до тих же відомств і частково збігалися з тими, що рекламувалися для продажу на ресурсах Free Civilian у даркнеті та Telegram.

Американська компанія Mandiant, що спеціалізується на кібербезпеці, вважає , що XakNet координує свої атаки або безпосередньо пов’язаний з хакерами ГРУ (докладніше про атаку хакерів з ГРУ на Україну читайте тут ).

Гроші від наркоторговців

Хоча спочатку Killnet рекламувався як комерційний сервіс, вже до квітня 2022 року вони офіційно заявили , що перестали надавати послуги за гроші. У каналах Killnet і KillMilk публікувалися посилання на банківські картки та гаманці для пожертвувань, а засновник угруповання стверджував, що атаки його угруповання спонсорують «ентузіасти та патріоти своєї країни», які не мають «ніякого відношення до органів влади». Більше того, у вересні KillMilk скаржився, що йому довелося взяти п’ять кредитів для «відсічі ворогам» (орфографія збережена):

«На даний момент я не маю можливості продовжувати свою діяльність. В даний момент моя деструктивна діяльність зводиться тільки до одного - немає фінансів, немає серверів, зате у мене є більше 5 кредитів, які Я брав для підтримки штанів Killnet! Соромно таке навіть і писати, але більше соромно за тих самих людей, які мають величезні можливості, але не бажають допомагати нам рухатися в одному напрямку без збоїв — до Перемоги!»

The Insider виявив, що на перший гаманець, який Killnet опублікував для збору донатів, гроші почали надходити ще до війни. Всього з лютого по квітень 2022 року на нього прийшло майже 0,87 біткойна (приблизно $23,8 тисяч). Найчастіше суми надходили траншами кілька сотень доларів, найбільша їх становила близько $6 тисяч. Крім цього, Killnet міг заробити на рекламі сервісів хакерів.

Однак, найімовірніше, одним із основних джерел їх заробітку був зв’язок з наркомаркетплейсом Solaris. Про дружбу із цим майданчиком KillMilk заявив в інтерв’ю пропагандистському виданню Russia Today. "Завдяки їхній увазі в наш бік Killnet залишається на повному ході", - сказав він в інтерв’ю в жовтні. «Допомога прийшла — звідки не чекали! Уряд чорного ринку SOLARIS підтримує діяльність Killnet та дає нам міцну опору для продовження нашої боротьби та розвитку команди KILLNET!» - Додав він у своєму каналі (пост був видалений). За кілька місяців після інтерв’ю інформацію про співпрацю підтвердив на своєму форумі і сам Solaris. Розслідувальна компанія TRM Labs виявила щонайменше один переклад у розмірі $50 тисяч із гаманців Solaris на гаманці Killnet.

Звідки взялася торгова платформа Solaris і навіщо їй допомагати Killnet? На початку квітня 2022 року німецькі силовики заявили про ліквідацію найбільшого онлайн-ринку наркотиків Hydra. Перед закриттям на ньому було близько 19 тисяч магазинів, які продавали нелегальні товари. Клієнтів почали переманювати до себе різні майданчики, у тому числі другий за величиною Rutor. Якщо раніше там продавали переважно підроблені документи, зброю, нелегальні послуги, то тепер Rutor став переманювати до себе наркошопи. Одночасно в переділ ринку влився особливо нікому не відомий маркетплейс Solaris, а також Kraken, OMG та інші майданчики. Деякі з них створювали та модерували колишні співробітники Hydra. Між майданчиками розгорнулася боротьба за переділ ринку.

Rutor був проданий у травні 2022 року (про це написали в закритих розділах форуму його адміністратори WD, John і Маскарад). З початку червня по ньому регулярно почали проводити DDoS-атаки. Даркнет-ЗМІ наводили численні докази, що атаку на Rutor проводять нові майданчики - Solaris і Kraken. 20 червня у каналі Killnet з’явилася загроза знищити Rutor, а також натяк на те, що форум купили СБУ. За кілька хвилин ці повідомлення були видалені.

1 серпня 2022 року Rutor був зламаний, а за кілька днів KillMilk у своєму каналі пообіцяв «ексклюзив зливу Rutor». Загрози, як це часто бувало з Killnet, виявилися порожніми: ніякого зливу так і не було, а пости KillMilk зазвичай стер. Але вже 15 серпня Killnet оголосив Rutor війну і закликав до його DDoS (авторське написання збережено):

«Rutor – це сформований відділ СБУ. Як там ще триматися бариг я не знаю, довіри нуль Е***ь… Офіційно оголошую про початок демонтажу українського форуму Rutor. […] Закликаю всі групи, що підтримують хак, і спільноти приєднається до DDOS Атакам на Барижний форум Rutor».

Незважаючи на атаки, Rutor продовжував стабільно працювати. Натомість "хактивісти" залучили до майданчика Solaris нових клієнтів. Один із її модераторів у той же час, коли Killnet анонсував DDoS RuTor’а, зазначив: «Якщо Killnet виконають обіцянку, то такий потік людей хлине». Яку саме обіцянку дав Killnet, невідомо.

Скріншот з форуму Solaris (джерело - ZeroFox Intelligence)

Killnet оголосив війну й іншому конкуренту Solaris - маркетплейс BlackSprut. Його він також звинуватив у зв’язках із Україною. Група заявила, що зламала майданчик і готова продати дані про магазини, клієнтів, розкладених у містах наркотиках (так званих «закладках») за $250 тисяч. Однак, ймовірно, ці погрози були блефом, оскільки BlackSprut продовжував працювати.

Вимагання чи співробітництво?

Крім цього, модератор Solaris написав, що Killnet вдалося отримати здирством від куратора Rutor мільйон рублів.

Скріншот з форуму Solaris (джерело - ZeroFox Intelligence)

Про отримання грошей від Rutor повідомила і сама Killnet, похвалявшись своїм вдалим шахрайством. За словами угруповання, наркомаркеплейс нібито дав їм грошей, що припинити нападки на себе, проте вони цього не збиралися. Частину отриманих коштів Killnet обіцяли перевести дитячим притулкам у Росії та надати підтвердження цьому. Однак жодних підтверджень так і не з’явилося, втім, як і у випадку з іншими обіцянками доброчинності з боку угруповання.

Тим часом один із адміністраторів майданчика Rutor зізнався , що намагався замовити рекламу на каналах Killnet. Так що, можливо, гроші Rutor перерахував зовсім не для того, щоб угруповання перестало DDoS-ти їх сервера. За 20 днів регулярної реклами на чотирьох каналах KillMilk просив $10 тисяч. Хакер наводив як приклади публікації у ЗМІ про своє угруповання, додаючи, що видання і самі раді брати на каналі Killnet інфоприводи. Також він хвалився тим, що інформація про угруповання потрапляє до «топ-Яндексу».

Скріншоти листування KillMilk та представника Rutor про розміщення реклами

У результаті оплачений Rutor пост з’явився на каналі Killnet 19 серпня, але замовник залишився незадоволеним. Пост був вилучений, а KillMilk пообіцяв, що «незабаром буде ліквідовано нового власника нарко форуму Rutor». З того часу минув рік, але форум продовжує свою роботу.

Реакція на сумнівне спонсорство

Новина про спонсорування маркеплейсом Solaris (який займав вже близько чверті російського наркоринку) сподобалося далеко не всім прихильникам Killnet. У чатах угруповання почали з’являтися прохання прокоментувати цю сумнівну співпрацю. Однак модератори видаляли подібні запитання та банили тих, хто їх ставить.

Заява KillMilk зацікавила і супротивників Killnet. Щоб вивчити, як працює Solaris, до неї ще влітку 2022 року запровадився американський фахівець із кібербезпеки Алекс Холден. Коли KillMilk зізнався, що його діяльність спонсорує наркофорум, Холден провів незвичайну акцію. Він переправив 1,6 біткоїна (близько $25 тисяч) із гаманця маркетплейсу Solaris до київського фонду «Життєлюб», а потім опублікував інформацію про це і злив всю інфраструктуру форуму, системи захисту, внутрішні та зовнішні листування його учасників. "Якщо KillMilk каже, що Solaris - це величезна опора, чому не прибрати цю опору?" - прокоментував Холден свої дії.

Менше ніж через місяць після того, як Холден злив дані Solaris, наркомайданчик був захоплений своїм конкурентом Kraken. Жоден із каналів Killnet на цю новину ніяк не відреагував. Однак, коли в лютому інші модератори перезапустили Solaris, KillMilk відразу ж привітав їх із поверненням. Щоправда, цю посаду він майже відразу видалив . Все тому, що на той момент офіційна позиція угруповання Killnet різко змінилася: вони стали на шлях боротьби з наркоторговцями.

І все ж про дружбу KillMilk з наркошопом навряд чи так просто забудуть: «Милку виписано смертний вирок від бариг РФ, — відреагував на спробу здеононувати його хакер з іншого проросійського угрупування (орфографія збережена). — Мені не хотілося б бачити справжній деанон Мілка, як би я його не долюблював, ця людина безвідповідальна довба** через яку швидше за все постраждають його рідні, близькі та друзі».

Криза ідей

Незважаючи на запевнення у тому, що Killnet з початку війни став виключно некомерційною патріотичною структурою, його учасники постійно намагалися заробити на створеній аудиторії та бренді. У березні 2023 року KillMilk оголосив про запуск "Приватної військової хакерської компанії Black Skills" (ЧВХК) і запросив інвестора. За частку в 51% компанії він просив 5 млн. рублів або доларів, невідомо. Причиною такого рішення KillMilk назвав потребу у фінансах.

«Альтруїзм — хактивізм Killnet добіг кінця. […] Ми продовжуємо свою деструктивну діяльність на славу вітчизні! На донати та обіцяну допомогу від спонсорів не прожити. Ми відстоюємо також інтереси Російської Федерації, але й беремо тепер замовлення від приватних і державних осіб!»

Мабуть, жодні приватні та державні особи не зацікавилися такою пропозицією — через два місяці постійної реклами ЧВХК лідер Killnet заявив, що аналогів ПВК Вагнера в кіберпросторі він не робитиме, і продовжив просити донати.

KillMilk був зачарований спонсором ПВК Вагнера Євгеном Пригожиним. У своєму каналі він вітав його з днем народження, регулярно репостив його заяви, а 24 червня, в день заколоту, заявив, що поїхав «з Вагнерами вирішувати питання по Москві», проте «турне скінчилося раніше». Після підтвердження загибелі Пригожина у серпні всі канали, пов’язані з Killnet, поміняли аватарки на логотип ПВК Вагнера.

Паралельно з ідеєю ЧВХК Killnet зробив ще одну спробу монетизації та оголосив про запуск «Dark школи». Вартість навчання становила $500, а викладати збиралися «ведення професійної кібервійни» — наприклад, DDoS, створення та просування фейків, деанон. У результаті студентам лише раз на кілька тижнів розсилали застарілі матеріали, відкрито доступні в інтернеті, наприклад книжку 2007 року, в якій в розважальній манері описано, що таке соціальна інженерія. За інформацією Telegram-каналу Dark Femida, деякі студенти намагалися отримати гроші за навчання назад, тому що за кілька тижнів їм просто перестали надсилати матеріали, однак KillMilk грошей так і не повернув.

Скриншоти з Telegram-каналу Dark Femida

Крім того, Killnet запустив свій обмінник криптовалют, бот для "пробива", заснований, втім, на чужих даних, своє даркнет-ЗМІ, а також продовжив рекламувати власні DDoS-послуги і спробував запустити свій даркнет-форум - за аналогією з Rutor. Щоправда, форум відразу «поклали» недоброзичливці, і продати на ньому рекламу Killnet не вдалося. Адже, як і у звичайному бізнесі, робота в даркнеті будується на довірі. Однак довіра у команді Killnet постійно стояла під питанням. З одного боку, засновник групи постійно вишукував у ній зрадників та «інтриганів». Одних учасників із «старичків» виганяли з колективу, інші йшли самі через вигоряння чи незгоду з цілями — наприклад, коли Killnet закликав атакувати сайти медичних закладів у Європі.

Скриншот з каналу KillMilk

Шок у співтоваристві викликав окремий випадок. Killnet був із самого початку пов’язаний з гуртом Anonymous Russia. Вона не мала відношення до міжнародних Anonymous і займалася, по суті, такими ж DDoS-атаками, як і Killnet. Очолював угруповання хакера під ніком Raty. У квітні 2023 року з’ясувалося , що це 18-річний білорус Арсеній Єлісєєв із Гомеля. На батьківщині його затримали — за даними МВС, ще неповнолітнім, Єлісєєв намагався вкрасти антену місцевого оператора зв’язку.

Після новин про затримання KillMilk відразу злив особистість Єлісєєва. Також він повідомив, що Єлісєєв на ґрунті ревнощів насолив місцевому силовику, через що того й затримали. Чи знали силовики на момент затримання, що Єлісєєв пов’язаний із хакерським угрупуванням, — невідомо, тому вчинок KillMilk’а деякі учасники Killnet засудили, за що отримали бан. Обурення викликало зокрема те, що було опубліковано паспорт Єлісєєва — адже для вступу до загонів KillMilk вимагав верифікацію особи за документами.

Після скандалу KillMilk пообіцяв здеанонити силовика, який посадив Єлісєєва, але так і не зробив цього, і оголосив війну Білорусі, але потім видалив усі повідомлення. У результаті Єлисєєву закинули незаконні дії щодо інформації (ч. 1 та ч. 2 ст. 203-1 КК Білорусі) та поширення свідомо неправдивих повідомлень про небезпеку (ч. 1 ст. 340 КК). 1 вересня він постав перед судом.

За участю Олексія Ремізова