Кто пилил HYDRA или деанон разработчиков

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,534
Реакции
36
Доброго времени суток, уважаемые читатели!

В связи с безуспешными попытками договориться о выкупе найденных данных с командой разработчиков проекта HYDRA принял решение опубликовать их.
И так встречаем героев:
Код:
 Колеснев Богдан
[email protected]
www.youtube.com/c/ASKOLDEX/
github.com/askoldex
t.me/monarkhov
vk.com/telebots
vk.com/a.monarkhov
vk.com/safetystudio
monarkhov.pro
www.dideo.ir/v/yt/Ii4Ncv6NyzU
Telegram: @monarkhov
https://www.facebook.com/monarkhov
+380.972095301 (whois)
https://twitter.com/askoldex
https://www.work.ua/ru/resumes/5370307/
askold1.png


Код:
 Дырявин Александр
[email protected]
https://www.linkedin.com/in/dyriavin/
https://github.com/AlexanderDyriavin
https://twitter.com/adyriavin
https://free-lance.ua/users/dyriavin/
Телефон +380636735773
телеграм @dyriavin
vk.com/id409148919
Dyriavin.jpeg



Теперь о главном. Как так получилось, что данные всплыли?

После продолжительной DDOS атаки на Hydra на нескольких страницах в том числе /exchange и /product/251569 (БИТКОИН БАНК MIXER) я обнаружил закомментированный javascript код:
countly.png


Разработчики убрали код через 3 часа после его появления.

Представляют интерес следующие фрагменты (счетчик и аналитика пользовательской активности«Countly»):
Код:
 Countly.url = 'https://countly.z.team'
Countly.url = 'https://194.187.249.115'
Домен z.team имеет поддомены:

45.32.237.100 bitpayer.z.team
195.123.246.18 bkn.bot.z.team
195.123.246.18 bknkg.bot.z.team
195.123.246.18 bknkz.bot.z.team
104.27.167.223 countly.z.team
104.27.166.223 cp.z.team
172.67.165.198 cp3.z.team
104.27.166.223 desk.z.team
104.27.167.223 erp.z.team
104.27.166.223 erp2.z.team
172.67.165.198 exchanger.z.team
95.179.191.148 git.z.team
104.27.166.223 hrbot.z.team
195.123.233.189 imap.z.team
108.61.117.210 keitaro.z.team
195.123.233.189 mail.z.team
172.67.165.198 mmnge.bot.z.team
104.27.166.223 p1qiwi.z.team
172.67.165.198 p1tele2.z.team
104.27.166.223 p2qiwi.z.team
209.250.243.145 panel.z.team
159.89.175.80 parser.z.team
104.27.167.223 pma.z.team
104.27.167.223 q1p.z.team
104.27.166.223 qiwi.z.team
195.123.246.18 qp.hide.z.team
104.27.167.223 qp.z.team
195.123.246.18 rahkz.bot.z.team
195.123.233.189 smtp.z.team
104.27.166.223 supp1.z.team
104.27.167.223 supp2.z.team
104.27.166.223 supp3.z.team
104.27.166.223 supp4.z.team
45.32.135.107 tb.z.team
104.27.166.223 testerp.z.team
172.67.165.198 trigonastik.z.team
104.27.166.223 ts.z.team
104.27.166.223 viktor.z.team
104.27.167.223 viktorius.z.team
172.67.165.198 vs1bot.z.team
172.67.165.198 vs2bot.z.team
172.67.165.198 vs3bot.z.team
172.67.165.198 vsqp2.z.team
104.27.166.223 vsqp3.z.team
104.27.166.223 wk.z.team
45.32.73.208 z.team

Установлены пользователи поддомена git.z.team:

name Administrator username":"root"
name GitLab Support Bot username":"support-bot"
name system_admin username":"system_admin"
name Ghost User username":"ghost"
name Alexander Dyriavin username":"dyriavin"
name trigonastik username":"trigonastik"
name Floppy username":"Floppy"
name demo username":"demo"

На домене qp.z.team (и ряде других на домене 2го уровня z.team) обнаружен файл composer.lock следующего содержания:
Код:
  {
"_readme": [
"This file locks the dependencies of your project to a known state",
"Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies",
"This file is @generated automatically"
],
"content-hash": "a9ce7b1e7554dc270e3a2777841020b6",
"packages": [
{
"name": "gabordemooij/redbean",
"version": "dev-master",
"source": {
"type": "git",
"url": "https://github.com/gabordemooij/redbean.git",
"reference": "cf4f5ecf7daef98145bef8ca2c5c93f9b516be86"
},
"dist": {
"type": "zip",
"url": "https://api.github.com/repos/gabordemooij/redbean/zipball/cf4f5ecf7daef98145bef8ca2c5c93f9b516be86",
"reference": "cf4f5ecf7daef98145bef8ca2c5c93f9b516be86",
"shasum": ""
},
"require": {
"php": ">=5.3.4"
},
"type": "library",
"autoload": {
"psr-4": {
"RedBeanPHP\\": "RedBeanPHP"
}
},
"notification-url": "https://packagist.org/downloads/",
"license": [
"BSD-3-Clause"
],
"authors": [
{
"name": "Gabor de Mooij",
"email": "[email protected]",
"homepage": "https://redbeanphp.com"
}
],
"description": "RedBeanPHP ORM",
"homepage": "https://redbeanphp.com/",
"keywords": [
"orm"
],
"time": "2019-04-30T21:14:00+00:00"
},
{
"name": "monarkhov/telebot",
"version": "dev-master",
"source": {
"type": "git",
"url": "https://github.com/monarkhov/Telebot.git",
"reference": "445921e726b48483e66183fa5e6b0c97a9bc4a12"
},
"dist": {
"type": "zip",
"url": "https://api.github.com/repos/monarkhov/Telebot/zipball/445921e726b48483e66183fa5e6b0c97a9bc4a12",
"reference": "445921e726b48483e66183fa5e6b0c97a9bc4a12",
"shasum": ""
},
"require": {
"gabordemooij/redbean": "dev-master",
"php": ">=7.1.0"
},
"type": "library",
"autoload": {
"psr-4": {
"Telebot\\": "src"
}
},
"notification-url": "https://packagist.org/downloads/",
"license": [
"MIT"
],
"authors": [
{
"name": "Askold Monarkhov",
"email": "[email protected]"
}
],
"description": "Telebot Framework",
"keywords": [
"audio",
"bot",
"files",
"php",
"stickers",
"telebot",
"telegram",
"video"
],
"time": "2019-05-04T16:39:00+00:00"
}
],
"packages-dev": [],
"aliases": [],
"minimum-stability": "dev",
"stability-flags": {
"monarkhov/telebot": 20
},
"prefer-stable": false,
"prefer-lowest": false,
"platform": [],
"platform-dev": []
}

В приведенном коде интерес представляет следующий фрагмент:
Код:
"authors": [
{
"name": "Askold Monarkhov",
"email": "[email protected]"
}
],
"description": "Telebot Framework",

Аналогичное включение на домене p1tele2.z.team/composer.json

img2.png


Установлена личность разработчика под псевдонимом «Аскольд Монархов»
Github (https://github.com/askoldex/):
img3.png


Богдан Колеснев в Git Askoldex
img4.png


Youtube канал Askoldex (https://www.youtube.com/c/ASKOLDEX/):
Интерес представляют ролики с описанием систем: «QIWI панель» и «Tele2 Панель». Назначение описываемых систем очевидно.
img5.png


Страница в социальной сети «Вконтакте» (https://vk.com/askoldex).
img6.png


Ранее, указанным гражданином зарегистрирован домен monarkhov.pro, впоследствии регистрационные данные скрыты, однако, по состоянию на 16.01.2018 они были доступны:
Код:
 Domain Name: MONARKHOV.PRO
Registry Domain ID: D503300000058182940-LRMS
Registrar WHOIS Server:
Registrar URL: www.tucows.com
Updated Date:
Creation Date: 2018-01-15T20:31:41Z
Registry Expiry Date: 2019-01-15T20:31:41Z
Registrar Registration Expiration Date:
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Reseller:
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID: C215944145-LRMS
Registrant Name: Bogdan Koliesniev
Registrant Organization: Private Person
Registrant Street: Pereulok Shveinii, 3-1
Registrant City: Zhitomir
Registrant State/Province: Zhitomirskaya oblast
Registrant Postal Code: 10028
Registrant Country: WF
Registrant Phone: +380.972095301
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID: C215944146-LRMS
Admin Name: Bogdan Koliesniev
Admin Organization: Private Person
Admin Street: Pereulok Shveinii, 3-1
Admin City: Zhitomir
Admin State/Province: Zhitomirskaya oblast
Admin Postal Code: 10028
Admin Country: WF
Admin Phone: +380.972095301
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: [email protected]
Registry Tech ID: C215944148-LRMS
Tech Name: Bogdan Koliesniev
Tech Organization: Private Person
Tech Street: Pereulok Shveinii, 3-1
Tech City: Zhitomir
Tech State/Province: Zhitomirskaya oblast
Tech Postal Code: 10028
Tech Country: WF
Tech Phone: +380.972095301
Tech Email: [email protected]
Registry Billing ID: C215944147-LRMS
Billing Name: Bogdan Koliesniev
Billing Organization: Private Person
Billing Street: Pereulok Shveinii, 3-1
Billing City: Zhitomir
Billing State/Province: Zhitomirskaya oblast
Billing Postal Code: 10028
Billing Country: WF
Billing Phone: +380.972095301
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email: [email protected]
Name Server: NS1.BEGET.COM
Name Server: NS2.BEGET.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

Данные доменного регистратора.
img7.png


Из приведенных данных видно созвучие домена (MONARKHOV) и полное совпадение адреса электронной почты: [email protected].

Установлено, что гражданин р. Украина Колеснев Богдан Русланович существует, он использует псевдоним «Askold Monarkhov» и он является разработчиком торговых и финансовых систем ориентированных на рынок ПАВ.

Данные ПриватБанк.
img8.png

Данные ПриватБанк по номеру телефона.
img9.png

Сравнение удаленных данных ВК с данными ПриватБанк.
img10.png

При контакте с Колесневым — разработчиком telegram ботов и платежных панелей, под предлогом покупки и обучения работе с системой, Колесневым предоставлен доступ к своей системе посредством TeamViewer. Демонстрация экрана записана и сохранена.

Ниже приводятся снимки экрана с видеозаписи, видеозапись полностью предоставим заинтересованным лицам (они в курсе как со мной связаться).

Можно предположить, что в силу молодости и глупости Богдан Колеснев работал на два фронта, а именно непублично на Hydra как рядовой разработчик, а также на Ramm и Xasia.

Первичный контакт установлен с публично доступным Telegram аккаунтом Колеснева @monarkhov:
img12.png

На изображении отражена связь Колеснева с доменом z.team и aamm.sale.
img14.png

Топ сайтов в браузере.
img18.png

В дружную, но не очень организованную группу Колеснева, входит также Александр Дырявин. О его вхождении в группу свидетельствуют 2 факта:

пользователь GitLab на домене git.z.team: "id":40,"name":"Alexander Dyriavin","username":"dyriavin".
img19.png

В github Дырявина разработки Колеснева (Askoldex).
img20.png


Контактные данные Дырявина:

[email protected]
https://www.linkedin.com/in/dyriavin/
https://github.com/AlexanderDyriavin
https://twitter.com/adyriavin
https://free-lance.ua/users/dyriavin/
Телефон +380636735773
телеграм @dyriavin

Поиск по фото с git.z.team выдает максимальное соответствие с пользователем Вконтакте Alexander Dyriavin.

vk.com/id409148919
Город: Чернигов
Место работы: SendPulse - email, SMS и мессенджер маркетинг
Сайт: http://miro-production.store
Моб. телефон: +380679856014
Instagram: idyriavin
Место работы: SendPulse - email, SMS и мессенджер маркетинг sendpulse.com/ru/
Образование Вуз: ЧНТУ

На ip адресе 194.187.249.115 (вторая вставка countly счетчика на Hydra) находится сайт автопродаж pasaran.cc.

Сайт автопродаж pasaran.cc.
img27.png

Альтернативные домены магазина:
Зеркало сайта: pasaremos.net
TOR зеркало сайта: pasaranyq5ambvvh.onion


С доменным именем pasaran.cc по данным доменного регистратора ассоциирован адрес электронной почты [email protected]

Также на ip адресе 194.187.249.115 размещен сервис anopic.us.

IP адреса, на которых размещен сервис anopic.us: 194.187.249.115, 83.220.170.34

Сайт автопродаж: pasaran активно рекламит мессенджер LurkChat и рекламится внутри этого мессенджера, предлагая его как альтернативу Телеграм. Рассмотрим подробнее данный мессенджер.

Результаты строгого поиска с указанием действующих ботов, созданных с целью распространения ПАВ.
img23.png


Так, например бот URAL2.
img24.png


Указан сайт xlab.tv, контакты внутри мессенджера. При изучении ресурса xlab.tv получены данные по домену, в частности адрес почты администратора домена [email protected], который ассоциирован с анонимным хостингом изображений anopic.us и сервисом одноразовых записок timenote.us.

Связь с anopic.us и timenote.us.
img25.png

Связь с xlab.tv.
img35.png


В части ресурса xlab.tv, установлено, что на страницах имеется уникальный код, например функция: function getAreaListOfTheCity.
img28.png

Поиск строгих совпадений по исходному коду дает следующий результат:
5 web pages in 0.00 s.
vd24.biz
legkrim.com
legvolga.com
xlab.uno
iskylab.net

Ресурс xlab.uno ассоциирован с адресом [email protected].

Код:
 Domain Name: xlab.uno
Registry Domain ID: DB8BB90E2172840C28869BA2177B16084-NSR
Registrar WHOIS Server: whois.1api.net
Registrar URL: www.1api.net
Updated Date: 2018-04-28T06:45:38Z
Creation Date: 2018-04-28T06:45:35Z
Registry Expiry Date: 2019-04-28T06:45:35Z
Registrar: 1API GmbH
Registrar IANA ID: 1387
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +49.68416984200
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID: CD2C98E6813414022A415A67717963BBC-NSR
Registrant Name: Jeck Kruger
Registrant Organization: Jeck Kruger
Registrant Street: Bezirk Schwyz
Registrant Street:
Registrant Street:
Registrant City: Schwyz
Registrant State/Province: Schwyz
Registrant Postal Code: 6430
Registrant Country: SZ
Registrant Phone: +41.36688958531
Registrant Phone Ext:
Registrant Fax: +41.36688958531
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID: CD2C98E6813414022A415A67717963BBC-NSR
Admin Name: Jeck Kruger
Admin Organization: Jeck Kruger
Admin Street: Bezirk Schwyz
Admin Street:
Admin Street:
Admin City: Schwyz
Admin State/Province: Schwyz
Admin Postal Code: 6430
Admin Country: SZ
Admin Phone: +41.36688958531
Admin Phone Ext:
Admin Fax: +41.36688958531
Admin Fax Ext:
Admin Email: [email protected]
Registry Tech ID: CD2C98E6813414022A415A67717963BBC-NSR
Tech Name: Jeck Kruger
Tech Organization: Jeck Kruger
Tech Street: Bezirk Schwyz
Tech Street:
Tech Street:
Tech City: Schwyz
Tech State/Province: Schwyz
Tech Postal Code: 6430
Tech Country: SZ
Tech Phone: +41.36688958531
Tech Phone Ext:
Tech Fax: +41.36688958531
Tech Fax Ext:
Tech Email: [email protected]
Name Server: david.ns.cloudflare.com
Name Server: chloe.ns.cloudflare.com
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

Доменные имена, ассоциированные с [email protected]:

insculpo.net
insculpo.com
insculpo.info
insculpo.biz
sjob.info

Ресурс insculpo.net продвигает обменник exactly.vip.
img29.png


На ресурсе exactly.vip доступны файлы git, в том числе .git/config.

Содержимое файла конфигурации:
Код:
 [core]
repositoryformatversion = 0
filemode = true
bare = false
logallrefupdates = true
[remote "origin"]
url = http://jelink.net/olegdev/exactly.git
fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
remote = origin
merge = refs/heads/master
На домене jelink.net установлен git, получен доступ, установлены пользователи:
Код:
 "name":"Administrator","username":"BlackF234USON9la7s"
"name":"trigonastik","username":"trigonastik"
"name":"Ilonmaster","username":"Ilonmaster"
"name":"Galust","username":"galust"
"name":"olegdev","username":"olegdev"
"name":"Insculpo Dev","username":"insculpo"
"name":"Alex","username":"drthY"
"name":"GitLab Alert Bot","username":"alert-bot"
"name":"SadLary","username":"Sterling"
LurkChat - он же fugweb ранее.
img30.png

xjob.info и lurkchat.org на одном ip.
img31.png

Интересно, кто пригласил xlab на форум legal - LoveGeneration (главный админ).
img33.png

Еще странное совпадение. Hostname Hydra на одном сайте с хостингом картинок anopic. Второй ip очевидно неверно настроенный прокси (отдает только надпись "Домен работает !!!")
img34.png

Одинаковые никнеймы в git-ах, общие ip сервисов, разработка инфраструктуры полного цикла для сбыта наркотиков от мессенджера до моментального магазина. Примем во внимание ошибку админов гидры, которую они к их чести очень быстро спрятали, но все же, а так же объем бизнеса xlab (оптовые продажи) и их влиятельные связи в «индустрии» - приглашение от Lovegen.

В итоге: Группой разрабатывалось:

социальная сеть (Insculpo)
месенджер (LurkChat)
финтех инструменты
системы агрегации магазинов запрещенных веществ

Из чего можно сделать вывод о том, что члены группы принимали участие в разработке/поддержке backend Гидры и возможно часть найденных мной систем должны были стать тем самым Eternos.

Source: hydra.expert
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.