Устроили темную

Интернет таит в себе немало опасностей. Одна из них — анонимная сеть TOR, где можно приобрести наркотики, оружие и инструкции от хакеров и мошенников. Правоохранительным органам приходится долго идти по виртуальным следам преступников. «Лента.ру» узнала, как устроен российский сегмент «темного» интернета и как с ним борются спецслужбы.

Первые русскоязычные сайты в зоне .onion сети TOR появились еще в 2012 году, после распространения в рунете стабильно работающих версий специального TOR-браузера. Как правило, это были форумы с довольно специфическими темами для общения. Для сравнения: в США в то время уже вовсю функционировала незаконная торговая площадка Silk Road с годовым оборотом в 15 миллионов долларов. Однако с ростом популярности в Рунете криптовалюты Bitcoin в TOR постепенно начали мигрировать преступники, в том числе торговцы оружием и наркотиками. Их переход в интернет ускорила и активная борьба правоохранительных органов с наркоманией. По статистике МВД, количество осужденных за хранение и распространение наркотических веществ в крупном и особо крупном размере возросло с 34 тысяч человек в 2012 году до почти 45 тысяч в 2014 году.

Именно поэтому многие преступники предпочли вести свой незаконный бизнес в интернете. Туда же подтянулись их клиенты. По данным TOR Metrics, Россия сегодня занимает второе место в мире после США по числу пользователей «теневого» интернета. Ежедневно в анонимную сеть выходят 238 тысяч россиян, что составляет 11 процентов общемирового числа пользователей даркнета.

К концу 2014 года в российском сегменте TOR сформировалась «большая четверка» наиболее посещаемых пользователями анонимной сети сайтов: три конкурирующие между собой торговые площадки и форум для свободного общения. Вскоре все они ввели обязательную регистрацию пользователей, а затем довольно жесткие правила, за нарушение которых посетитель сайта может быть навечно заблокирован.

Сегодня две площадки практически не функционируют, еще одна стала наиболее посещаемым нелегальным маркетом российского «темного» интернета с аудиторией в десятки тысяч ежемесячных пользователей.

Ресурсом управляют сразу несколько модераторов, однако изначальным создателем и главным администратором остается человек, скрывающийся под ником Darkside. Он известен за пределами России, и в 2014 году даже дал большое интервью журналу Wired.

Преступник рассказал, что изначально вдохновлялся успехами Silk Road, откуда почерпнул идеи анонимности и оплаты товаров биткоинами, и поведал о своей нелюбви к обсуждению политических и социальных проблем, поскольку они неизбежно привлекают излишнее внимание государства и общества. Именно поэтому на его сайте запрещены любые подобные дискуссии.

По мнению Darkside, площадка до сих пор функционирует лишь потому, что ориентирована исключительно на русскоязычных пользователей. В противном случае ее давно бы закрыли американские спецслужбы. К примеру, в 2014 году специалисты из ФБР и 16 европейских стран провели спецоперацию «Operation Onymous». Они устроили массовые DDoS-атаки на ряд ресурсов даркнета и смогли вычислить IP-адреса 17 владельцев торговых площадок, которые затем были арестованы.

Администратор российской площадки зарабатывает на ней около 250 тысяч долларов в год. Не самый высокий для черного рынка доход объясняется специфической моделью получения прибыли. Вместо того чтобы взимать комиссию с каждой сделки, как это делали создатели Silk Road, Darkside собирает с продавцов ежемесячную плату за возможность реализовывать запрещенный товар. Цены варьируются в зависимости от вида продаваемых наркотиков и их востребованности среди покупателей.

Сама площадка по внешнему виду напоминает форум, где у каждого продавца есть своя ветка-«магазин» с описанием доступных товаров, списком контактов и отзывами клиентов. Крупные «магазины» покупают рекламные баннеры в шапке сайта. Наиболее ходовым товаром считаются наркотические вещества. Все товары оплачиваются биткоинами, а при сомнениях в честности продавца за дополнительную плату нанимается гарант сделки, который в случае ее провала возвращает средства покупателю.

После переписки и оплаты хозяин «магазина» в условленном месте оставляет специально сделанную «закладку». Некоторые продавцы работают только с крупными партиями наркотиков и предпочитают общаться с клиентами через почтовые сервисы с использованием PGP-шифрования или Jabber-клиента со встроенной OTR-защитой. К таким мерам чаще всего прибегают трансграничные наркоторговцы, отправляющие в Россию оптовые партии веществ из Европы, Таиланда, Китая или Средней Азии.

Администрация следит за сделками и не допускает кражи средств. Особо злостных нарушителей модераторы лишают статуса продавца, что автоматически ведет к закрытию «магазина» и потере клиентской базы.

Свои услуги на площадке также предлагают специалисты по обмену и выводу денежных средств и финансовому мошенничеству. Большинство за определенный процент от суммы может перевести деньги из биткоинов в рубли, доллары, евро или юани, а затем отправить их на указанный клиентом или специально созданный банковский счет. Популярностью пользуются оформленные на подставное лицо пластиковые карты, стоимость которых начинается от 10 тысяч рублей, а также базы взломанных аккаунтов платежных систем Qiwi и PayPal.

Существует на сайте и раздел с советами и различными «гайдами» по скрытому провозу наркотиков через границу, по выводу и обналичке денег и другим преступным темам.

На другом популярном ресурсе российского даркнета — форуме для свободного общения — пользователи делятся опытом в различных способах мошенничества, а в ветках обсуждения публикуются инструкции по изготовлению самодельных взрывных устройств, наркотических и отравляющих веществ, организации хакерских атак и шифрованию в сети.

Есть на сайте и свои продавцы, предлагающие платные «гайды» по краже кредитных карт, подделке денежных купюр и документов, отслеживанию мобильных номеров или взлому сайтов и профилей в соцсетях. На форуме также можно приобрести наркотики, оружие и взрывчатку. Некоторые продавцы оказывают нелегальные услуги на протяжении нескольких лет. Один из них известен как крупнейший в российском даркнете поставщик нелегального огнестрельного оружия. У преступника есть аккаунты на более мелких торговых площадках и собственный сайт в легальной сети, где незаконно продаются пневматические и травматические пистолеты.

В TOR он в основном занят нелегальным сбытом боевых пистолетов, автоматов, гранат и взрывчатки. Судя по переписке с пользователями и предложениям поддельных украинских паспортов, оружие он приобретает в зоне украинского конфликта, а затем перепродает с наценкой. Цены на пистолет Макарова у него начинаются от 300 долларов, ТТ в среднем обойдется в 450-500 долларов, автомат Калашникова — в 750-1000 долларов, минимум столько же стоят иностранные модели пистолетов. Продавец обычно указывает, что не знает историю незаконно продаваемого оружия и его предыдущих владельцев. «Чистый ствол» у него стоит намного дороже, в среднем 1500-3000 долларов.

Оформившие и оплатившие заказ клиенты обычно получают нелегальное оружие почтой по частям. Для жителей Москвы, Санкт-Петербурга и ряда других крупных городов есть вариант подобрать уже готовую «закладку».

В управлении ФСКН России по городу Москве «Ленте.ру» рассказали, что схемы бесконтактного распространения запрещенных веществ сегодня занимают значительную долю в сфере незаконного оборота наркотиков.

При этом наркосбытчики все чаще используют интернет-сервисы: общаются через мессенджеры Viber, WhatsApp и Telegram, социальные сети «Одноклассники», «ВКонтакте», Facebook и Twitter. Особой популярностью пользуются различные системы анонимайзеров, в том числе TOR и VPN. Для перевода денежных средств применяются электронные платежи WebMoney, QIWI и «Яндекс. Деньги».

«Именно поэтому противодействие наркопреступлениям, совершаемым с использованием сетевых ресурсов и IT-технологий, а также незаконной рекламе и пропаганде наркотиков в интернете является одной из приоритетных задач, стоящих перед органами наркоконтроля», — пояснили в ведомстве.

Борьба с распространением наркотиков в интернете включает получение и проверку информации о сетевых ресурсах, предлагающих приобрести наркотики, в том числе ставшей известной по обращениям граждан.

Только за 2015 год Управление ФСКН России по городу Москве проверило около двухсот сетевых адресов, предположительно причастных к незаконному обороту наркотиков; информация о некоторых сайтах направлена в Роскомнадзор для блокировки доступа. Ведется оперативно-разыскная деятельность по выявлению и пресечению деятельности организаторов интернет-наркобизнеса.

Специалист по анализу защищенных информационных систем международной компании по расследованию киберпреступлений Group-IB Илья Сафронов рассказал «Ленте.ру», что, в отличие от России, спецслужбы многих стран мира не всегда понимают масштабы проблемы.

«Они не осознают, что в TOR существует множество площадок по продаже оружия, наркотиков и инструментов для финансовых махинаций. Более того, эта тема практически не исследовалась экспертным сообществом», — объясняет он. У отечественных правоохранительных органов, по мнению эксперта, существуют эффективные методы поимки преступников в даркнете.

Правда, вычислить злоумышленников в TOR — дело весьма небыстрое. Сначала за подозреваемым следят в сети, параллельно отрабатывая круг его общения и клиентскую базу. Иногда уже на этой стадии в действиях преступника удается найти ошибку, которая выводит оперативников на его реальный IP-адрес. После этого его местоположение легко устанавливается, и остается только провести задержание.

Преступников в TOR ловят и с помощью подставных ресурсов, форумов и ссылок. На них размещают изображения и видео, часть которых располагается в другой доменной зоне — например .com или .ru. Картинки открываются вне TOR-браузера, и полицейские сразу узнают настоящий IP-адрес злоумышленника.

Борьбу с финансовыми мошенниками ведут с помощью банковских серверов. Как только подозреваемый заходит в украденный аккаунт или электронный кошелек, на сервере начинают последовательно замедлять исходящий трафик. Несмотря на используемое преступником защищенное соединение, такие же задержки отобразятся и в его шифрованном трафике — так можно доказать, что именно он совершил преступление.

Уязвимы преступники и в момент вывода денежных средств, поскольку для этого они обычно обращаются к специально обученным людям, вместо которых под прикрытием могут работать сотрудники правоохранительных органов. «Однако все вышеперечисленные случаи крайне индивидуальны, и силовики каждый раз должны искать слабые стороны конкретного подозреваемого», — резюмировал Сафронов.

Владимир Тодоров