По словам Никитина, конкретных пользователей ищут намного реже, так как на сервере гораздо больше данных. Такие возможности есть только у спецслужб, которые используют для этого СОРМ (комплекс технических мер для доступа к мобильному и сетевому трафику), и только если пользователи обмениваются трафиком в пределах одной страны. Доподлинно известно лишь то, что модераторы, работавшие на «Гидре», перешли на работу в Kraken, а дизайн ресурса фактически повторяет дизайн почившего монополиста. Впрочем, использование этих тактик пока не принесло ни одному из ресурсов очевидного преимущества. Существующие в даркнете оценки количества пользователей и числа проведенных сделок на различных маркетплейсах серьезно различаются между собой, профессиональных же исследований пока никто не проводит в силу закрытого характера самой отрасли.
Но тогда пользователи просто перейдут в I2P, а потом — еще куда-то, и все потраченные ресурсы будут впустую. С утечками биометрии Group-IB пока не сталкивалась, потому что еще никто не понимает, как на этом заработать. Сейчас многие банки хотят ввести единую биометрическую систему, чтобы удаленно выдавать кредиты. Даркнет (англ. DarkNet — «скрытая сеть», «темная сеть» или «теневая сеть») — это сегмент интернета, который скрыт из общего доступа. Соединение в нем устанавливается между доверенными пирами (участниками) в зашифрованном виде, с использованием нестандартных портов и протоколов.
Именно это спровоцировало первую и пока единственную заметную реакцию государства. Владелец сайта не несёт ответственность https://2kn.io/mirrors.html за получение доступа несовершеннолетним лицом к информации, запрещённой или ограниченной к распространению среди детей.
По данным SearchInform, в 2020 году 58% опрошенных разработчиком российских компаний пострадало от утечек информации и 16% — от промышленного шпионажа. Более чем в 40% случаев виновниками были менеджеры по работе с клиентами, в 22% — бухгалтеры и финансисты, в 20% — менеджеры по снабжению и поставкам. 90% компаний заявили, что их ИТ-инфраструктура за время пандемии стала намного уязвимее.
До своего запуска реклама данного проекта появилась на одном из рекламных кубов в «Москва-Сити», что вызвало огромный скандал в обществе[7][8]. В декабре того же года автобус обклеенный логотипами даркнет-площадки и QR-кодом перекрыл движения на Арбате в Москве на несколько часов[7][9]. Ключевым витком последнего времени стал запрет для продающих наркотики магазинов на размещение на Kraken, который ввели Mega, Solaris и BlackSprut. По задумке авторов этой инициативы, крупные игроки должны в итоге выбрать их ресурсы, а не Kraken, который был запущен гораздо позже — в декабре 2022 года — и потому не набрал пока критической массы пользователей. Если бы серьезные дилеры отказались в итоге от Kraken, это с высокой степенью вероятности не позволило бы маркетплейсу принимать участие в битве за даркнет. Это стало следствием спецоперации немецкой полиции, которой удалось установить физическое местоположение серверов площадки и отключить их.
«Лента.ру» не поддерживает деятельность нелегальных площадок и напоминает об уголовной ответственности за приобретение товаров и услуг в теневом сегменте интернета. Наркоплощадка по продаже наркотиков Кракен терпеть работает – это новый рынок вместо гидры. В последний день мая на одном из фотохостингов, который или принадлежал «Гидре», или состоял с ней партнерских отношениях, появилось странное послание. Обожающие конспирологические расследования и теории заговоров пользователи даркнета с радостью бросилась на поиски разгадки. Параллельно по всему даркнету ходили слухи о создании маркетплейса старого типа под названием Kraken.
Специалисты, сотрудничающие с нелегальными магазинами, всерьез взялись за обеление имиджа наркомагазинов. Все новые площадки активно стараются избавиться от клейма криминальных группировок и пытаются сменить тональность отношения к ним в клирнете с ярко негативной на нейтральную. Именно с этой целью они убеждают пользователей в том, что приглашают профессиональных химиков, которые якобы следят за качеством продаваемых веществ, и предлагают покупателям много сопутствующих услуг. В январе 2023 года реклама Kraken и других наркотических платформ стала появлять в московском метро.
Подобные методы работы даже в теневом сегменте интернета поддерживают далеко не все. Отдельные аналитики и профильные Telegram-каналы высказывают мнение о том, что маркетплейсам придется отказаться от больших публичных акций, поскольку полиция и спецслужбы рано или поздно обратят внимание на них, если уже не сделали этого. Очевидное тому доказательство, по мнению даркнет-медиа, — то внимание, которое уделяет этой теме в последнее время Мизулина.
Представители всех площадок уверены, что с ними точно не повторится история, приведшая к падению «Гидры». Представитель Kraken в разговоре с «Лентой.ру» заявил, что эта площадка децентрализовала свою инфраструктуру, то есть сделала так, что у нее нет единого «рубильника», которым можно отключить весь ресурс. Об «уникальных архитектурах» говорят и представители других маркетплейсов — правда, проверить эти сведения удастся только в ходе спецоперации по их закрытию. Kraken был запущен летом 2022 года после закрытия крупнейшего даркнет-рынка Hydra. Kraken называют «преемником» Hydra из-за похожего логотипа и состава администрации сайта[6].
Они работают в том числе в крупнейших российских компаниях, и задача по их рекрутингу была достаточно сложной. При этом у каждого подобного специалиста в Kraken — своя зона ответственности, вмешиваться в которую извне строго запрещено», — заявил в беседе «Ленте.ру» представитель Kraken. Со временем маркетплейс стал крупнейшим в мире, расширив свое влияние на страны СНГ. По данным «Ленты.ру», в 2019 году за день устанавливалось более 13 тысяч закладок на общую сумму 227 миллионов рублей. По оценкам немецкой полиции, только в 2020 году на «Гидре» продали незаконных веществ на сумму 1,23 миллиарда евро.
Крупные площадки вкладываются не только в рекламу, но и в развитие представительств в обычном интернете. «Все эти действия неминуемо ведут к вводу уголовной ответственности за рекламу наркотиков, о чем раньше даже никто не говорил. И самое забавное, что наркоплощадки особо не пострадают; получат блогеры, которые считают площадки своими партнерами», — уверена создательница и владелица одного из крупнейших магазинов по продаже наркотиков.
Противостояние в конечном счете сводится к созданию альянсов, перекрестным DDoS-атакам (хотя, например, представитель Kraken в разговоре с «Лентой.ру» отрицал применение этой тактики), а также попыткам деанонимизировать конкурентов. «Такой активный охват “белой” аудитории наркоплощадками приносит свои плоды и наркодилерам. Я общался не с одним десятком продавцов, которые открыты почти на всех маркетплейсах и в Telegram, и их прибыли уже намного превысили прибыли с “Гидры”. Происходит это все по той же причине активного привлечения трафика, чем “Гидра” в последнее время вообще не занималась.
WayAway и Legal RC — два ресурса, владельцы которых объединили усилия в середине прошлого десятилетия и создали единую площадку по продаже наркотиков «Гидра». Люцифера ясно дал понять, какие цели преследует Kraken, в том числе и ударом по RuTor. Со всеми будет вестись цивилизованный диалог, но нужно понимать, что мы захватываем рынок и у нас предостаточно активов для этого», — написал Люцифер. Очевидно, что Kraken планирует продолжить политику «Гидры», то есть уничтожать любых конкурентов — другие площадки, объединяющие продавцов наркотиков.
В последние несколько месяцев названия крупных маркетплейсов, ориентированных на продажу наркотиков, стали известны даже тем, кто к психоактивным веществам (ПАВ) не испытывает никакого интереса. Причина тому — сразу несколько крупных пиар-акций, вышедших далеко за пределы даркнета. В январе 2023 года реклама Kraken и других наркотических платформ стала появляться в московском метро[10]. В ответ на это команда хакеров форума WayAway в середине января взломала платформу Solaris и присоединила его к Kraken[11]. Теперь при включении сайта даркнет-рынка Solaris автоматически открывается сайт Kraken[5].
Саму Мизулину блогер назвал бенефициаром своей отмены, после чего обвинил руководителя Лиги безопасного интернета в организации травли со стороны других стримеров. «Подобную рекламу может в своих группах или стримах ставить либо человек, который сам находится в измененном состоянии, либо марионетка в руках наркомагазинов, готовый на все ради сиюминутной прибыли», — возмутилась Мизулина. До выхода на улицы городов эти и другие крупные маркетплейсы не стеснялись активно продвигать свои бренды в клирнете.
Но такого пафоса, а особенно коллективных, заранее заготовленных пресс-релизов, я не припомню. В течение практически всего дня 7 июня главный форум даркнета оставался недоступным, как и его «зеркала», однако ближе к вечеру тысячи пользователей все-таки смогли загрузить страницу. Никитин из Group-IB утверждает, что в основном в даркнете представлены различные форумы, которые существуют еще с начала нулевых. «Там огромный пласт киберпреступного сообщества, которое оказывает услуги взлома, нелегального доступа, DDoS-атак и слива баз. У пользователей видны ник и данные о количестве проведенных сделок — это главный показатель того, что человеку можно доверять», — отмечает Никитин.
В январе стало известно что Solaris, крупный рынок даркнета, специализирующийся на запрещенных веществах, был « захвачен » более мелким конкурентом, именующимся Kraken. Его представители утверждают, что взломали сайт и базы данных Solaris 13 января 2022 года. Чтобы подготовиться к переделу рынка, в XTC приняли решение выкупить один из старейших форумов даркнета RuTor у его создателей. По некоторым данным, сделка состоялась в конце апреля 2022 года, стоимость ресурса могла составить два миллиона долларов. При этом даркнет-аналитики, рассуждающие о перспективах новых маркетплейсов, в своих публикациях даже не упоминают возможные риски, которые может создать для нелегального рынка вмешательство государства или силовых структур.
«Анонимность действительно умерла, как все любят сейчас говорить, — утверждает Артур Хачуян, CEO Tazeros Global Systems, эксперт по сбору и анализу больших данных. Но есть так называемые уровни анонимности — в зависимости от того, что и от кого вы скрываете». После критики со стороны Мизулиной Некоглай провел отдельный стрим, на котором заявил, что «резонанс вокруг его рекламы является проплаченной властями акцией с “пропагандой ненависти и прочего”» (цитата — по одному из даркнет-медиа).
«В течение следующего года-двух даркнет будет серьезно расширен в результате рекламной деятельности многих площадок, — уверен известный в даркнет-кругах аналитик, скрывающийся под ником Disputman. — На данный момент маркетплейсы вливают огромные средства для рекламы в “белой” части Telegram — она появляется в новостных ресурсах, безобидных мем-сообществах и так далее». Как удалось выяснить журналистам, организаторы акции заплатили за старый МАЗ 100 тысяч рублей, причем наемный водитель, не знавший истинного смысла происходящего, не только сам его купил на присланные деньги, но и зарегистрировал на себя. После этого он должен был за 15 тысяч рублей в день рассекать по просторам Московской области, но, почуяв неладное, отказался. В итоге акция стала еще более масштабной, тем более что, по утверждениям ряда Telegram-каналов, посвященных даркнет-тематике, силовики начали убирать автобус только через час. За это время приехавшие на нем молодые люди успели пофотографироваться на память и сжечь несколько фаеров.
При этом ни один из узлов ничего не знает ни о предыдущей, ни о следующей точке в маршруте данных. Отдельно от главы Лиги безопасного интернета досталось блогеру Некоглаю (настоящее имя — Николай Лебедев), которого в конце ноября выдворили из России за пародию на российского военного. Вернувшись в родную Молдавию, Лебедев начал появляться на стримах в футболке с логотипом одной из площадок, утверждая при этом, что на самом деле он рекламирует одноименный файлообменник. По словам Эрика Джардина, который является руководителем отдела исследований киберпреступлений в Chainalysis, маркетплейсы превращаются в провайдеров финансовых услуг для киберпреступников. Согласно Карлу Стейнкампу из консалтинговой фирмы по кибербезопасности Coalfire, наличие таких сервисов стимулирует злоумышленников совершать новые киберпреступления, связанные с цифровыми активами.
То есть, IP-адрес — это единственная информация, доступная в данном случае ФСБ, МВД и всем желающим. «Были прецеденты — например, когда математик Дмитрий Богатов хостил у себя выходную ноту Tor. В итоге кто-то совершил неправомерные действия внутри Tor-сети, и к нему пришли спецслужбы, потому что его IP-адрес был последним, по данным провайдера», — вспоминает эксперт. Основная причина, по которой только что увидевший свет Kraken вызывает беспокойство других, объективно более крупных маркетплейсов, в том, что Kraken позиционирует себя наследником «Гидры». Этот тезис стал краеугольным камнем пиар-стратегии площадки, именно на его поддержание направлено серьезное финансирование. Однако пока работе маркетплейсов ничего не препятствует, они продолжают свою экспансию в клирнет.
Сам размах происходящих в даркнете событий и выход наркоплощадок в клирнет и физический мир говорят о том, что государство пока не может решить проблему наркоторговли — впрочем, пока с этим не справилась ни одна страна в мире. Наркодилеры смогли выжить и приспособиться даже к мгновенному отключению ключевого и по сути единственного игрока. Стратегические оценки аналитиков сводятся к тому, что противостояние пяти крупнейших наркоплощадок будет продолжаться и дальше.
Market сначала вышел в лидеры, достигнув более 65% доли рынка, но после DDoS-атаки в июне его позиции ослабли, и клиенты начали переходить к конкурентам – Mega Darknet Market и Blacksprut Market. В настоящее время не существует явного лидера среди онлайн-рынков темной паутины. «Ну пал и пал, — написал о RuTor автор одного из Telegram-каналов, посвященных употреблению запрещенных веществ.
Американский журнал Vice заявил, что даркнет-рынок Solaris атаковал Kraken, RuTor, Mega и прочих конкурентов, воспользовавшись услугами российской хакерской группировки Killnet[4]. В ответ на это команда хакеров форума WayAway в середине января взломала платформу Solaris и присоединила его к Kraken[5][4]. Согласно исследованию, главным способом привлечения бывших клиентов Hydra на подпольные маркетплейсы является предоставление услуг по отмыванию криптовалюты и фиатных денег. Chainalysis сообщает, что Mega Darknet, Blacksprut и OMG начали предлагать услуги по отмыванию денег в криптовалюте, чтобы привлечь бывших пользователей Hydra.
Его создатели предпочли не брать рынок тепленьким сразу после падения «Гидры», а сначала подготовить базу для выхода на широкую аудиторию. Все, что нужно сделать сейчас независимому СМИ, — это в течение года объяснять читателям, что им нужно поставить клиент I2P с распределенным DNS, который невозможно заблокировать. Есть также технология DPI для глубокого анализа и фильтрации пакетов трафика [5]. Ее очень дорого внедрять, но если это сделать, провайдеры смогут распознавать и блокировать весь подозрительный трафик.