Они вам не новости!
@panteneБлагодаря кинутой ссылке, моё внимание привлёк сайт inright.ru - Информационное агенство InterRight.
После некоторого изучения стало очевидно, что содержание новостей на этом портале было весьма сомнительным - от оскорбительных и явно заказных статей до абсолютно бредовых. В отличие от сайтов шуточных новостей типа samoeglavnoe.pro, которые подписывают, что являются развлекательным ресурсом, у этого сайта в футере находился номер свидетельства на регистрацию СМИ. Да и помыкавшись по разделам, я так и не нашёл кнопку добавления новости, только для отправки почтового сообщения.
Разумеется, можно было бы отправить письмо и узнать из рук владельцев, прав ли я, какие расценки на ненастоящие новости и так далее, но почему бы не покопаться? Итак, я приступил к изучению сайта, взяв на вооружение подручные инструменты.
Мелкие детали уже выдают несовершенство сайта и дают зацепки для продолжения поиска: мы видим подпись Designed by Messir® 2010 c опрометчиво указанным почтовым ящиком miniwe@mail.ru, видим копирайт от 2016 года (во время написания этого текста заканчивается 3 месяц 2017 года), записываем номер свидетельства Эл №ФС77 - 67032 с припиской перед ним некоего Волошина П.В. Перепроверяем наши догадки и смотрим наличие ресурса в официальном реестре СМИ - результатов нет!
Номер свидетельства фейковый, значит, теория подтвердилась. Покопаем дальше!
Переходим к поиску по ящику miniwe@mail.ru - и вот он, Виталий Дрюков, Сербия, 28 лет, разработчик на JavaScript [1, 2, 3]. В резюме ожидаемо видим навыки web-разработки и адреса сайтов как результаты, среди которых есть и новостные, целый список (кроме этого в интересах СЕО-оптимизация и продвижение сайтов). Проверяем случайный сайт из указанных - newspull.ru уже обладает реальным свидетельством.
Видим ссылки на СМИ в текстовом резюме на Dropbox: petrogazeta.ru - свидетельство настоящее, tar-tass.ru - свидетельство... а где оно?. На сайте ТАР ТАСС утверждается, что
Новостная служба TAR TASS создана некоммерческой и аналитической организацией "NAVonline" в конце 2012 года
но, немного напрягшись, мы понимаем, что это игра на восприятии названия "ИТАР-ТАСС" - широко известного информационного агенства, которое было переименовано просто в ТАСС в 2014 году и имеет официальный сайт по адресу tass.ru, а этой новостной службы мы не находим. Падажжи ебана!^W^W
Что же у нас получается? Мы видим, что некий разработчик участвует в создании сайтов фейковых и более-менее правдоподобных новостей (или участвовал?). Мимоходом, кстати, замечаем, что на всех трёх сайтах есть рекламная ссылка на CompromatWiki - вот уж где разгуляешься на создании случайных текстов! Есть повод вернуться к остальным сайтам и просмотреть их внимательнее...
На сайте Петрогазеты мы видим фамилию Волошин - да, точно, она была на первом сайте! Действительно, Павел Волошин - главный редактор Петрогазеты - указан владельцем (или кем?) InterRight. Смотрим ещё: как на TAR TASS, так и на NewsPull руководителем проекта в контактах является тот же Сергей Плотников, что и в Петрогазете. Пожалуй, тут уже нет сомнений в том, что все сайты связаны не просто разработчиком, а едиными владельцами.
На минутку отвлечёмся - зачем подобное кому-нибудь может понадобиться? Причины банальны - это заработок на рекламе, взаимораскрутка сайтов перекрёстными ссылками, снова заработок на рекламе, заработок на фальшивых новостях, а возможно даже и целенаправленное поднятие некоторой темы в информационном пространстве.
Кстати, насчёт раскрутки. Информации по СЕО сайтов в Сети полно, особо и искать не надо. Вот, например, сделаем запрос по inright.ru в Semrush. По результатам видно, что уникальности практически ноль, домен "трастовый", то есть, давно проиндексированный и помеченный в поисковиках как доверенный. По этой причине подобным сайтам можно тупо парсить другие сайты и выдавать совершенно не уникальные тексты, находясь в нормальном месте в поисковой выдаче.
Ладно, потеоретизировали и хватит. Ещё покопаемся немного, только разложим в голове всё по полочкам.
У нас есть новостные сайты, не у всех есть свидетельства, за ними стоят одни и те же люди... Надо это где-то записать. Конечно, можно вести просто записочки в блокноте или piratepad.net, но сложную инфу лучше зарисовывать в виде mindmap-схем, чтобы можно было просто запомнить связи и объекты:
Ну и прикинем что ещё можно сделать. Набросаем такой небольшой TODO-списочек.
- Поискать владельцев сайтов
- Посмотреть на остальные сайты в резюме Дрюкова
- Пробить информацию по доменам
- Изучить подробней сайты (исходный код, брут директорий)
Ну-с, приступим. Уже первые поисковые запросы по Волошину выдают его профиль в ВК:
Профиль не похож на фейковый, есть даже подозрение на лепрозависимость. В контактах видим уже известный нам Инрайт, а также один из порталов в списке TODO - Mosmonitor (группа в ВК, твиттер). Контент, надо сказать, трешовый.
А в контактах группы Московского монитора в ВК мы видим... Уже знакомого нам Сергея Плотникова! Какое совпадение!
Его страница уже смахивает на фейк: на стене репосты из ЖЖ, в котором репосты из тех самых Мосмонитора и Петрогазеты...
Видим, кстати, что Плотников подписан генеральным директором ООО "НЬЮС ПУЛ" в Саратове. А чем чёрт не шутит, давайте поищем такую фирму?
Ну и дела, действительно! Быстро через Google по названию выходим на фирмы "Ньюс Пул" и "Ин Таймс", их учредителями являются уже знакомые нам два лица, по 5 тысяч в уставный капитал.... и можно официально генерить потоки фейковых новостей!
Ладно, с ними всё ясно. Пройдёмся по другим векторам.
Открываем инструменты разработчика (F12) на главной странице inright.ru в браузере... и что мы видим? В глаза сразу бросается куча ошибок в консоли, а у меня, надо сказать, стоит расширение uMatrix для гибкой настройки запросов с одного сайта на другие (для запрещения, в общем). Получается, сайт много куда стучится, но обычно это всякие отслеживающие посещение и действия жучки вроде яндексовских и гугловских или виджеты соцсетей... Но тут явно есть и что-то другое!
Видим два очевидно выделяющихся сайта: confuz.ru и starguard.ru, причём запросы ресурсов на первый выглядят так, как будто исходный код сайта скопировали с него, перенесли на Инрайт и забыли поправить ссылки!
Ну и что, вы удивитесь, что этот сайт - тоже новостной портал?!
Здесь мы уже видим новые лица в контактах - Главный редактор: Станислав Воробьев, Обозреватель по экономике: Михаил Хакимов, Специальные корреспонденты: Максим Каблуков, Марта Валиева, Коммерческий директор: Паша Велиев. По-хорошему, надо бы и их нанести на схему выше, и проследить какие сайты записаны на них... но отложим это.
Аналогично и с сайтом Старгуард. У него даже указан тот самый известный нам автор - "Designed by Messir®"
Кстати говоря, у сайта в футере есть ссылки на другие уже известные нам. Среди них есть ещё один - nuus.ru.
Честно говоря, у меня такое же выражение лица как и у мужчины на картинке выше. Не удивляюсь, если за счет фейковых сайтов новостей, связанных друг с другом, вообще формируется повестка дня по многим вопросам, форсятся отдельные темы и личности и так далее.
Немного отступая назад - всю накопленную нами инфу хорошо бы сводить в одно место. Есть и специальные программы для этого, вроде Maltego. Вообще говоря, пока что мы не использовали автоматизированные средства сбора данных, так что то что накопилось надо вбивать руками... Впрочем, ладно. Вот что получится в Maltego на текущий момент:
Я даже попытался указать работников из контактов пары сайтов... Оказалось, что не зря! И в Старгуарде, и в Мосмониторе указана одна и та же Марта Валиева, в то время как остальные люди разные. Что ж, такое положение вещей вполне правдоподобно для журналистов.
Ладно, что-то мне наскучило возиться со схемами. Да и вообще что-то делать руками. Давайте проавтоматизируем, что ли? Возьмём, например, dirsearch, и пройдёмся им по Инрайту. Так, всовываем URL, указываем расширение php и понеслать....
О! Есть результаты. Первый самый банальный - inright.ru/admin. Конечно, тут стоит вход по логину-паролю, но мы видим эпичные notes для идиотов - указание айпишника по которому осуществляется "администрирование системы". Проходим, и... понимаем, что это консоль хостинга Hetzner. Пожалуй, мы это могли бы понять и сразу, пробив айпишники. Займёмся этим после брута директорий.
Вторым результатом оказался не столь очевидный inright.ru/i.php. Мало того, что это чувствительная информация, благодаря которой можно точно понять каким уязвимостям может быть подвержен сервер, так она ещё и выдала название пользователя на хостинге! Нет, вы только посмотрите - mosmon, именно он, уже найденный нами "Мосмонитор". Наверняка сайты даже хостятся рядом друг с дружкой, а не просто принадлежат одним людям.
Так, ладно, с брутом ясно, давайте пройдём информацию по адресам сайтов. Честно говоря, я сначала подумывал сделать это средствами Maltego, но получить нужную информацию там не вышло. Также я посмотрел в сторону средств для пентестинга, которые собирают всю возможную информацию, но там не оказалось интересной мне, только данные по конкретным портам и уязвимости системы (Sparta). Но взламывать я ничего не собирался, так что оставлю рассмотрение подобного на читателя.
В общем, в итоге я написал небольшой bash-скрипт, который делает whois имени сайта, получает его IP с помощью dig и запрашивает информацию по полученным IP через curl-запрос к сервису ipinfo.io.
Получился длинный такой текстовый документ с разными данными, среди которых мы видим уже знакомое нам юрлицо "Ньюс Пул" (LLC "News pull"), указанное в качестве организации регистратора для уже известных нам сайтов. Но видим и ещё одно! Некое Obshchestvo s ogranichennoj otvetstvennostyu "LID" (ООО "ЛИД"?)... Мы же знаем, что с этим делать, верно?! Гуглить!
Только подождите, вкратце поясню, что можно делать с остальной информацией. Часто бывает указано физлицо-регистратор - поле person в whois, но наши ребята-то жжёные, скрыли эту информацию. Ещё одна важная вещь - хостинг. У шести сайтов мы видим один и тот же уже упомянутый Hetzner... Совпадение?! Гхм...
Так, при запросе по организации гугл, к сожалению, при прямом запросе не дал релевантных результатов (да-да, так бывает, он попытался транслитерировать слова и в итоге нашёл самое частое упоминание обычных слов "общество с огранниченной ..."). Зато Яндекс учитывает возможность прямого поиска по таким словам! Смотрим:
- Информация по starguard.ru
- Информация по kubandaily.ru (да, это тоже новостной сайт!)
- ...и топ-5 сайтов организации, в которых ещё 3 новых сайта новостей!
Уф. От этого уже начинаешь уставать... Да, а почему бы нам не поискать все сайты организации в каком-нибудь регистраторе доменных имён, наверняка же это индексируется? И да, верно, посмотреть можно, например, здесь.
Вы удивлены? Я не очень. Даже усталость накатывает от предполагаемого количества информации для анализа и новых отсылок на этих сайтах... Впрочем, если кому-то ещё интересно, то можете продолжить, почти полную схему Maltego я выложил здесь - можно покрутить, повертеть, дописать.
В общем, как показывает практика, не нужно быть семи пядей во лбу, чтобы раскопать что-то значительное в незаметных вещах. Достаточно подручных инструментов и чутка знаний о том как что работает.
Да, а какие же выводы можно сделать из самой этой истории с новостями? Пожалуй, выводы я оставлю всяким Навальным. Из одной и той же информации можно извлечь совершенно разное... Но это уже другая история.