Быстрые расследования. QualityNetwork
@osint_mindsetВнимание! Расследование представляет только исторический интерес, поскольку упомянутые лица в текущий момент пресекают нелегитимную активность и сотрудничают с правоохранительными органами.
Attention! The investigation was left only for historical interest, since the persons mentioned are currently blocking illegitimate activity and cooperating with law enforcement agencies.
История этого кейса началась с подозрительных запросов в логах сервера. Отслеживание их происхождения привело к множеству IP-подсетей, на первый взгляд не связанных. Но поверхностный поиск показал, что за всеми сетями стоят одни и те же или знакомые люди, так что было решено углубиться. Результаты ниже.
Собираем уже известное
Самой частотной организацией в описаниях подсетей из WHOIS оказалась QualityNetwork. По этому названию в Сети быстро нашлись относительно свежие (2018) упоминания в связи с DDoS [1], [2].
Из отчёта можно узнать, что некий Трусов Илья Игоревич / iluxa85 владеет абузоустойчивой инфраструктурой для продажи прокси/VPN. Среди названий подсетей фигурируют QualityNetworks, Region40, Depo40, а сервера размещены в Kaluga Data Center Depo, Global Layer, GigeNET и UGB Hosting.
Depo40 - давно и широко известный источник DDoS, базирующийся в Калуге и принадлежащий тому же Илье. Cведения об этом можно найти с 2016 года [1], [2], [3]. За прошедшее время бизнес, очевидно, хорошо вырос.
Также упоминаются: предположительный партнёр Ильи, Алексей Филиппенко, который создаёт компании под новые диапазоны, и владельцы UGB Hosting -- Roman Jevstafjev, Jevgeni Fanfora, Dmitri Kostenko.
Ещё в отчёте можно почерпнуть, что геоинформация о подсетях Трусова в RIPE просто подделывается, чтобы обманывать GeoIP фильтры. На абузы провайдер реагирует ровно с той оперативностью, которой достаточно, чтобы клиенты закончили свои DDoS-атаки. И всё это легальный бизнес, зарегистрированный изначально в Эстонии, а сейчас указывающий контактный адрес на Сейшелах.
Сайты продажи услуг:
Домены email из контактов whois -- quality-network.eu, atomohost.com, pinspb.ru, leadertelecom.ru, qualytynetwork.tech. Другие сайты: billingproxy.net, best-proxy.ru, depo40.ru.
Имея всю эту информацию на руках, попробуем копнуть поглубже.
Из Эстонии в Калугу
Начнём с источника данных, уже рассмотренного коллегами Qurium -- эстонского сайта teamkik.ee. Страничка компании напрямую выводит на контактное лицо, что даёт нам ещё три связанных компании: FineGroupFinance OÜ, FineTransit OÜ, IPTransitEE OÜ.
Упоминания этих юрлиц без труда находятся в тех же автономных системах, в которых располагаются IP QualityNetwork. Что характерно, рядом с российскими "транзитными" подсетями -- американский VPN-провайдер и немецкий хостинг DediPath.
Контактные данные: Ilia Trusov, 18.03.1985; телефоны +795331000XX, 33100064, email: iluxa85@inbox.ru. На счёт года своего рождения не врал, как видим. А тот же номер телефона при желании можно найти в контактах в RIPE.
Пробуем поискать по телефону: из открытых источников, а точнее, Telegram-бота @TlgrmChckBot, сразу узнаём, что:
1) Оператор связи - ООО "Т2 Мобайл". Калужская область. Это прекрасно матчится с упоминанием калужского дата-центра ранее.
2) К номеру привязан Telegram-аккаунт @ilyatrusov. Сомнений в достоверности теперь точно нет.
3) Также нашлась привязка номера к человеку/адресу: Филиппова Марта Сергеевна; Калуга, ул. Тульская, д. 103, кв. 28.
4) Проверяем через того же бота аккаунт в WhatsApp -- там есть фотография
Пока что кажется, что Трусов действительно из Калуги. А как насчёт его партнёра, Филиппенко?
Через Google связка фамилии, имени и названий организаций из Whois выводит на сервис Endole, согласно которому Алексей владеет компаниями Blockchain Solutions, Fitz и Silverstart.
Кроме того, на него зарегистрирована AS59924 Simplit LLC, в которой есть подсети QualityNetwork, а также Peterburg Internet Network ltd -- в отчёте Qurium это компания приводилась как пример источника подсетей для трансфера в Эстонию.
Там же есть подсеть IPv6 с индивидуальным description Trusov Ilya Igorevich -- кажется, кому-то сильно не хватало внимания в детстве.
И если этой информации ещё не достаточно, то указанные контактный телефон и адрес нас однозначно приводят к Калуге и ящику на quality-network.eu, который в данный момент убран из Whois, но остался в истории в других сервисах:
Контактные данные: Alexey Filippenko, телефон +793075500XX, 248010, Kaluga, ul. Moskovskaya, 258.
У ipinfo.io есть своя база хостингов, контактов и сайтов. Наш случай не исключение - для AS59924 указан сайт simplit.ru. Только вот расположен он в другой автономной системе, AS200557 REGION40, уже знакомой нам... и там этот сайт также указан контактным.
Вишенка на торте -- на одном IP с simpit.ru хостится hinetinternet.com, официальный сайт провайдера HiNet. Прибавим к этому контакты Алексея Филиппенко у подсети Hinet на скриншоте выше и выдвинем гипотезу: провайдером интернета в Калуге и бизнесом по продаже прокси владеют одни и те же люди.
Социальные связи
Попробуем ещё точнее локализовать связи между Трусовым и Филипповым.
По нику iluxa85 находится профиль ВК, который принадлежит Илье Трусову -- кажется, случайных совпадений здесь быть не может.
Для точности можем сравнить фотографии. Кстати, если бы мы загрузили фото из WhatsApp в findmevk.com, то первым же совпадением был этот профиль.
Работает Илья в HiNet, что прямо указано на странице.
В друзьях находится Алексей Филиппенко, который тоже работает в HiNet. С незапамятных времён в его имени ВК остался ник n1ghtw0lf, при быстром поиске по которому мы вновь выходим на Simplit. По состоянию на 06.06.2011 он был там разработчиком и указывал email a.filippenko@simplit.ru.
Где ещё можно увидеть социальные связи? В выписках ЕГРЮЛ, которые дают данные по руководителям и связанным компаниям.
На официальном сайте находим контакты: ООО "РЕГИОН40", там же указаны ОГРН 1114028001515 и ИНН 4028048514. Без особых сложностей по этим номерам находится профиль компании:
К списку причастных добавляется некий Петухов Филипп Олегович. А если посмотреть связанные предприятия и их руководителей, то появляются ООО "Хайнет", Клочкова Марина Викторовна и Извеков Владимир Алексеевич.
Наибольшей долей в обоих компаниях владеет Трусов. А в "Хайнет", которая зарегистрирована 10.06.2019, у него и вовсе 90%.
Итого: Алексей и Илья -- настоящие, не фиктивные владельцы подсетей. И не просто знакомы друг с другом, но и имеют "белый" бизнес в виде интернет-провайдера. А между делом предоставляют прокси и абузоустойчивые хостинги, чего, кажется, совершенно не стесняются.
Для самостоятельного изучения
- Принадлежала ли компания Simpit Филиппову?
- Какое отношение к QualityNetwork имеет Simplexhost?
- Как связан Трусов с компаниями PINspb и UGB Hosting?
Внимание! Расследование представляет только исторический интерес, поскольку упомянутые лица в текущий момент пресекают нелегитимную активность и сотрудничают с правоохранительными органами.
Attention! The investigation was left only for historical interest, since the persons mentioned are currently blocking illegitimate activity and cooperating with law enforcement agencies.