Размещаю на память статью о продаже Рутора, буду на нее ссылаться, т.к. первоисточник закрыт для публики.

Зверёк с зашифрованным посланием

Ближе к вечеру 11 мая пользователи форума RuTor получили от маркетплейса Solaris необычную рекламную рассылку. Помимо самого рекламного текста в неё было вставлено загадочное послание: «Идут страшные перемены, о которых знают единицы. Шифрованное послание оставит зверёк, который просил передать [эту] информацию всем в установленный срок».

Какого-то активного обсуждения эта рассылка не вызвала. Но оно и не удивительно, ведь послание было скрыто за рекламой, и многие даже не стали открывать рассылку полностью. Однако уже через час, в 16:55 (здесь и далее — время по МСК) зверёк, о котором шла речь, объявился. White Dante — заместитель администратора форума, более известный под ником WD — создал в разделе с новостями новую тему с названием Canary и поместил туда сообщение:

Hash: SHA512

This is my canary. If it is not updated within 3 days, consider me dead. youWD

11.05.2022

-----BEGIN PGP SIGNATURE-----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=xMzZ
-----END PGP SIGNATURE-----

Текст можно перевести как «Это моя канарейка. Если она не будет обновлена в течение трёх дней, считайте меня мёртвым. Ваш WD. 11.05.2022». Ту часть сообщения, которая была зашифрована PGP-ключом, мы проверили, и можем подтвердить, что исходный текст действительно оставил админ, а не кто-то другой:

Если сопоставить рассылку маркетплейса и публикацию админа, то можно сделать очевидный вывод, что WD решил через Solaris предупредить всех пользователей RuTor о неких переменах, решения по которым уже приняты небольшим количеством лиц, и которые будут страшны для огромного числа пользователей. Учитывая, что разница между посланиями составляла около часа, можно однозначно утверждать, что этот ход был спланирован заранее.

Не вполне ясно, что WD мешало опубликовать это предупреждение прямым текстом. Однако его выбор «зверька» говорит о многом — у некоторых американских компаний, которые оказывают услуги связи, есть негласное правило о публикации «свидетельства канарейки». Изначально этот термин пошёл от шахтёров — на глубине есть риск отравления опасными газами, и шахтёры брали с собой канарейку, так как она ощущала воздействие газа существенно раньше человека, и её гибель служила сигналом об опасности. Власти США, в свою очередь, могут обязать компании следить за пользователями, но запрещают им об этом сообщать. Один из законных способов всё же проинформировать их — это заранее опубликовать «канарейку», где бы говорилось об отсутствии слежки, и удалить её, когда слежка начнёт вестись. Из этого напрашивается вывод, что администрации RuTor было запрещено сообщать о «страшных переменах», но WD нашёл элегантный выход из такого положения, формально ничего не нарушая.

Через четыре часа после публикации своей модифицированной «канарейки» WD зашёл на ветку с обсуждением краха Hydra и в своей привычной шутливой манере посоветовал «дать лещей» пользователю, который убеждал окружающих, мол, это он вывел WD из какой-то игры. Далее админ общался только в общем чате, который не сохраняет историю сообщений.

Браконьер в маске

14 мая в 12:42, то есть в момент, когда самого WD уже не было в сети, кто-то из модераторов отредактировал сообщение, оставленное в теме с «канарейкой» (Время указано по часовому поясу Либерии (-3 МСК).)...

...и полностью изменил суть послания:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


This is my canary. If it is not updated within  5 days, consider me happy. youWD

11.05.2022

-----BEGIN PGP SIGNATURE-----
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=xMzZ
-----END PGP SIGNATURE-----

В переводе текст звучит так: «Это моя канарейка. Если она не будет обновлена в течение 5 дней, считайте, что я счастлив. Ваш WD. 11.05.2022». Мы попытались проверить зашифрованную часть, но столкнулись с ошибкой, которая указывала на то, что эта часть была как-то изменена. Текст внутри подписанного сообщения не соответствовал оригинальному тексту, с которым сообщение и зашифровывалось:

Установить, кто из модераторов это сделал и зачем, к сожалению, не представляется возможным. Но само значение этого изменения позже стало намного более понятным.

Взрыв сверхновой

Параллельно с тем, как WD публиковал свой послание, а кто-то другой его изменял, даркнет-сообщество возвращалось к обсуждению слухов о продаже RuTor, которые циркулировали в узких кругах ещё с конца апреля. Всего через пару часов после того, как послание WD обновилось, основатель маркетплейса xNova опубликовал в своём блоге инсайд, подтверждающий эти слухи:

На форуме он также написал, что сделка состоялась 2 недели назад (в то же время в сети стали распространяться слухи – прим. Хронос) и заручился за правдивость этой информации своей репутацией. Данный инфоповод был в целом использован проектом xNova для своего продвижения и не ограничивался лишь созданием поста в блоге. Его главный администратор также создал переписку на RuTor'е, куда добавил нескольких продавцов и объявил продажу форума актом проявления к ним неуважения, а также раскритиковал техническую подготовленность команды маркетплейса OMG.

Стоит, однако, заметить, что если новость о продаже RuTor'а, выставленная на общественность маркетплейсом xNova, и правдива, то преимуществ у этого проекта и поводов для продавцов переходить к xNova становится меньше, ведь его конкуренты заполучили себе крупнейший нарко-форум на всём пространстве СНГ, что непременно скажется на их рыночном положении. Остаётся лишь догадываться, могла ли данная рекламная кампания как-то помешать сделке или закрепить положение xNova, администратор которого заявил об увеличении активности на своём сайте с «трети от онлайна на руторе» до «1 к 1» с разницей всего в 10 часов.

Рокировка в тени

Почти через три часа после того, как основатель xNova опубликовал инсайд, один из модераторов форума — Rotar, вошедший в команду около месяца назад — объявил о своём уходе с поста, не дав никаких объяснений, и ещё больше подогрев тем самым интерес общественности к слухам о продаже RuTor'а:

Что касается других изменений в команде, то тут стоит отметить, что в минувшую пятницу пользователь Potapych, зарегистрировавшийся на форуме около месяца назад, приступил к исполнению обязанностей администратора по вопросам финансов и рекламы. Он получил красную, высшую в иерархии, подцветку ника — ранее она была только у John`а, главного администратора форума, и самого WD, его заместителя. Сообщество отнеслось к этому назначению не очень тепло, поскольку пользователь с аналогичным ником Potapych в прошлом был одним из модераторов связанного с Hydra форума LegalRC.

В 18:45, уже после публикации поста xNova, мы обнаружили, что сообщение WD обновилось во второй раз:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


This is my canary. If it is not updated within 3 days, consider me dead. youWD

-----BEGIN PGP SIGNATURE-----
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=6O9+
-----END PGP SIGNATURE-----

Текст внутри зашифрованного блока оказался полностью идентичен исходному за тем исключением, что в конце не была указана дата. Так как WD всё ещё находился в оффлайне, мы были почти уверены, что сообщение вновь фейковое, ведь оно не было оставлено самим White Dante, но проверка PGP-ключом дала неожиданный результат:

Как модераторам удалось правильно зашифровать сообщение, было ли это сделано самим WD или его ключ использовался другим человеком, вопрос отдельный. Но помимо этого мы заметили на странице темы Cannary ещё одну любопытную деталь — часть HTML-кода, блок, который отвечал за отображение последней даты редактирования поста, оказался удалён:

(Скриншот слева — код страницы до последнего обновления «канарейки». Справа — после.)

По всей видимости, это была попытка скрыть факт причастности третьих лиц к изменению публикаций WD, который на момент редактирования находился в оффлайне. Как бы то ни было, одно из условий «канарейки» — обновить её в течение трёх дней — выполнено не было, так как правильно подписанное обновление произошло с небольшим опозданием. А невыполнение этого условия означало, что WD следует считать мёртвым. Ровно об этом же, по словам некоторых пользователей, White Dante говорил в чате на RuTor'е, где сообщал, что любое изменение «канарейки» будет означать невыполнение её условий (найти подтверждение этой информации нам не удалось - прим. Хронос).

Тем не менее, утром 15 мая он снова вошёл в сеть:

Но можем ли мы теперь быть уверены, что за аккаунтом WD сидит именно он? Или может ли третье обновление «канарейки» и возвращение White Dante в онлайн говорить о том, что сделка по продаже RuTor'а была прервана после огласки условий её проведения? Ведь логично предположить, что сделки на подобные суммы могут проходить не сразу, а оплачиваться частями в течение переходного периода. И вообще, была ли эта сделка на самом деле, о чём нам пытался сообщить WD в своём зашифрованном послании и рассылке Solaris?

Ответы на эти вопросы даркнет-сообществу только предстоит узнать.