Andrysha ВЗЯТО С КАНАЛА ТГ ХРОНОС
Расшифруйте кракена
ПАВ-сообществу удалось (или почти удалось) разгадать ARG–квест от связанного с Hydra фотохостинга. И результат обнадёживает.
31 мая на фотохостинге turbo.my, который, как считается, аффилирован с Hydra, было оставлено очередное послание. При входе на ресурс всплывало окно, которое гласило: «6оvr.gs Вещи невидимые, скрытые и непознанные порождают в нас и большую веру, и сильнейший страх (Гай Юлий Цезарь)».
Всё ПАВ-сообщество пыталось понять, что же это значит. Уже к следующему дню пытливые пользователи вспомнили, что у Цезаря был шифр (https://promdevelop.com/technologies/caesars-code/), при котором каждая буква в исходном тексте заменяется на другую букву, смещённую на некоторое фиксированное количество позиций в алфавите. Опытным путём удалось установить, что смещение составляет 4 символа, и таким образом 6оvr.gs превращается в домен 2krn.cо.
Данный домен ведут на страницу с двоичным кодом, при расшифровке которого получается текст с многократными повторениями слова «kraken» и вкраплениями отдельных символов. Собрав их по порядку, пользователи получили доступ к следующему домену, 2krn.cс, который требовал пароль.
Изначально на сайте при домене фоном играл саундтрек из фильма «Леон», но слегка перегруженный. Однако 4 июня люди, имеющие доступ к сайту, поменяли аудиофайл на новый, в котором явно угадывались латиноамериканские ноты. Кто-то из пользователей зашазамил мелодию и выяснил, что песня называется «De Cuba Vengo y Cubano Soy». Методом перебора выяснилось, что паролем (или одним из) на 2krn.cс является фраза «VivaCuba!» — при её вводе происходит редирект на сайт в онион-зоне. Уже на этом домене красуется ( надпись «Coming next week» и лого WayAway — форума, который вместе с LegalRC считается площадкой-основателем Hydra.
Отметим, что при проверке вышеуказанных клирнет-доменов на Whois выходит интересная информация. А именно, мы узнаём, что доменное имя выдано регистратором Nicenic (https://nicenic.net/), также открываются контактные данные ( регистранта — некого Азата Насибулина из Омской области. В социальных сетях есть фотографии человека с таким же именем и техническим образованием, однако его подписки и список друзей указывают на то, что он живёт в Башкортостане, где также зарегистрирован в качестве индивидуального предпринимателя.
Но это еще не всё, ибо теперь на сайте turbo.my красуется такое заявление ( «Ув. Пользователи, настоятельно рекомендуем Вам вывести свои депозиты, криптоактивы, завершить сделки и не открывать новые на форуме RuTor. Времени на вывод своих финансов у Вас до 07.06.2022 г. Форум будет уничтожен в ходе коллективной атаки.»
Можно уверенно сказать, что устроенный фотохостингом ARG–квест был отличной пиар-кампанией, которая однозначно подогрела интерес к данному проекту.