На первый взгляд сайт starwarsweb.net выглядит как типичный фан-ресурс времён расцвета Xbox 360 — с цитатой Йоды «Like these games you will», подборкой игр вроде Star Wars Battlefront 2 и рекламой конструктора Lego Star Wars. Однако за этим наивным интерфейсом скрывался куда более опасный функционал. Как выяснилось, сайт использовался ЦРУ в качестве средства тайной связи с агентами в других странах. Под видом страниц о видеоиграх, спорте и поп-культуре скрывалась разветвлённая сеть цифровых тайников — одна из крупнейших ошибок американской разведки последних десятилетий.

По данным независимого исследователя Сиро Сантили, starwarsweb.net был лишь частью обширной системы сайтов, которые работали как скрытые каналы для общения ЦРУ со своими источниками в других странах. Эти сайты выглядели абсолютно невинно — фан-сайты комиков, ресурсы о бразильской музыке или экстремальных видах спорта. Но ввод пароля в строку поиска запускал скрытую авторизацию - открывалось окно для отправки сообщения.

a

Скриншот сайта от Сиро Сантили - тут по ссылке очень подробно. Тут далее - коротко:

Первое раскрытие этой схемы произошло более десяти лет назад — в Иране. Тогда местные спецслужбы обнаружили сеть сайтов и начали охоту на подозрительных лиц, которая впоследствии привела к массовым арестам и убийствам агентов ЦРУ в Китае в 2011–2012 годах. По данным расследования Yahoo News, утечка из Ирана сыграла ключевую роль в крушении всей системы. Впоследствии агентство закрыло свою инфраструктуру.

Сантили рассказал, что на идею раскопать старую сеть ЦРУ его подтолкнуло сразу несколько факторов: интерес к политике Китая, влияние тёщи, принадлежащей к религиозному движению Фалуньгун, а также желание «насолить шпионам, следящим за демократиями». Свою работу он описывает как хакерское расследование, основанное на анализе доменов, HTML-кода, использования сервиса viewdns.info и архива Wayback Machine, причём для обхода ограничений архива он задействовал армию Tor-ботов. Все инструменты — открытые и бесплатные.

Один из ключевых поводов для новых поисков послужила статья Reuters от 2022 года, в которой описывались ошибки в маскировке сайтов — в частности, то, что IP-адреса у них шли подряд, и это позволило находить целые группы доменов. На скриншотах из расследования Сантили заметил названия файлов, указывавшие на исходные URL. Это дало ему зацепки, которые привели к сотням дополнительных ресурсов.

По словам другого независимого ИБ-специалиста Зака Эдвардса, новые открытия полностью соответствуют его собственным знаниям о структуре этой сети. Он подчеркнул, что сайты действительно существовали и выполняли разведывательные задачи, а ошибки их разработчиков спустя годы стали достоянием общественности. Копии многих сайтов сохранились в архиве интернета.

По словам Сантили, теперь, спустя более 15 лет, раскрытие этих сайтов не столько представляет угрозу, сколько даёт уникальную возможность прикоснуться к цифровым артефактам шпионской эпохи. Исследователь сравнил это с посещением музея — благодаря архиву интернет-страниц каждый желающий может посмотреть на «живые» следы проваленной спецоперации. История эта далеко не единственная в анналах американской разведки — ранее уже происходили масштабные компрометации тайных операций ЦРУ.

ЦРУ отказалось от комментариев.

Среди нескольких сотен сайтов, созданных ЦРУ в 2000-х и начале 2010-х для поддержания связи с завербованными агентами в других странах, как минимум 8 были русскоязычными и, вероятно, использовались для коммуникации с информаторами в России.

Один из бывших американских чиновников отмечал, что Китай мог поделиться находкой с Россией. И якобы примерно в то же время многие источники из России прервали отношения со своими кураторами. Однако до настоящего времени русскоязычные сайты из этой сети подробно не освещались. Предлагаю наконец взглянуть на них.

Несколько слов о том, откуда взялись эти сайты. В 2022 году журналисты Reuters обратились к Citizen Lab с одним известным им доменом. Это позволило исследователям найти по артефактам сеть из 885 сайтов. Но Citizen Lab не стала публиковать список из опасений за безопасность офицеров разведки и агентов, чья личность могла быть раскрыта. Однако этот поиск можно воспроизвести (например, по архивным записям DNS), чем и занялся исследователь Чиро Сантилли (Ciro Santilli). За несколько лет он нашёл 472 сайта, все нюансы поиска описаны на его сайте. Исследование Сантилли послужило основой для статьи 404 Media.

Из этих известных 472 сайтов подавляющее большинство (313) на английском, 44 на арабском, 40 на испанском, 17 на фарси, 13 на китайском, 10 на французском. Русскоязычных сайтов сравнительно немного — всего 8 (1,7%).

Что же это за сайты? Все они выглядят как заурядные новостные ресурсы. Но они и предполагались исключительно для агента, а не для привлечения аудитории.

todaysnewsandweather-ru.com (здесь и далее ссылки на архивированную копию): новостной сайт с фидом новостей и ссылками на другие ресурсы. По такому же принципу строились и другие ресурсы. При этом бросается в глаза, что разработчикам непросто давался русский язык («сегодняшней новости и прогноз погоды»), это видно и по другим русскоязычным сайтам. На скриншоте видно, что для коммуникации использовалось поле «Входе» внизу страницы.

financial-crisis-news.com: сайт финансовых новостей. На скриншоте видно загадочную аббревиатуру СКЛС и «криэис». Но это мой любимый сайт из подборки по другой причине. На этом сайте нет поля для ввода логина, «мессенджер» вызывается иначе. В JAR-архиве с апплетом для связи (который тоже сохранился в архиве) содержится картинка галстука. Похоже, что это кнопка, и для отправки сообщения агенту нужно было кликнуть на галстук первой матрёшки. Матрёшка в деловом костюме как скрытный канал связи со шпионом? Это что-то из голливудских фильмов.

newsintheworld-ru.com: тут всё понятно, news in the world — ноьости ь мире. Здесь «мессенджер» также открывается по клику по картинке, обратите внимание на отсутствующий фрагмент картинки в правом верхнем углу.

moyistochnikonlaynovykhigr.com и myonlinegamesource.com: два идентичных сайта «Мой источник онлайновых игр» на разных доменов, что в целом в сети больше, вроде бы, не встречалось. Олды пустят скупую слезу по старым играм. Средство связи не сохранилось.

fightwithoutrules.com: сайт о боях без правил, в качестве кнопки использовался один из баннеров в правой колонке (не загружен).

russiansportsworld.com: сайт посвящённый спорту, коммуникация через поле внизу.

russiaupdate.com: ещё один новостной сайт, от которого сохранился только скриншот.

securitylab & Кибервойна