22.01.2025
У грудні 2023 року сайт Molfar зазнав DDoS-атаки. Це сталося одразу після публікації нашого великого розслідування про виробництво “Шахеді” та “Ланцетів”, з деаноном сімʼї головного конструктора Захарова. Днями нам стало відомо, хто стояв за цією атакою.
OSINT-аналітики Molfar разом із командою спільноти DC8044 змогли встановити особи деяких російських хакерів, котрі, імовірно, мають зв’язки з державними структурами РФ та отримують фінансування від них. Дехто з них — українці. За їхні злочини їх розшукує США, зокрема у розшук їх оголосило ФБР.
Хто такі Noname057(16) та що таке Ddosia?
Russian Cyber Army / Noname057(16) — два угрупування, які діяли суміжно починаючи з кінця 2022 року. Noname057(16) створили проєкт, зловмисне забезпечення, Ddosia, toolkit DDoSia для хакерських атак, зокрема — на країни НАТО. З початку вересня 2024 року, схоже, злилися в одну структуру. Ймовірно, цей проєкт фінансують державні структури Росії. DDoS ботнет, який виплачує користувачам винагороди за ресурси, які ті заводять у цей ботнет. Є серія атак, які повʼязують з цим угруповуванням.
США. У санкційних списках фігурує дві особи (Юлія Панкратова та Денис Дегтяренко), пов’язані із групою хакерів Noname057(16). У цих документах згадується назва Cyber Army of Russia Reborn (CARR). Хоча обидві назви трапляються у контексті кібератак, їх конкретний взаємозвʼязок або підпорядкування залишається предметом подальшого аналізу.
Нідерланди. У серпні 2023 року здійснили DDoS-атаки на вебсайти кількох нідерландських організацій. Зокрема, постраждали порти Роттердама, Амстердама, Ден-Гелдера та Гронінгена, чиї сайти були недоступні протягом кількох годин або навіть днів. Ці атаки були відповіддю на плани Нідерландів придбати швейцарські танки для України. Варто зазначити, що внутрішні системи портів не були скомпрометовані, і атаки обмежилися лише виведенням з ладу публічних вебсайтів.
Загалом група NoName057(16) здійснила DDoS-атаки на державні та комерційні сайти у понад 15 країнах — Україну, Канаду, країни Балтії (1, 2, 3), Данію, Німеччину, Норвегію, Польщу, Фінляндію, Італію, Чехію, Велику Британію та інші. Цілі атак варіювалися від урядових установ і портів до банківських систем, транспортних компаній та медіа. Ці напади здебільшого були політично мотивованими, зокрема через те, що ці країни підтримали Україну.
Хакери з NoName057(16) давали декілька інтервʼю які згодом постили у себе у Telegram. Одне з них для видання Bit Life Media кіберексперту з Іспанії Rafa Lopez. Там вони хваляться, що організували альянс проросійських хакерів, які борються проти "колективного Заходу" і "глибинної держави" (deep state). Називають цей альянс "Holly League". Наводять також цитати російського поета Олександра Блока «Мільйони з вами. Ми маємо темряву, темряву, і ще більше темряви. Спробуйте боротися з нами!» Інше інтервʼю для блогу KnightPentest — його давала Журавльова / Панкратова Юлія Володимирівна. Тут вона заявила про те, що сайти Франції були атаковани ними двічі: перший раз — через порушення християнських норм під час організації Олімпіади-2024, другий раз — у підтримку Павла Дурова.
Molfar та DC8044 знайшли персональну інформацію, зокрема, про 8 осіб, які адмініструють Telegram-спільноту, пов’язану з атаками, зокрема, на сайт Molfar. А також осіб, що є учасниками спільнот.
Нікнейм (частина з них змінили нікнейми) | Роль | ПІБ |
@nn05716 | Адміністратор | Панкратов Артем Володимирович (російською — Панкратов Артем Владимирович) |
@MotherOfBears | Адміністратор | Журавльова / Панкратова Юлія Володимирівна (російською — Журавлева / Панкратова Юлия Владимировна) |
@vetal2020 | Адміністратор | Прядка Віталій Віталійович (російською — Прядка Виталий Виталиевич) |
@Rabbn1 | Адміністратор | Маскайкін Ілля (російською — Маскайкін Илья) |
@simplusertg | Адміністратор | Осауленко Микола Дмитрійович (російською — Осауленко Николай Дмитриевич) |
@t96_ka | Адміністратор | Тітов Кирило Андрійович (російською — Титов Кирилл Андреевич) |
@tory12345666 | Адміністратор | Дубранова Вікторія Едуардівна (російською — Дубранова Виктория Эдуардовна) |
@Timea_Rich | Адміністратор | Крайнов Олександр Сергійович (російською — Крайнов Александр Сергеевич) |
@sturm_29 | Учасник спільнот DDoSia та Noname057(16) | Смородін Дмитро Миколайович (російською — Смородин Дмитрий Николаевич) |
@Monaxxx666 | Учасник спільнот DDoSia та Noname057(16) | Шевляков Євгеній Іванович (російською — Шевляков Евгений Иванович) |
@ArchLinuxrootuser | Учасник спільнот DDoSia та Noname057(16) | Білялов Мурат Дамирович (російською — Билялов Мурат Дамирович) |
@Endingth | Учасник спільнот DDoSia та Noname057(16) | - |
@zamorskui | Учасник спільнот DDoSia та Noname057(16) | - |
@happinessgerl | Учасник спільнот DDoSia та Noname057(16) | - |
Адміністратори Telegram-каналу DDoSia та Noname057(16)
Панкратов Артем Володимирович (рос. — Панкратов Артем Владимирович)
Росіянин на фото вище, ймовірно, є ключовим членом спільноти Russian Cyber Army / Noname057(16). Групу у телеграмі він адмініструє разом з дружиною — Журавльовою / Панкратовою Юлією (@MotherOfBears), про яку розкажемо далі. Артем був власником кількох юридичних осіб (1, 2, 3, 4). Усі вони мають КВЕДи, що повʼязані з торгівлею або будівництвом. Щоправда, підприємницька діяльність не допомогла росіянину позбутися боргів. Нині Панкратов є власником sipconstruct (inst), яка також займається будівництвом.
Так виглядає акаунт Панкратова у twitter
У соцмережах він постить здебільшого російську пропаганду. Також там можна знайти декілька публікацій, в яких він розказує про успішність хакерських атак спільноти NoName057. У Telegram Артем підписаний на проросійські пабліки, як то "русская идея", але водночас читає про “еміграцію”, та цікавиться вивченням іспанської мови. Знайдено коментар (“Ось посилання на Telegram-канал цього угруповання” та лінк на російську хакерську спільноту). Коментар написано іспанською у обговореннях групи “Informa Pirata: informazione e notizie”.
Усе це в обговоренні новини про DDoS-атаку хакерів NoName057 на сайт Міністерства оборони Італії. Загалом ця група присвячена темам кібербезпеки та цифрових прав. Ймовірно, своїм коментарем Панкратов намагався прорекламувати свою групу. Також він читає групу “канадских возвращенцев”. Свою спільноту хакерів намагається рекламувати у різних групах. Ось як виглядає його реклама:
Скриншот одного з повідомлень, в яких Панкратов пропонує винагороду за співпрацю (джерело)
Особисті дані російського хакера:
- Дата народження: 23.04.1984
- Відомі адреси:
Соцмережі:
Електронні пошти:
Номери телефонів:
- +79945555499
- +79271498929
- +78452961555
- +78452913231
Документи:
- Паспорт: 322320313
- ІПН (Ідентифікаційний номер платника податків): 645116260584
- СНІОР (Страховий номер індивідуального особового рахунку): 11225845627
Панкратова (Журавльова) Юлія Володимирівна (рос. — Панкратова (Журавлева) Юлия Владимировна)
Це дружина російського хакера, Артема Панкратова, про якого ми писали вище. Схоже, Юлія з Артемом одружились минулого року. Юлія підтримує інтереси свого чоловіка-хакера й також сидить у групах повʼязаних з російською пропагандою та DDoS (1, 2), працює під ніком MotherOfBears. Юлія адмініструє Telegram-канал спільноти російських хакерів DDosia. Сидить у чаті “ГеоПолитика Цивилизаций” (1, 2), де постять теорії змов та російську пропаганду. Юлія фігурує у списках “Миротворця”.
Особисті дані
- Дата народження: 06.04.1984
- Місце проживання: Анапа
- Відома адреса: м. Москва, Клязьминська вулиця, буд. 7, корп. 2, кв. 25
Соцмережі:
Електронна пошта:
Номери телефонів:
- +79096606594
- +79650611488
- +79384217931
- +79853920040
- +79162301826
Документи:
- Паспорт: 4507084340
- ІПН (Ідентифікаційний номер платника податків): 771770724400
- СНІОР (Страховий номер індивідуального особового рахунку): 14264694170
Прядка Віталій Віталійович (рос. — Прядка Витай Витальевич)
Віталій родом із Запорізької області. Під цим Telegram-акаунтом Віталій у месенджері з 2021 року. Згідно з інсайдом, він був засуджений за крадіжку. У 2:019 році їздив до Москви. Віталій цікавиться садівництвом та марихуаною. Серед груп у Telegram, які він відвідує, є @baraholkabkm (Барахолка ОТГ (Кушугум, Балабино, Малоекатериновка) та @otgKushugum. Віталій, імовірно, володів / володіє автомобілем марки Chevrolet Lacetti.
Особисті дані
- Дата народження: 29.03.1996
- Відома адреса: Запорізька область, Запорізький район, смт Малокатеринівка
Соціальні мережі:
Електронна пошта:
Номери телефонів:
- +38095*******
- +38067*******
Документи:
- Паспорт: СЮ*******
- ІПН (Ідентифікаційний номер платника податків): 35********
Ілля Маскайкін (рос. — Илья Маскайкин)
Підліток з Росії, ймовірно, з Мордовії. Цікавиться підтримкою російської армії та хактивізмом. Також серед його інтересів — флот Росії, збір коштів (ймовірно, на армію РФ), шкідливе ПЗ та DDos-атаки. Під цим акаунтом зареєстрований у Telegram з квітня 2023 року.
Особисті дані
- Дата народження: 27.04.2006
- Навчання:
- Станом на грудень 2023 року був учнем 11 класу
- Навчальний заклад: МОУ Ліцей Ельниковського муніципального району
- Досягнення: призер з історії у 2023-2024 навчальному році
- Відома адреса: с. Морд. Масккінські Висілки, вул. Зарічна, буд. 33, кв. 2
с.Морд.Масккинские Выселки, ул.Заречная, д.33, кв.2
Соціальні мережі:
Електронна пошта:
Номер телефону:
Осауленко Микола Дмитрович (рос. — Осауленко Николай Дмитриевич)
Осауленко вважає свою роботу вкрай небезпечною де “будь-якої секунди може усе закінчитися”. Принаймні так він стверджував у коментарях. Зʼясувалося, що ця “небезпечна” робота — державне будівництво на ФГУП "главное военно-строительное управление по специальным объектам". Ця організація пов’язана з будівництвом спеціальних та часто засекречених об'єктів, зокрема, військові бази, підземні бункери, стратегічна інфраструктура або об'єкти, що мають підвищений рівень секретності. Як й усі попередні персонажі, він — у складі адміністрації каналу.
На цьому акаунті, з якого адмінить групу DDoSia Project, Осауленко сидить з 2024 року. Серед його інтересів: мережева розвідка, доксінг, пенетрейшен тести, деанони. Також, ймовірно, він читає дописи у спільнотах хакерів та групу “Прививка от секса” (1, 2, 3). Ймовірно, має дружину та дитину.
Особисті дані
- Дата народження: 14.09.1989
- Відома адреса: Росія, Республіка Мордовія, Зубово-Полянський район, с. Тарханська Потьма, вул. Лісна, буд. 58
Соціальні мережі:
Електронна пошта:
- Основна: [email protected] (пруф)
Номери телефонів:
Документи:
- Паспорт: 8909133283
- ІПН (Ідентифікаційний номер платника податків): 130802586462
- СНІОР (Страховий номер індивідуального особового рахунку): 14642127949
Транспортний засіб:
- Марка авто: ВАЗ/Lada 2170/Priora
- Номерний знак: К930ЕУ13
- VIN: XTA21703080082160
Професійна діяльність:
- Робота у 2019: Московська філія ФГУП "Головне військово-будівельне управління по спеціальних об'єктах"
Тітов Кирило Андрійович (рос. — Титов Кирилл Андреевич)
Одним з тих, хто тісно повʼязаний з проєктом DDoSia та Noname057(16), виявився російський “опозиціонер”. У 2021 році він спонсорував ФБК Навального. Ця особа під ніком @t96_ka — Тітов Кирило Андрійович — адміністратор telegram-каналу, де зібрані навчальні матеріали для хакінгу ddosiaproject. З 2017 до 2021 працював оператором електронно-обчислювальних та обчислювальних машин у БУЗ ВО "Лискинская районная больница" (1, 2).
Особисті дані
- Дата народження: 22.05.1996
- Відома адреса: Воронезька обл., м. Лиски, вул. Сеченова, буд. 45, кв. 1
Соціальні мережі:
Електронна пошта:
Номери телефонів:
Документи:
- Паспорт: 2016954088
- ІПН (Ідентифікаційний номер платника податків): 365205093629
Дубранова Вікторія Едуардівна (рос. — Дубранова Виктория Едуардовна)
Вікторія — українка. Народилась, ймовірно, у Дніпрі. Пише про себе, що має “словʼянську душу”, якій спілкування англійською мовою суперечить. Активно користується російською соцмережею VK. Її особиста поштова адреса [email protected] зареєстрована (1, 2, 3) на російських сервісах avito.ru, bookmate.com, nnm-club.ru, text.ru, bitrix24.ru, plibber.ru. У квітні 2016 року вона опублікувала картинку з людиною та прапором срср. Користувач із ніком @tory12345666 — адміністратор телеграм-каналу, де зібрані навчальні матеріали для хакінгу ddosiaproject.
Дубранова, схоже, серед тих, чия “словʼянська душа” дивився на світ через призму російського триколору. Так у 2021 році у Facebook вона постила посилання на петиції проти мобілізації. Ми також знайшли в її стрічці драматичне фото неба у колючому дроті.
Особисті дані
- Дата народження: 12.08.1991
- Відомі адреси:
- Дніпро, вул. Тверська буд. ****, кв. ****
- Дніпро, Карла Лібкнехта - Михайла Грушевського
- Дніпро, Першого Травня ****, кв. ****
- Дніпро, проспект Олександра Поля буд. ****, кв. **** (згідно зі “злитими” базами даних за 2016-2022 роки)
Соціальні мережі:
Електронна пошта:
Номери телефонів:
- +380*********
- +380*********
- +380*********
Telegram:
- TG id: 6634849144
- Нікнейми: @viktorya_design, @tory12345666
Документи:
- Паспорт: АН******
- ІПН (Ідентифікаційний номер платника податків): 33********
Відомі нікнейми:
- SovaSonya
- sovasonyasouls
- viktorya_design
Крайнов Олександр Сергійович (рос. — Крайнов Александр Сергеевич)
За нікнеймом @Timea_Rich, ймовірно, ховається російський військовий. Власник цього Telegram-профілю нині проживає в Іваново, Іванівської області, РФ. Це — Олександр Крайнов, і він служив у ВДВ Росії, у 31 окремій десантно-штурмовій бригаді (1, 2, 3). Ймовірно, Крайнов власник кіберспортивного медіа cyberivanovo, адже його пошта прив’язана до акаунту cyberivanovo.bitrix24.ru. Його ймовірний IP 80.70.96.55 — місто Кинешма. Ймовірний IP в місті Іваново — 78.111.152.229.
Особисті дані
Дата народження: 10.12.1988
Соцмережі:
Електронна пошта:
Номери телефонів:
- +79203465882
- +79261379063
Telegram:
Банківська карта:
- Номер: 4584432849775797 (термін дії: до 31.11.2028)
Онлайн-активність:
Відомі паролі:
- 10121988,
- 101288,
- 123456,
- annamylove,
- Annamylove,
- parolikys,
- Stream,
- stream,
- stream1,
- yahohbe5,
- Yahohbe5,
- s8nfn6kj,
- Md5crash23.
Інші учасники спільнот DDoSia та Noname057(16)
Нікнейм | Повне ім'я | Контактна інформація | Додаткова інформація | Фото |
@sturm_29 | Смородін Дмитро Миколайович (рос. — Смородин Дмитрий Николевич) | VK, VK2, FB, OK, [email protected], [email protected], [email protected], [email protected], [email protected], +79115532861, +79115832861, +79815618077, +78182276042, tg id 1335654319 | Ймовірно, був скінхедом (1, 2, 3) СНІОР: 04638417771, ІПН: 290209937334, паспорт: 1106 484205 |  |
@Monaxxx666 | Шевляков Євген Іванович (рос. — Шевляков Евгений Иванович) | WhatsApp, TG: id1490527124 / @Monaxxx666, Skype: live:.cid.b436f501f99fc054, [email protected], [email protected], +79009854396 | Номер картки Альфа банку: 5486553006600365, рахунок: 40903810005870093923; клієнт карток АШАН та Лукойл Згідно з інсайдом, проживає у місті Грязі, Липецька область. | |
@ArchLinuxrootuser | Білалов Мурат Дамирович (рос. — Билалов Мурат Дамирович) | Член дитячих організацій “Космічні розвідники”, “Ракетомоделювання”; соліст хору “Восьмушки”, “Райдужні нотки”; навчається у “IT-ліцей” Казанського федерального університету; паролі: vehfnbr, 123123a, 160607, 123123; знявся у відео “один день из жизни лицеиста”. |  | |
@Endingth, @zamorskui | Дата народження: 06.11.2008. Живе в Туреччині або Азербайджані, навчається у школі (8 клас), планує вступати до поліцейської академії на факультет інформаційної безпеки. Зріст: 169-171 см. Національність: напівросіянин, напівазербайджанець або напівтурок. | |||
@happinessgerl | Згідно з інсайдом, брала участь у групах на Telegram, пов'язаних із Сахаліном, та збирала комп’ютери для ботнетів. |
Russian Cyber Army, Noname057(16) — усе це проросійські хакерські проєкти. Вони створили та використовують тулкіт Ddosia. Russian Cyber Army з'явилася після початку російського вторгнення в Україну. Вони займаються кібератаками на урядові та приватні організації, що виступили проти Російської агресії. Їхні методи включають DDoS-атаки, злам вебсайтів, поширення пропаганди.
Noname057(16) створили Ddosia. Проводили DDoS-атаки проти урядових та приватних організацій у Литві, Польщі, Італії та багатьох інших країнах. Група активно вербує волонтерів через Telegram та пропонують винагороду за участь в атаках. Також вони співпрацюють з іншими проросійськими хакерськими колективами, як, наприклад, Killnet та XakNet.
