Привет всем, на связи Дмитрий Лютов!

Прошло немало времени с момента обрушения или лучше сказать закрытия печально известного BuyTime. За это время прошли много процессов, расследований, поисков и много других событий.

Зачем я публикую этот материал на всем болезненно известном домене? В первую очередь предостеречь всех от дальнейших ошибок. А во вторую очередь, чтобы все шишки сыпались не только на мою голову, но и на голову тем, кто за этим всем стоит.

И так, обо всем по порядку…

Как все начиналось.

В 2016 году мои знакомые в Киеве передали мне предложение о сотрудничестве от одного Киевского бизнесмена, мало кому известного, но очень идейного. Молодой парень, немного моложе меня, реализует различные проекты. В проектах участвует не своими деньгами, а деньгами своих покровителей, перед ними же и отчитывается.

Рассмотрев предложение, высказав свои сомнения, непонимания и так далее, меня убедили в благонадежности проекта и в высоких моральных и этичных намерениях моих будущих коллег.

Как Вы все в курсе, открытие проекта состоялось 28 марта 2017 года. Развитие проекта было стремительным, успешным и многообещающим. «Кубышка» наполнялась стремительно.

После нескольких месяцев работы по настоянию руководства, того самого идейного бизнесмена, в маркетинге проекта были допущены несколько значительных ошибок, что привело к оттоку средств. Выплат стало в разы больше, чем входящих платежей.

 

Знакомьтесь с командой!

Тот самый деятельный бизнесмен, о котором идет речь, человек Загадка и Серый Кардинал:

Даниленко Дмитро Анатолiйович,
12 марта 1991 года рождения,
уроженец города Кременчуг Украина,
где по сей день и прописан по адрес ул. Красина 2-41,

Номер паспорта: КО709254
Номер загранпаспорта: FN578909

Проживает в городе Киев, Украина,
жилой район Липки.

Все известные его номера телефонов:
+380(97)7037737,
+380(53)6702117,
+380(96)5880230,
+380(97)5020345.

 

 

И счастливый обладатель
Mercedes Benz S63 AMG Coup
зарегистрированного в Украине
с гос. номером АА7029РК.

(на фото: справа — Д. Данеленко, слева — его водитель)

 

 

 

 

Юлия Васильевна Вайнер,
25 июля 1993 года рождения,
гражданка Украины,
проживает в городе Киев,
Маркетинговый директор BuyTime.

 

 

 

 

 

 

Анна Борисовна Кравец,
гражданка Украины,
проживает в городе Киев,
Финансовый директор BuyTime.

 

 

 

 

 

 

 

И конечно же человек, которого мы всегда видели только Аватором в Skype, всея лидер всех лидеров в BuyTime, который стоял на самом верху всей сетки:

Любовь Викторовна Даниленко,
по совместительству мама первого в этом списке человека.

 

 

 

 

 

Валерий Соколовский,
Системный Администратор,
ИТ-специалист,
по совместительству псевдо-хакер из нашей истории.

 

 

 

 

 

 

 

Работает эта бравая команда в под флагом компании  Ukrosft в Киеве (https://www.ukrsoft.org/):

А найти их офис можно в центре города в одном из респектабельных офисных комплексов Senator по адресу улица Московська 32, Киев, Украина, 02000:

 

Предвестники закрытия.

Вернемся к истории. Перед закрытием были попытки переломить ход событий и привлечь народ акцией «Купи портфель и получишь автомобиль», но и это не помогло и все шло к убыткам. Час «икс» наступил 03 ноября 2017 года в 08:00 утра.

Массивная хакерская атака, удаление всех данных, блокировка всех компьютеров, утрата контроля над платежными кошельками и так далее. Паника на борту BuyTime, уважаемый Дмитро Даниленко по стечению обстоятельств во Франции, финансовый директор в панике и отчаянии пропадает с радаров, а IT-отдел разводит руками в недоумении. А на все административные электронки днем приходит страшное письмо:

«Hi!
We are APT28 and we have codes to your blocked MacBook’s. To unlock data on your Macs please send 2000 BTC to this address 1xJCFSXAqv7iwL45Uq9kCovTCBCnEd2qz . When we receive payment we will give you unlock codes to your MacBook’s and iCloud account «rigaoffice»

В котором говорится:

«Привет!
Мы АПТ28 и у нас коды к вашим заблокированным компьютерам MacBook. Чтобы разблокировать данные на ваших компах, пожалуйста отправьте 2000 биткоинов на адрес 1xJCFSXAqv7iwL45Uq9kCovTCBCnEd2qz. Когда мы получим оплату, мы предоставим коды разблокировки к вашим компам и к учетной записи «rigaoffice» в iCloud«

К слову, 2000 биткоинов по курсу на тот день составляли чуть больше скромных 14,5 млн долларов США.

Ближе к вечеру того же дня на все электронки приходит еще одно письмо следующего содержания:

«Dear BuyTime team members!
Also we want to admit that we have root access to your server located at yourserver.se hosting. Also we have access to your local network as well as payments systems and law documentation.
We still waiting for a BTC payment. In case you want to fight against us and change passwords to money wallets registered in ADVANCED CASH, PAYEER or BLOCKCHAIN systems we will destroy your system in less than 5 minutes.
We are waiting for payment for 15 minutes. After this cost will continue to rise for 50 BTC each minute.
For example please look for this screenshot of our access to server.
APT28 Team.»

В котором говорится:

«Дорогие члены команды BuyTime!
Еще мы хотим обратить ваше внимание, что мы располагаем корневым доступом к вашему серверу расположенному на хостинге yourserver.se. Так же у нас доступ к вашей локальной офисной сети, а так же к платежным системам и юридическим документам.
Мы все еще ждем оплаты в биткоинах. В случае, если вы хотите бороться против нас и поменять пароли к вашим финансовым кошелькам, зарегистрированных в системах ADVANCED CASH, PAYEER или BLOCKCHAIN, мы разрушим всю вашу систему менее, чем за 5 минут. Мы ждем еще 15 минут. После стоимость будет рости на 50 биткоинов за каждую минуту. Для примера взгляните на приложенные снимки экрана с нашим доступом к серверу.
Команда APT28 Team.»

 

Сматываем удочки.

Никаких выплат, конечно, сделано не было. Их высочество Серый Кардинал разыграл большой спектакль с внешней угрозой, необратимой потерей всего и «Простите, прощайте!».

В полной неразберихе пришлось закрыть офис в Риге, «залечь на дно» и, переведя дыхание, во всем разобраться, так как многое в данной ситуации выглядело странным.

В процессе «войны» с псевдо-хакерами к  IT-отделу, финансовому директору и к самому Д. Даниленко были заданы много вопросов:

  • Почему компьютер финансового директора оказался подключенным к общей рабочей сети?

  • Как так оказалось, что у нас ни одной резервной копии сайта, системы, данных и т.д.?

  • Куда пропала финансовый директор Анна Борисовна Кравец аккурат в самом начале дня взлома?

  • Почему не делались резервные копии компьютера фин. директора и каким образом оказалось, что все данные доступов к платежным системам BuyTime хранились на одном компьютере? И как хакеры узнали на каком из 10 компов нужные данные?

  • Как тестовый полигон проекта оказался на одном сервере с рабочей версией сайта?

  • Каким таким чудом, уважаемые хакеры смогли вычислить и получить доступы к нескольким разделенным ключевым инфраструктурным узлам проекта, на которых была настроена двухтактная аутентификация с подтверждением через мобильный номер телефона!?

  • И много других, не менее противоречащих здравому смыслу, фактов были представлены Киевской команде.

Немного предистории.

С самого начала проекта за организацию и работу многих юридических и финансовых узлов отвечала рижская команда. С течением времени все финансовые операции, по настоянию Киева были переданы новому финансовому директору Анне Борисовне Кравец. Анна была нанята со стороны киевской команды и работала под началом Серого Кардинала.

За пару месяцев до закрытия проекта в команде Киева появился еще один ключевой персонаж, Системный Администратор. Звали его Валерий Соколовский, молодой парень, очень преданный своему большому боссу и готовый за 500 долларов США перевернуть весь мир. Ему была поставлена задача создать «абсолютно безопасную» ИТ среду для обоих офисов, рижского и киевского.

В результате бурной деятельности Валерия, появилась общая защищенная локальная сеть на оба офиса, подключенная через единственный и подконтрольный только ему профиль iCloud. Все доступы от серверов, хостингов и других хранилищ, как и от почтового сервиса были у нас изъяты, сменены и установлены двухтактные аутентификаторы с подтверждением через стороннюю почту или номер телефона.

Казалось бы, поработал на славу и создал просто совершенный и непреступный ИТ-ишный Форт Нокс!

 

Расследование.

Вернемся к главному событию, взлому BuyTime.

Не получив ни одной вразумительной причины отказов на все попытки предложить кризисный план по выходу из сложившейся ситуации. Более того, не получив ни одного ответа на выше указанные вопросы, пришлось обрубить все контакты и заняться собственным расследованием.

Когда псевдо-хакеры удалили данные со всех серверов и хостингов, удалили все с корпоративного почтового сервера G Suite, Валерий Соколовский виновными в результате выставил рижский офис, мол кто-то из рижской команды открыл опасную ссылку, чем заразил весь ИТ-ишный Форт Нокс, что и позволило хакерам нас одолеть.

Расследование начали мы с того самого корпоративного почтового сервера G Suite, вернув всю доступную информацию. Напомню, всю инфраструктуру изначально создавали мы. Потому не составило труда связаться со всеми компаниями, услуги которых мы использовали, доказать, что мы истинные владельцы учетных записей и запросить резервные копии серверов вместе со всеми журналами всех действий на серверах.

С почтового сервера мы вытянули документ отделу кадров с требованиями к Системному Администратору или ИТ-специалистуо по «мгновенному уничтожению информации на внутренних сетях», которое в последствии было реализовано в ходе «хакерской атаки»:

Так же с почтового сервера мы вытянули письма с платежными поручениями от сервиса Advanced Cash, которые указывали на платежные операции по счетам после часа взлома. С одной стороны логично, хакерам надо было снять деньги со счетов. Но очень насторожил факт, что со всех активных счетов BuyTime деньги выводились не на сторонние счета, а на один из резервных счетов проекта:

От куда потом совершались выводы на Приват Банк в Киеве. Кстати, мы обратили внимание киевской команды на этот факт, так как движение средств заметили до полного уничтожения данных почтового сервера. Это и стало одним из ключевых фактов, почему мы прекратили контакты с киевской командой на тот момент. Так как на предложение написать заявление в местные органы власти и получить информацию о взломщиках от Приват Банка мы не получили никакого ответа. Что несколько странно выглядит, особенно в момент, когда у тебя из под носа уводят миллионы.

Внимательно изучив записи журналов действий с хостингового сервиса, где находился сам сайт и базы данных BuyTime, мы обнаружили, что все входы перед удалением осуществлялись в учетную запись системного администратора из киевской команды, с IP-адресов мобильного оператора Kyivstar в Киеве из парка в центре города в трех километрах от офиса Ukrsoft:

Все доказательства, платежные поручения, журналы действий с серверов, все переписки, сообщения, письма и многое другое были переданы в полицию, ведется расследование.

По данным разведки, Валерий Соколвский был уволен с поста ИТ-специалиста в Ukrsoft после восстановления нами данных с серверов. Обманутый и преданный Валерий, который так верил в своего босса, сильно обиделся и стянул резервную копию сайта и всех баз данных BuyTime, чем потом и воспользовался для шантажа уже бывшего босса, потребовав скромных 2000 долларов США. Так же опираясь на данные разведки, стало известно, что Д. Даниленко был готов заплатить целых 500 долларов США, чтобы бывший работник был физически наказан за содеянное. Но ни одного исполнителя не нашлось и пришлось заплатить полную стоимость бывшему сотруднику.

Будьте осторожны!

Славная команда из города Киев на этом не остановилась. С восстановленных серверов мы так же получили информацию о других аналогичных проектах. Все проекты построены по одному классическому принципу, легенда, картинка, лидеры/ораторы. Эти проекты начали разрабатываться еще до закрытия BuyTime, что так же подтверждает все выше написанное.

В конце 2017 года Ukrsoft начали разработку очередного лохотрона с легендой в сфере криптовалюты. Один из документов проекта на ранней стадии разработки:

В начале 2018 года данный проект был реализован и запущен на домене http://perfectcoin.co/. Сегодня его можно найти по адресу https://www.mineptc.com/:

 

 

Для полного понимания можно проверить когда появились на свет оба домена и домен крипто-биржи, указанной в личном кабинете. До января месяца их не существовало. Как по сей день не существует никакого упоминания о данной валюте на ICO, хотя авторы проекта утверждают обратное. На данном этапе проект раскручивается в Индии и Болгарии. В Болгарии зарегистрирована компания под проект. Маркетинговая программа скопирована с BuyTime с изменением процента и количества уровней.

Из проектов в копилке остались лохотроны на тему «Опционы и фьючерсы в агро сегменте», «Рынок черных французских трюфелей», «Бизнес на крокодилах в Австралии». Предполагаю, что на текущий момент у них появилось больше тем для лохотронов. Все упомянутые лохотроны начинаются со слов «В мире инвестиций осталось не так уж много уникальных возможностей, и еще меньше рынков с незакрытым спросом», предложением приобрести «портфель» и с одинаковой многоуровневой маркетинговой сеткой, где только меняется количество уровней и процент выплат от проданных «портфелей»:

1 уровень — 10%

2 уровень — 5%

3 уровень — 5 %

4 уровень — 4%

5 уровень — 3 %

6 уровень — 2 %

7 уровень — 1%

8 уровень — 1%

9 уровень — 1%

10 уровень — 1%

Послесловие.

Я множество раз повторял всем моим слушателям у экранов мониторов и со сцены на конференциях, что сегодня легко нарисовать какую угодно картинку, которая будет выглядеть правдоподобнее любого проекта. Бывает что просто невозможно проверить информацию о проекте. Или проект в итоге рушится по сторонним причинам. Не важно. Риск есть в любом случае, а для управления данным риском никогда не вкладывайте больше 10% от своего свободного инвестиционного капитала. И не гонитесь за бесплатным богатством. Никогда не вкладывайте все свои сбережения в один проект, а тем более не свои (кредитные, одолженные, чужие). Только так вы сохраните свои деньги.