kantor

Так получилось, что когда в мире происходит что-то совсем невообразимое и нездоровое, я превращаюсь в новостного оборотня и резко подписываюсь на огромное множество профильных телеграм-каналов и начинаю тщательно следить за ситуацией. Такая слабость, ничего не могу с собой поделать.

Умудрённый опытом, я знал, что самое золото региональных новостей всегда в комментариях, и, как следствие, перебирал комменты одного из про-Вагнеровских каналов Ростова, когда наткнулся на нечто забавное.

Создаёт массу вопросов? Да. Но лично мне первым делом в глаза бросился QR-код в углу листовки, который получилось сосканить и открыть — он ведёт на p2024.online. Сайт на момент публикации текста таки всё ещё online и на нём красуется очень некрасивое с точки зрения нынешней коньюктуры всплывающее окно, призывающее почему-то быть на Манеже в 11 утра, прикрепляет войс Пригожина и говорит, что через какой-то там чат можно будет самоорганизоваться.

В остальных, с виду, это самая ни на что есть типичная предвыборка. Три-четыре броско расписанных тезиса, разбавленные картинками и одним видео, внизу кнопка «Поддержать» — это не представляло бы никакого интереса, если бы это была не предвыборка Пригожина. В тексте прямо не указано, на какую он метит должность, но намекается довольно жирно. Я обязан был узнать больше.

Наверное, самой бесперспективной с этой точки зрения является форма обратной связи, которая ведёт на тоже всё ещё активного бота в телеграме (@P2024bot). Бот сперва довольно бесцеремонно смазывает пользователя теми же тезисами предвыборки, потом спрашивает город, номер и провозглашает, что «в ближайшее время с вами свяжется куратор», но, что интереснее, что «если вы не чувствуете себя безопасно, удалите переписку с этим ботом».

Боты в Телеграме анонимны, по крайней мере, должны быть таковыми. Всё, что связывает бота с его создателем это хостинг, на котором крутится вся логика бота, а ещё API-токен, который генерируется через другого бота. Этот максимально незамысловатый — никаких кнопочек, стикеров, приватных emoji-паков, единственная команда /help, которая отличается от /start тем, что отправляет тот же текст, просто без первого из четырёх сообщений. Поиск других ботов с похожими названиями вывел только на замаскированный под предвыборку клон Глаза Бога (@prigozhin2024_bot), что, наверное, отражает всю суть телеграма как платформы.

Но, что забавно, на сайте не всегда была форма обратной связи через Телеграм. Да, заходим на web.archive.org, вбиваем адрес и смотрим самый ранний бэкап — от 8 мая — и видим в том же месте внизу уже форму обратной связи. К сожалению, тут тоже мало интересного: меня удивило только использование multipart/form-data, обычно используемого для загрузки файлов на сайт, вместо application/x-www-form-urlencoded. Интересно, что потом форму заменили.

Я попробовал поиск в разных вариациях и вышел, что месяцем-двумя ранее на этот сайт и на его клон в лице p2024.site натыкались ещё несколько граждан с ЖЖ и Твиттера, правда далеко дело не пошло. Ещё я наткнулся на несколько явных ботов и видео на ютубе, которые кратко пробегались по тому же тексту и крепили ссылку, но ничего фундаментально нового обнаружить не удалось.

Однако, есть фундаментально старое — я вспомнил про то, что началом марта оный Пригожин уже выкатывал видео, где оповещал, что намерен баллотироваться на пост президента Украины в 2024-м году. Тогда посмеялись и замяли дело, но осадочек, очевидно, остался — я пробежался по DNS-данным домена и обнаружил, что домены для обоих сайтов зарегистрированы с разницей в несколько минут 22-го апреля 2023-го года, оба сидят за cloudflare, что делает последующий анализ по IP и ASN несколько бессмысленным.

Сайты выглядят идентичными, что наталкивает мысль на возможное упреждение блокировок. Ну я и подумал — а может другие сайты есть на том же доменном имени? Чего мелочиться — давайте возьмём список всех TLD и пробежимся по нему, чтобы наверняка. И действительно, выбило два других сайта Пригожинской тематики — совсем плохо выглядящий p2024.ru на вордпрессе с доменом из reg.ru, а также p2024.tech, который также является идентичной копией своих соседей с одним отличием, что домен на него зарегистрирован уже первого июня. Хуизы всех перечисленных сайтов анонимизированы, так что мы не знаем ничего о том, кто их зарегистрировал.

Кстати, из забавного — кто бы ни админил сайты из тройки .online, .site и .tech — явно обладает очень, ммм, нестандартным мышлением. Зайдите на любой субдомен, скажем, foo.p2024.online — и вы попадёте на сайт организации «Рождённые жить», которая, якобы, лечит от алкогольной и наркотической зависимости. Их телеграм-канал появился 11 марта, что наталкивает на мысль, что и сайт Пригожина, и этот сайт изначально хостились на одном и том же сервере каким-нибудь чуваком, который делает сайты на заказ и он просто взял два заказа примерно в одно время. Ныне сайт реабилитационного центра находится по igle-net.ru и выглядит ощутимо иначе, хоть и с тем же брендингом. В теории, можно было бы им позвонить и спросить, кто им делал сайт, но российской симкой я не владею и не собираюсь.

Накидываем финальные штрихи безуспешного расследования — 404 сайтов любезно сообщает нам, что они работают на ныне старом и уязвимом nginx 1.18.0 на Убунте (однако, я закон нарушать тоже не собираюсь), сайт очень простой и написан на обычном html с вкраплениями необходимого js, у него есть субдиректория img, в которой хранятся использованные на сайте фото и видео. Кстати, о видео — оно тоже снято в двадцатых числах 2023, если верить метаданным. Бойцы с виду не опознаются, местность тоже. Печаль.

Соглашусь, что анализ, проведённый мною, на какой-то профессионализм или полноту не претендует, но я очень хотел бы узнать больше и добраться до дна этой истории, поэтому если кто-то из вас что-то знает или имеет идеи насчёт дальнейшей идентификации — дайте знать. Но чего точно нельзя отрицать — всё обнаруженное далеко не тянет на пранк ради видоса или публичности. Арендованы домены, нанят вебдев, напечатаны и расклеиваются листовки, какие-то движения насчёт Манежа в 11 часов утра — я не говорю, что это и был план Пригожина (или, заметьте, что это вообще сайт Пригожина), но история мутная и заслуживает дополнительного внимания.