szukaj

04.04.2022 | 08:14

avatar

Adam Haertle

Gdzie agenci FSB i GRU odbierają zamówienia i inne ciekawostki z wycieku z Yandex Eats

Do wojny Rosji z Ukrainą dołączyli także włamywacze komputerowi, powodując pojawienie się w sieci licznych wycieków danych. Mało jest tych ciekawych – ale lista prawie 50 milionów zamówień z aplikacji do dostaw jedzenia wygląda interesująco.

W związku z wojną w Ukrainie Anonymous ogłaszają głównie dwie kategorie sukcesów: takie, gdzie tak naprawdę dane nie zostały wykradzione oraz takie, gdzie wykradziono mnóstwo danych, które albo są publiczne, albo zbyt obszerne, by je wręcz przejrzeć (co ma zamaskować ich bezużyteczność). Tym razem opiszemy jednak prawdziwy wyciek ciekawych informacji, które mogą być przydatne dla osób zajmujących się badaniem tego, co dzieje się w Rosji. Przez zbieg okoliczności opisywany wyciek danych Yandex Eats nie jest dziełem Anonymous, tylko grupy publikującej wycieki pod szyldem „IT Army”.

LIVE o cyberwojnie od 0 PLN
Czy wycieki danych mogą być elementem cyberwojny? To jedno z pytań, na które odpowiemy podczas naszego webinaru na żywo, poświęconego konfliktom w sferze cyber. Zapisać się można już teraz, płacisz, ile (i jeśli) chcesz.

Co można znaleźć w wycieku

Około 1 marca w sieci opublikowano plik eda.zip o rozmiarze nieco ponad 10 GB, zawierający w środku trzy pliki tekstowe ze zrzutem bazy danych zamówień serwisu Yandex Eats (Яндекс Еда). Po rozpakowaniu archiwum ma nieco ponad 50 GB i zawiera dane dokładnie 49 441 507 zamówień, a dla każdego zamówienia:

  • imię i nazwisko zamawiającego,
  • numer telefonu zamawiającego,
  • dla niektórych zamówień także adres e-mail,
  • lokalizację zamawiającego (koordynaty GPS),
  • adres dostawy,
  • uwagi dotyczące dostawy,
  • dane aplikacji / przeglądarki / telefonu użytego do złożenia zamówienia,
  • wartość zamówienia,
  • data i godzina złożenia zamówienia.

50 milionów zamówień w bazie powiązanych jest z ok. 7 milionami unikalnych profili użytkowników. Ponad 6,5 milionów to użytkownicy z Rosji, reszta zamówień dotyczy Kazachstanu i Białorusi. Dane pochodzą z okresu od czerwca 2021 do lutego 2022 i mogą stanowić kopalnię interesujących informacji dla dziennikarzy śledczych i innych analityków, szukających odpowiedzi na różne ciekawe pytania.

Strona z wyciekami IT Army

Co można z wycieku wywnioskować

Niezastąpiony Aric Toler, dyrektor ds. badań i szkoleń w zespole Bellingcat, opublikował analizę wybranych informacji odnalezionych w wycieku. Można w nim między innymi natrafić na zamówienia złożone przez domniemaną „trzecią córkę” Putina, Luizę Rozową (pierwsze dwie miał ze swoją żoną, ojcostwa kolejnych dzieci z innymi partnerkami nigdy nie potwierdzono). W bazie znaleziono zamówienie złożone przez Luizę, które jako adres dostawy wskazywało luksusowy apartament w centrum Sankt Petersburga. Dziennikarze ustalili, że mieszkanie jest warte ok. 9 milionów PLN.

Oczywiście, jeśli bazę opisuje ktoś z Bellingcata, nie może zabraknąć wątków FSB i GRU, a także innych jednostek służb specjalnych czy wojska. Aric Toler wskazuje np. na zamówienie wykonane na adres Dorożnaja 56, Moskwa, gdzie znajduje się jednostka Rosgwardii. Co prawda, autor zamówienia występuje pod fikcyjnym imieniem i nazwiskiem (Mary Poppins), ale podaje także nr jednostki wojskowej, do której zamówienie ma trafić: 3792, co wskazuje na zmotoryzowany pułk Rosgwardii. Co więcej, w zamówieniu widoczny jest numer telefonu odbiorcy pożywienia – ten, w przeciwieństwie do imienia i nazwiska, musi być prawdziwy. Na poniższym zrzucie ekranu go zanonimizowaliśmy. W bazie znajdziemy także dokładne koordynaty osoby składającej zamówienie – tu zgadzają się z adresem dostawy. To jedyna dostawa w bazie zrealizowana pod tym adresem.

Kolejny ciekawy adres to Szosa Choroszowska 76B, czyli centrala GRU. Tu znajdziemy zaledwie 5 dostaw, choć to dość duży kompleks budynków, w którym pracują setki ludzi. Wszystkie współrzędne GPS wskazują na teren kompleksu GRU, chociaż na różne budynki.

Następnym interesującym adresem jest ulica Trubecka 116 w mieście Bałaszycha (w obwodzie moskiewskim), gdzie mieści się centrum operacji specjalnych FSB. Tu znajdziemy dostawy dla kilkunastu unikalnych numerów telefonów, a także dość ciekawe wskazówki dla kuriera – oto pełny zestaw:

Tłumaczenie:

Do szlabanu
Obszar zamknięty. Podjechać do punktu kontrolnego. Zadzwonić pod numer 89263755XXX 10 minut przed przyjazdem!
Do szlabanu
Koniecznie zadzwonić 15 minut wcześniej.
Proszę czekać za szlabanem.
Zatrzymać się przy znaku stop, do szlabanu nie podjeżdżać, stanąć na parkingu po prawej stronie. 5 minut przed miejscem docelowym proszę się z nami skontaktować, abyśmy wyszli na czas.
Zatrzymać się na parkingu przy znaku zakazu wjazdu, wyjdę i zabiorę. Zadzwonić 10 minut przed przyjazdem.
Podjechać do 3 szlabanów obok niebieskiej budki wartowniczej, zadzwonić. Za przystankiem autobusu 110 do końca
podjechać do niebieskiej przyczepy.
PROSZĘ: zatrzymać się przy znaku zakazu wjazdu, nie dojeżdżając do szlabanu punktu kontrolnego.
Zadzwonić 10 minut przed dostawą. Wojskowy punkt kontrolny.
Zadzwonić 5 minut przed przyjazdem.
To jednostka wojskowa, proszę zadzwonić po przyjeździe, jest to niespodzianka dla innej osoby

Jak widać, im dalej od centrum miasta, tym więcej chętnych na dostawy jedzenia – nawet w jednostkach, które powinny dbać o OPSEC.

Inne potencjalnie ciekawe wątki to chociażby wyszukiwanie jednostek wojskowych (войсковая часть) – notatki dotyczące zamówień wskazują nie tylko ich adresy, ale często także numery.

Na tropie agenta

Bellingcat specjalizuje się między innymi w tropieniu agentów rosyjskich służb specjalnych, zaangażowanych w organizację zamachów na rosyjskich opozycjonistów. Dysponując ich numerami telefonów, mógł prześledzić zamówienia jedzenia – jak wspominaliśmy, imię i nazwisko można w aplikacji wpisać dowolne, ale numer telefonu musi być prawdziwy.

Aric Toler namierzył zamówienie znanego grupie agenta GRU, które zostało doręczone na adres I Neopalimowski zaułek 12 w Moskwie, gdzie znajduje się budynek służby konsularnej Ministerstwa Spraw Zagranicznych. Nie wiadomo, czy agent zmienił pracę na MSZ, ale dzięki wyciekowi w repozytorium danych Bellingcata przybył kolejny wpis.

Jedną z rozwiązanych przy okazji wycieku z Yandex Eats zagadek okazała się tożsamość osoby, z którą regularnie kontaktowali się agenci FSB próbujący otruć Nawalnego. Aric Toler nie ujawnił jej danych, ale poinformował, że w wycieku pojawił się znany badaczom numer telefonu, a także imię, nazwisko i służbowy adres e-mail tej osoby.

Podsumowanie

Sama baza Yandex Eats, choć zawiera ciekawe dane, nie ma wielkiej wartości informacyjnej. Jej połączenie z innymi materiałami, w tym obszernymi, regularnie wyciekającymi bazami danych paszportowych, danych rejestracyjnych pojazdów czy danych podróży lotniczych, może stanowić cenne uzupełnienie informacji o osobach będących obiektami śledztw zarówno Bellingcata, jak i innych podmiotów.

LIVE o cyberwojnie od 0 PLN
Czy wycieki danych mogą być elementem cyberwojny? To jedno z pytań, na które odpowiemy podczas naszego webinaru na żywo, poświęconego konfliktom w sferze cyber. Zapisać się można już teraz, płacisz, ile (i jeśli) chcesz.

Powrót

Komentarze

  • avatar
    2022.04.04 09:41 CIA

    Dyskredytujecie Anonymous? Odważni jesteście w swoich ocenach. Ja na waszym miejscu bym nigdy nie zrobił takiej rzeczy, wiedząc kto stoi za tą grupą w rzeczywistości. Fajnym byliście portalem, powodzenia w innym biznesie.

    Odpowiedz
    • avatar
      2022.04.04 09:59 Adam Haertle

      Ojej, Anonymaus przebacz!

      Odpowiedz
    • avatar
      2022.04.04 12:15 Krzysztof

      XlolD

      Odpowiedz
    • avatar
      2022.04.04 12:39 Sudoku

      Hihi, dowcipnisie. Na lekcji uważać, a nie wpisy komentować.

      Odpowiedz
    • avatar
      2022.04.06 16:41 CIA

      CIA Is Anonymous (jakby ktoś potrzebował rekurencyjnego akronimu) ;-)

      Odpowiedz
  • avatar
    2022.04.04 09:41 beka

    brawo xD
    ujawnić wycieki, które obejrzą kacapy i zmienią miejsca spotkań…
    pożyteczne trolle zamiast nie reagować na skuteczność anonów to podnoszą morale kacapów, ciekawe czy to przypadek…

    Odpowiedz
    • avatar
      2022.04.04 09:58 Adam Haertle

      Spotkań? Oni tam pracują ;) Poza tym ten wyciek jest publicznie znany w Rosji od miesiąca :)

      Odpowiedz
  • avatar
    2022.04.04 15:01 Marcin

    Fajna analiza. Nie jestem z branży ale lubię zerknąć i poczytać lub posłuchać.
    ps. Więcej filmów i webinarów…dobrze się słuchają ;)

    Odpowiedz
  • avatar
    2022.04.04 18:58 Czesio

    to ze dane sa zbyt obszerne by krtos bez znajomosci jezyka mogl je zanalizowac nie oznacza ze sa bezuzyteczne. Oznacza jedynie ze analizujacemu brak jest zasobow i/lub kompetencji by ocenic co ma w rekach.
    Skoro pasjonuja Adama adresy i telefony to prosze. Ponizej: adresy i telefony zolnierzy i ich rodzin do ktorych wysylali skradzione na Ukrainie dobra z oddzialu firmy kurierskiej na Bialorusi (oczywiscie wycinek):
    Коваленко Евгений Евгеньевич отправил в Рубцовск 450 кг. инструментов, музыкальные колонки, стол, палатку и так далее. Телефон: +79130213100
    Лазарев Артем Петрович отправил в Рубцовск 255 кг. запчастей и электросамокат. Телефон: +79132257343
    Николаев Павел Александрович отправил в Рубцовск 205 кг. инструментов, телевизор и кресло. Телефон: +79235652819
    Сердцев Андрей Николаевич отправил в Рубцовск 150 кг. инструментов, вещей и телевизор. Телефон: +79831816692
    Валиев Георгий Муратович отправил в Рубцовск 150 кг. инструментов и вещей. Телефон: +79133660555
    Степанов Николай Николаевич отправил в Уссурийск 140 кг. запчастей и кондиционеров. Телефон: 89146747822
    Канболатов Эльдар Арсланович отправил в Рубцовск 140 кг. инструментов и одежды. Телефон: +79230096646
    Жуковский Роман Александрович отправил в Рубцовск 130 кг. инструментов, вещей и телевизор. Телефон: +79133615429
    Чучалин Евгений Викторович отправил в Рубцовск 100 кг. инструментов, вещей и несколько телевизоров. Телефон: +79230018617
    Волощук Иван Иванович отправил в Рубцовск 95 кг. инструментов, вещей и телевизор. Телефон: +79627939791 (номер жены/матери)
    Колоцей Сергей Александрович отправил в Ульяновск 90 кг. крышку багажника. Телефон: +79378814554 (номер родственника)
    Юшин Владимир Сергеевич отправил в Читу 85 кг. одежды. Телефон: +79243830515
    Григорян Артур Ашотович отправил в Горняк 60 кг. вещей, аккумуляторов и запчастей для ПК. Телефон: +79831066239
    Шулайкин Николай Николаевич отправил в Биробиджан 60 кг. одежды и рыболовных принадлежностей. Телефон: +79142155101
    Дацюк Иван Андреевич отправил в Рубцовск 60 кг. одежды. Телефон: +79137976731
    Кузьмин Игорь Сергеевич отправил в Рубцовск 50 кг. инструментов и вещей. Телефон: +79236497934

    Przepraszam ze nie ma typu telewizorow i marek odziezy co byloby oczywiscie niecenionym dodatkiem do badania na temat tego jakie artykuly sa cenione w Rosji (bezcenne dla kazdego szmalcownika ktory usilowalby omijac sankcje np. przez Gruzje).

    Odpowiedz
  • avatar
    2022.04.04 20:40 krzysiek

    Jestem pod wielkim wrazeniem co ribicie dla nas zwykłych szarych obywateli. lecz jakbys miał kilka groszy od tych zwyrolców to chetnie udostepnie swoje konto na przelew. Niszcza żyucie ludziom jedni i drudzy a my jak idioci łapiemy jak pelkany wszystko. Mam nadzieje,że uda mi sie jeszcze dożyć konca tej farsy putinowskiej

    Odpowiedz
  • avatar
    2022.04.05 10:50 ojnie

    Żyjemy w pięknych czasach, że maskowanie 3 ostatnich cyfr numeru komórkowego np +79 12 34 56 XXX to jak dostać na mieście w mord… :D.

    Odpowiedz
  • avatar
    2022.04.05 20:04 Zdzisio

    Oj tam oj tam gdzie zamawiaja jedzenie… a tu jest gdzie zamawiaja ukradzione na Ukrainie dobra:
    https://imgur.com/a/yFYgTGL

    Odpowiedz
    • avatar
      2022.04.05 21:46 BB

      A jak poznać, że to ukradzione, i na dodatek na Ukrainie? Nadawca jest pod adresem białoruskim, nie ukraińskim.

      Odpowiedz
      • avatar
        2022.04.06 10:26 Czesio

        Znajdz sobie moze KTO nadawal. W sieci lataja nagrania z kamery CCTV z punktu nadawczego w tym czasie.
        I owszem, MOGLI to kupic. Tylko nie wiedziec czemu ZADEN z wysylanych towarow nie ma opakowania fabrycznego.

        Odpowiedz
  • avatar
    2022.04.06 13:59 stonemerk

    Ja widzę inne zagrożenie gdyby tak wyciekła baza glovo, ubera czy pyszne.pl
    Czytałem że okupowanych terenach UA i tak gdzie dochodziło do mordów na ulicach (bo cała ta wojną to ludobójstwo ) wojsko rosyjskie konfiskowano smartfony raz by nie nagrywać i upubliczniać dowodów i ich pozycji a dwa by pewnie je kraść na łupy wojenne.
    Była historia człowieka który smartfon zakopywał w ogródku w ciągu dnia i miał tylko jakiś stary tel bez aparatu a w nocy wykopywał nagrywał i wysyłał dalej.
    (Ile w tym prawdy nie wiem, filmowo i materiałów nie widziałem) ale jeżeli by mieli dobry wywiad to ruskie wpadają pod dany adres nawet z wskazówkami dojazdu i mówią że szukają takiego i takiego telefonu (model, nr tel) i już nie ma że ją mam nokie 3310

    Odpowiedz
  • avatar
    2023.02.14 14:30 Michał

    W ramach wycieku otrzymaliśmy również ponad 1900 czynników rankingowych, które odpowiadały za układanie wyników wyszukiwań w Yandexie. Opracowaliśmy wszystkie te, które dotyczą linków zewnętrznych i serdecznie zapraszam do naszej publikacji – https://off-site.pl/blog/lista-czynnikow-rankingowych-yandexa-dotyczacych-linkow-lista-z-objasnieniem-i-wnioskami

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Gdzie agenci FSB i GRU odbierają zamówienia i inne ciekawostki z wycieku z Yandex Eats

Komentarze