Původně tento článek měl prezentovat šokující zjištění ohledně působení (ruských) hackerů v česku. Na(ne)štěstí se ale ukázalo, že se jedná jen o neškodnou shodu náhod. I tak bych ale má zjištění označil za zajímavá.

Nedávno jsem potřeboval dokoupit nějaké ztracené náhradní díly k nábytku. To se občas stane každému, žeano.

Sedl jsem tedy ke Googlu a celkem naslepo googlil „ten prapodivný divný šroubek IKEA“ a podobné. Trošku mě překvapilo, že mě google zavedl i na stránky na webech s doménou riverfoodfestival.cz, osobnidluhy.cz či elektrofolk.cz :

• https://www.riverfoodfestival.cz/clanek/vestavene-skrine-nahradni-dily
• https://www.osobnidluhy.cz/clanek/skrine-komandor-nahradni-dily
• https://www.elektrofolk.cz/2018/11/8/nahradni-dily-vestavene-skrine

Ale říkal jsem si – proč ne – třeba River Food festival dělá reklamu některému ze sponzorů, prodejci nábytku. A nebo si jen dělá legraci a článek by měl podtitulek: „Také už máte plné zuby všech těch šroubků, desek a hřebíčků z IKEI? Tak se přijďte odreagovat na náš festival!“

Stejnětak jsem si dokázal představit, že portál osobnidluhy.cz bude jako jednu ze služeb přeprodávat přeprodávat náhradní díly na nábytek od registrovaných dlužníků. Prodávat jinak korunové položky, za řekněme 100x vyšší částky s tím, že zisk z prodeje by šel na boj s dluhovými pastmi, mi přišlo vyloženě jako super nápad. No a že prodejce elektroniky elektrofolk prodává také díly na nábytek je překvapivé snad ze všeho nejméně.

Nic nemohlo být dále od pravdy. Už z prvního webu jsem vytušil, že tohle nebude ta správná cesta. Web vypadal až moc profesionálně na to, aby nabízel šroubečky a panty. Zářily na něm na mě obrázky krásného moderního nábytku, o náhradních dílech však ani stopy. Obdobná situace byla i na dalších výše jmenovaných webech.

Co mě však zaujalo víc než obskurní doménová jména byla skutečnost, že weby vypadaly … noo, tak nějak podobně. Když si byl jeden podobný druhému, říkal jsem si, že se asi jedná jen o jiný brand stejné firmy – a tudíž i web mají podobný. U třetího mi to ale přišlo podezřelé – nu posuďte sami:

To už mi nedalo, tak jsem se na webu krátce pozdržel. Zjistil jsem, že ať kliknu kamkoliv, jsem odsměrován vždy na tutéž stránku. Ne moc překvapivě, daná stránka nefungovala.

Weby se odkazovaly vždy na stránku enter.php, která následně přesměrovávala na ww1.nabytek-fagus.cz nebo ww1.jisknabytek.cz . Ani jedna z těchto stránek však nefungovala.

Jednou jsem byl ale namátkou (zřejmě po vypnutí adblocku) přesměrován na stránky ww31.nabytek-fagus.cz nebo ww31.jisknabytek.cz , což byly klasické zaparkované stránky s reklamami.

Doplnění: O pár týdnů později weby přesměrovávaly také na http://ww38.exoticky-nabytek.cz . Navíc, ww1.nabytek-fagus.cz mezitím začal fungovat (a zobrazovat reklamy).

V ten moment mi to přišlo úsměvné, že si někdo platí evidentně několik domén, aby mu na nich visely webové prezentace – které všechny směřují na neexistující – zřejmě – stránky skutečného prodejce.

Nicméně, já jsem pokračoval v kobercovém náletu na internet. Ve výsledcích vyhledávání jsem narazil na stránku výsledků vyhledávání v (jak se ukázalo tak – značně pochybném) vyhledávači ZapMeta . Říkal jsem si – proč ne, beztak ve výsledcích Googlu, kde se akorát pere jedna reklama přes druhou, a ta zbylá pole obsazují moderní weby moderních výrobců/prodejců moderního nábytku, bude zajímavé vyzkoušet nějaký alternativní vyhledávač. Třeba se tak dostanu na nějaký 20 let neudržovaný web dvaašedesátiletého prodejce nábytkových dílů z okrajové části města …

Od tohoto momentu už jsem nehledal náhradní díly na nábytek. Pokud mi google našel tři, čtyři pochybně podobné weby, ve výsledcích vyhledávače zapmeta to byl prakticky každý druhý. Namátkou jsem si několik takových odkazů vypsal:

• https://www.krmivalevne.cz/clanek/nahradni-dily-pro-sedaci-soupravy
• https://www.plzen-lekarna.cz/clanek/pojezdy-vestavene-skrine
• https://www.tenis-sokolov.cz/_.php
• https://www.tecard.cz/pojezdy-sk-in
• https://www.condor-reklamy.cz/pryzove-zatky-na-nohy-od-zidle
• https://www.3sezonyvpekle.cz/levny-polsky-nabytek
• https://www.mssochanova.cz/levny-nabytek-za-odvoz
• https://www.alpanharmony.cz/clanek/kancelarsky-nabytek-za-odvoz
• https://www.allowance.cz/daruji-stary-nabytek-ostrava-zdarma-za-odvoz
• https://www.tecard.cz/nabytek-bazar-daruji-za-odvoz-postele
• https://www.skodaeshop.cz/telo-potrebuje-hubnuti-bez-stresu-2/
• https://www.lekarnauhute-ostrava.cz/nabytek/za-odvoz-uherske-hradiste
• https://www.autodilymazacitechnika.cz/inzerce-ostrava-nabytek-daruji
• https://www.czdent.cz/barove-zidle-emilio-cerne-barove-zidle
• https://www.autobusovadoprava-ramball.cz/nabytek-za-odvoz-teplice
• https://www.autobusovadoprava-ramball.cz/za-odvoz-stary-nabytek
• https://www.czdent.cz/barove-zidle-emilio-cerne-barove-zidle
• https://www.rozvozrokytnice.cz/nabytek/za-odvoz-vysocina
• https://www.ohrivacevody.cz/stropni-svitidla-do-kuchyn

Vzhledem k tomu, že zde prakticky nebyl pochyb o tom, že někdo evidentně rád skupuje různé domény (a to opravdu různorodé!) aby na nich provozoval líbivé weby (bez ohledu na URL stránky!!) prodejců nábytku, nedalo mi to, a jal jsem se situaci diagnostikovat.

Ukázalo se, že většina z těchto domén je registrovaná na jistého soudruha (sic!) Todora Dimitrova z Prahy. Kromě něj jsem ale narazil na korejce, mexičana a dokonce i slováka. Ale neprověřoval jsem všechny domény.

Zdá se však, že tento případ má poněkud nečekané rozuzlení. Pan „soudruh“ Dimitrov (opravdu si tak nechává říkat!) je ve skutečnosti CEO společnosti TELE3, u které, zdá se, tyto weby běží. Zřejmě se tak jedná jen o zaparkované domény bez reálných provozovatelů.

Že se nejedná o žádné weby ruských hackerů dokládá i například skutečnost, že zdrojový kód stránek není nijak obfuskovaný. Ba dokonce, můžete v něm najít i komentář některého ze slovenských vývojářů:

A pak je tu ještě jedna věc. Náhodou jsem zjistil, že některé z webů obsahují v patičce odkaz na jednoho ze svých bratrů. Tedy na další takový web. Jsem-li hacker provozující síť falešných webů s nábytkem, určitě nebudu chtít, aby se mezi nimi dalo v poklidu proklikávat. Dá-li se totiž někde proklikávat, dá se to poměrně snadno zautomatizovat.

Ano, skutečně jsem si napsal skriptík, který tento řetězec webů prochází. Skript se zkrátka podívá na zadaný web a pokud obsahuje odkaz na další, následuje ho. A situace se opakuje. Bohužel, odkazy na další obsahuje ani ne polovina webů, na které jsem narazil, takže moje původní vize, že se mi podaří nasbírat všech několik stovek těchto webů a po pár hodinách načítání se octnu na výchozí stránce, byla tedy lichá. I tak se mi ale u asi tak 5 webů podařilo „proklikat“ na v průměru 5 dalších. Mám tak seznam téměř 50 stránek s neexistujícím nábytkem…

Původně jsem chtěl jít ještě dál, a to tak, že bych si naprogramoval i klienta pro vyhledávač zapmeta. Tomu bych pak už jen předhazoval rozličné vyhledávací fráze a mohl tak síť falešných webů řádově rozrůst. Bohužel ale zapmeta není zrovna dvakrát developper friendly, takže to se mi nepodařilo. Nicméně, skriptík na procházení seznamu webů mám hotový a najdete ho na mém GitHubu.

Závěr je tedy asi takový, že téměř jistě se nejedná o invazi ruských hackerů, jež se snaží vydávat za prodejce nábytku a – v asi tom nejhorším případě – pomocí phishingu získávat osobní či platební údaje našich spoluobčanů.

Zřejmě šlo jen o akci doménového spekulanta. Se zálibou v prodeji nábytku. Jinak by totiž na své nakoupené domény nasadil prosté reklamní stránky tak, jak to bývá zvykem.

Takže působí tedy v česku ruští hackeři? Samozřejmě, ale tohle není ten případ.