01.05.2026 18:58
Livadies 16 4800 Источник

Дисклеймер:

Вся информация, представленная в статье, получена из открытых источников исключительно в исследовательских целях. Мы не нарушали закон и не пытались получить несанкционированный доступ к каким-либо системам. Сайт «Миротворец»* признан экстремистским и запрещён на территории Российской Федерации. Прямые ссылки на него не приводятся в соответствии с законодательством РФ. Рекомендуем читателям соблюдать осторожность и не использовать найденные скрипты для незаконных действий.

Кибер-разведка — удел не только спецслужб. Два энтузиаста с VPS в дата-центре, grep’ом и OSINT-инструментами решили проверить на прочность один из главных ресурсов украинского проекта «Миротворец»*. Рассказываем, как мы пытались проникнуть в их инфраструктуру, нашли забытые эндпоинты и неожиданно вышли на целую экосистему «охотников за секретами» — тех, кто автоматически собирает ключи, токены и пароли по всему даркнету.

Введение: почему сайт «Миротворец»* и зачем нам это было нужно

Сайт «Миротворец»* — украинский ресурс, позиционирующий себя как «реестр врагов Украины». Там публикуют личные данные людей, которых они считают угрозой, включая журналистов, артистов, военнослужащих и простых граждан. Нам стало интересно: насколько хорошо защищена инфраструктура этого ресурса? Есть ли там забытые ключи? Можно ли через OSINT найти секреты разработчиков?

Мы взяли VPS в облаке (Россия), настроили прокси и начали разведку. В итоге мы не взломали сайт «Миротворец»*, но нашли нечто более важное — сеть автоматических сборщиков утечек, которая работает прямо сейчас.

* Сайт признан экстремистским и запрещён на территории Российской Федерации.

Карта вражеской инфраструктуры (что мы узнали)

Мы просканировали DNS, SSL-сертификаты, поддомены и открытые порты. Вот что обнаружили:

  • myrotvorets.center — основной сайт, защищён Cloudflare.

  • report.myrotvorets.center — портал для приёма доносов.

  • cdn.myrotvorets.center — CDN для статики, где светилась панель nginx (ошибка конфигурации).

  • k8s000.myrotvorets.center — служебный узел Kubernetes (очевидно, вся инфраструктура в K8s).

  • api.myrotvorets.center — внутренний API (не отвечал, но факт его существования подтверждён).

  • identigraf.center — система распознавания лиц, которая используется для идентификации «врагов».

Вывод: проект профессионально развёрнут, используют современный стек (K8s, Cloudflare, npm-пакеты, TypeScript), но имеют оплошности типа открытого nginx.

. Как мы пытались проникнуть (и что пошло не так)

Мы использовали стандартный набор пентестера:

  • grep по JS-файлам,

  • сканирование портов через curl,

  • попытки клонировать GitHub-репозитории через SOCKS5-прокси,

  • поиск через Shodan и crt.sh.

Но натолкнулись на жёсткую блокировку: GitHub, npm, Shodan — всё было недоступно с нашего сервера. Прокси, который мы арендовали, не справлялся с HTTPS. Тогда мы перешли на ручной OSINT через браузер — и вот тут началось самое интересное.

Охотники за данными (с кем мы столкнулись)

В ходе поиска мы наткнулись на десятки репозиториев на GitHub, которые автоматически ищут утечки по ключевым словам. Они сканируют GitHub, Pastebin, S3-бакеты и другие источники, чтобы найти:

  • API-ключи OpenAI, Anthropic, Google,

  • токены Telegram-ботов,

  • пароли к базам данных,

  • SSH-ключи,

  • закрытые .env-файлы.

Вот несколько примеров кода, который мы нашли (прямые ссылки на репозитории прилагаются):

Сканер OpenAI-ключей (Nshpiter/github_go):

def check_openai_key(key):
    if not (key.startswith("sk-proj-") or key.startswith("sk-svcacct-")):
        return False
    # ... проверка ключа через API

Поиск секретов в .env-файлах (justlurking-around/justlurkingaround):

'"openai_api_key" "sk-" extension:js -test',
'"OPENAI_API_KEY" "sk-" extension:py -test',

Интеграция сайта «Миротворец»* в OSINT-инструменты (Valeriiy948/ODB):

<button onclick="openBatchMyrot()">☠️ База→Миротворець</button>

— этот разработчик встроил поиск по базе данных сайта «Миротворец»* в свою панель OSINT.

Мы нашли также проекты от PHNX3NT, sjinks, dartraiden — все они так или иначе связаны с сайтом «Миротворец»* или используют его API.

Выводы: чему нас научила эта разведка

  • Сайт «Миротворец»* защищён лучше, чем кажется, но имеет слабые места (утечка информации о внутренней инфраструктуре).

  • Существует целая экосистема инструментов для автоматического сбора утечек. Многие из них открыты и доступны на GitHub.

  • Разработчики, сами того не желая, оставляют ключи в публичных репозиториях, и любой желающий может их найти за 10 минут.

  • Важно проверять свои проекты через gitleaks и не использовать личные токены в общих репозиториях.

Комментарии (16)