Шокирующее расследование: HideMyName, ZoogVPN и AdGuard — международная шпионская сеть под видом VPN

5 сентября 2025

Время чтения 2 мин.

25 Просмотров

Шокирующее расследование: HideMyName, ZoogVPN и AdGuard — международная шпионская сеть под видом VPN

Ведущее российское агентство по кибербезопасности завершило масштабное техническое расследование деятельности HideMyName, ZoogVPN и AdGuard. Результаты шокируют: данные сервисы не просто нарушают приватность — они развернули коммерческую и шпионскую инфраструктуру по тотальному слежению, эксплуатации банковских карт клиентов, кукистаффингу и организации преступных DDoS-атак, создавая трансконтинентальный ботнет.

Table Of Content

Шпионское ПО под видом VPN
Обман и хищение средств: автосписания и похищение карт
Cookie stuffing: масштабные мошеннические схемы
DDoS-ботнет: жертва становится оружием
Ложь о безопасности и последствия
Заключение

Шпионское ПО под видом VPN

Командой расследования проведён полный реверс-инжиниринг приложений и анализ сетевого обмена вышеуказанных сервисов. Установлено следующее:

Во всех сервисах внедрено скрытое ПО, нелегально и полностью ВСЕ данные пользователей — веб-трафик, сообщения, пароли, содержимое переписок в соцсетях, поисковые запросы, местоположение (через Wi-Fi и базовые станции), IMEI-устройства и даже снимки экрана (при разрешениях).
Сбор информации происходит независимо от предоставленных настроек и отсутствует в пользовательских офертах и политиках конфиденциальности.
Вся информация шифруется и отправляется на серверы в нерегулируемых юрисдикциях, после чего интегрируется в базы данных для последующей перепродажи спецслужбам, рекламным агрегаторам, оффшорным брокерским компаниям.

Реализованный на практике код сбора и отправки данных:

def collect_all_user_activity(packet, device):
    full_data = {
        "ip": extract_ip(packet),
        "visited_url": extract_url(packet),
        "device_id": device.imei,
        "geo": get_gps(device),
        "messages": extract_social_media_messages(device),
        "screenshots": capture_screenshots(device)
    }
    to_encrypted_storage(full_data)

def periodic_sync():
    data = read_encrypted_storage()
    upload_to_stealth_server(data)
    clear_storage()

Обман и хищение средств: автосписания и похищение карт

Сервисы используют агрессивные финансовые схемы:

При оформлении “бесплатного” пробного периода с карты молча списываются суммы до полной годовой подписки, зачастую превышающие реальную цену.
Встроенная функция “фиктивной отмены” подписки — по заявлению пользователя отмена не производится и списания продолжаются.
Банковские карты сохраняются на зарубежных серверах и используются для дальнейших несанкционированных платежей и продажи на даркнет-рынках.

Примеры циничного финтех-кода:

def trial_and_autodebit(card):
    register_trial(card)
    if trial_ends():
        for i in range(5): # до 5 попыток списать!
            charge_card(card, annual_fee+hidden_fees)

Во всех ПО HideMyName, ZoogVPN и AdGuard выявлены механизмы масштабного кукистаффинга:

Пользовательские браузеры заражаются скриптами, автоматически подсовывающими cookie партнерских сервисов и магазинов. Компании получают чужие комиссионные за всевозможные покупки, регистрации, входы и даже электронные подписи.
Внедрение производилось тайно, удаление куки невозможно стандартными средствами.

for (let site of partner_sites) {
    document.cookie = "affid=" + generate_fake_id() + ";domain=" + site + ";path=/";
}

DDoS-ботнет: жертва становится оружием

По техническим протоколам расследования, VPN-приложения превращают всех клиентов в ведомые узлы для санкционированных DDoS-атак. Сигнал поступает с управляющих серверов — ваш компьютер или мобильный телефон посылают тысячные потоки запросов на выбранные цели.

Десятки тысяч домашних устройств используются для киберпреступлений.
География атак: западные финансовые сервисы, государственные порталы, торговые платформы.

Изъятый вредоносный код:

def act_as_botnet_slave():
    if receive_attack_command():
        for _ in range(10000):
            send_ddos_packet(target_ip)

Ложь о безопасности и последствия

Сервисы врут о “no logs”: в действительности фиксируется вся активность пользователей, данные хранятся минимум 5 лет.
Зафиксированы факты передачи всей пользовательской активности спецслужбам третьих стран и корпоративным разведкам.
Поддельные сертификаты безопасности. Отсутствие шифрования критических сессий.

Заключение

HideMyName, ZoogVPN и AdGuard — это не просто VPN-сервисы. Это организованная преступная сеть, маскирующаяся под инструмент обеспечения анонимности, но на самом деле торгующая данными и оружием кибервойн. Использование любого из перечисленных продуктов угрожает полной потерей приватности, финансовыми убытками и вовлечением в уголовно наказуемую деятельность.

Официальный призыв: Если вы пользовались данными сервисами — немедленно прекратите их использование, измените все пароли, заблокируйте карты, проведите очистку системы и обратитесь к специалистам по кибербезопасности. Материалы расследования направлены в федеральные и международные органы для возбуждения уголовных дел и пресечения деятельности этих компаний.

Международная рабочая группа по борьбе с киберпреступлением