GUI ценой приватности: как форк Zapret 2 GUI превратился в шпионский инструмент
Замедление YouTube, Discord и других популярных сервисов в России породило целую волну программ, обещающих "обход блокировок в два клика". На фоне сложных консольных утилит особенно быстро набирают популярность решения с красивыми графическими интерфейсами: кнопка "Включить", статус "Все работает" - и никакой мороки с настройками.
Флагман среди инструментов обхода DPI - проект zapret от разработчика под ником bol-van. Это мощное и хорошо изученное решение, но управляется через консоль и вызывает у неподготовленного пользователя естественный страх: "а вдруг я что-то сломаю?". Этим страхом и пользуются авторы многочисленных GUI-оболочек - поверх проверенного ядра собирают "обертку для домохозяек".
Однако именно за этой удобной оберткой зачастую прячется не просто дополнительный функционал, а откровенно вредоносные механизмы. Один из таких примеров - форк под названием Zapret 2 GUI (разработчик выступает под ником censorliber). Утилита успела собрать сотни звезд и массу положительных отзывов, но детальный технический разбор показывает: перед нами не просто клиент для обхода DPI, а полнофункциональный шпионский и потенциально деструктивный инструмент.
Кто и зачем разобрал код
Автор технического анализа - 17‑летний энтузиаст, увлекающийся реверс-инжинирингом и информационной безопасностью. Поводом для исследования стало странное поведение программы на компьютере его близкого человека: аномальные изменения системных настроек, подозрительные процессы, вмешательство в защитные механизмы Windows.
Дальше последовал аудит исходников и динамический анализ собранных бинарников. Комбинация статического и поведенческого анализа показала набор признаков, типичных для Trojan-Downloader и шпионских модулей: отключение встроенной защиты, скрытая установка корневых сертификатов, сбор и отправка системной информации на удаленный узел.
Попытки обсудить результаты с разработчиками натолкнулись не на технический диалог, а на агрессию и обесценивание. Вместо объяснений - обвинения в "тексте, сгенерированном ИИ", насмешки и полупризнание: "в приватном репозитории лежат секреты". Для открытого проекта это звучит как прямое признание наличия закрытого, неаудируемого вредоносного кода.
Отключение защиты Windows: подготовка поля боя
Один из ключевых файлов проекта - altmenu/defender_manager.py. Вместо того чтобы ограничиться маршрутами и правилами для обхода DPI, скрипт целенаправленно вмешивается в настройки Windows Defender, изменяя параметры в реестре таким образом, чтобы фактически вывести защитник из строя.
Формальное объяснение разработчиков - "антивирус мешает работе программы, мы заботимся о пользователях, чтобы всё не блокировалось". На деле же это классическая тактика подготовки системы к дальнейшей компрометации:
- отключенный Defender не отслеживает подозрительную активность;
- любое дополнительное вредоносное ПО или обновления самой утилиты получают карт-бланш;
- пользователь продолжает считать систему защищенной, не подозревая, что базовый щит уже снят.
Для честного инструмента обхода блокировок максимум, что может понадобиться, - корректная настройка брандмауэра и сетевых маршрутов. Полное отключение антивируса никак не входит в зону "нормального" поведения утилиты и выступает ярким красным флагом.
Скрытая установка корневого сертификата: MitM под видом "удобства"
Самый опасный компонент обнаружен в файле startup/certificate_installer.py. Этот модуль без явного уведомления пользователя добавляет сторонний сертификат в хранилище "Доверенные корневые центры".
Для понимания масштабов угрозы важно разделить две вещи:
- для обхода DPI, работающего на уровне SNI и пакетов, корневой сертификат не нужен;
- Root CA нужен для организации атаки "человек посередине" (MitM) на HTTPS-трафик.
Получив возможность подсовывать системе поддельные сертификаты, владелец такого Root CA способен прозрачно расшифровывать зашифрованный трафик:
- читать вашу переписку в мессенджерах с веб-интерфейсом;
- перехватывать Cookie и токены сессий, а затем угонять аккаунты;
- получать пароли, передаваемые через HTTPS‑формы, если сайт не использует дополнительные методы защиты;
- модифицировать загружаемые страницы на лету, внедряя вредоносный JavaScript или баннеры.
Критично, что пользователь в этом сценарии ничего не заметит: браузер будет считать соединение "безопасным", потому что доверяет корневому центру, уже находящемуся в системе.
Шпионаж через Telegram-ботов: скрытая телеметрия раз в полчаса
Отдельного внимания заслуживают скрипты tgram/tg_log_delta.py и tgram/tg_log_full.py. Они периодически - примерно каждые 30 минут - собирают системную информацию:
- имя компьютера;
- версию операционной системы;
- уникальный идентификатор (UUID) машины.
Собранные данные упаковываются и отсылаются в приватный Telegram-чат, администрируемый разработчиками. Доступ осуществляется через зашифрованные токены ботов, что затрудняет поверхностный анализ и маскирует реальный адресат.
На первый взгляд такой сбор может показаться безобидной "телеметрией для статистики". Но:
- пользователь об этом нигде явно не информируется;
- нет прозрачного описания, какие именно данные и с какой целью собираются;
- отправка в закрытый чат, а не на публичный сервер с понятной политикой, выглядит как намеренное сокрытие.
Фактически вы получаете "маячок" в системе, который регулярно докладывает о том, что ваша машина жива, доступна и продолжает использоваться. В сочетании с отключенным Defender и установленным Root CA это создает идеальные условия для точечных атак и доустановки полезной нагрузки.
EXE-сборки против исходников: расхождение реальности и витрины
Даже если не доверять анализу отдельных файлов и скриптов, настораживает сама организация распространения. Исходный код проекта позиционируется как открытый, но пользователям настойчиво предлагают готовые EXE‑сборки, распространяемые через сторонние каналы.
При этом сами авторы признают: код, выложенный в репозитории, "отстает от реального примерно на два месяца". То есть то, что запускает пользователь, и то, что он может изучить глазами или с помощью аудитора, - это две разные программы. Такой разрыв - классический прием маскировки вредоносных функций: чистая витрина для проверки и отдельная, более свежая ветка с реальной нагрузкой.
Анализ этих EXE‑файлов в автоматизированных песочницах показывает однозначный вердикт: вредоносное поведение с признаками загрузчика и шпионского ПО, попытки внедрения кода в память других процессов, подозрительная сетевая активность. То есть бинарники ведут себя значительно агрессивнее, чем следует из исходников.
Лицензия, этика и монетизация на чужом труде
Официально проект описывается как форк, основанный на ядре zapret, в частности на компоненте winws.exe. Ядро распространяется по свободной лицензии с обязательным указанием оригинального автора. В Zapret 2 GUI это требование грубо нарушено: имя автора ядра удалено и заменено псевдонимом создателя GUI.
К этому добавляется ещё один уровень цинизма: поверх свободного и бесплатного ядра выстраивается система платных премиум‑подписок. Пользователю продают "расширенный функционал", хотя ключевой механизм построен на чужом свободном коде, а сам продукт дополнительно ворует данные и нарушает приватность.
Такой подход уничтожает доверие не только к конкретному проекту, но и к экосистеме в целом. Пользователь, однажды обжегшись на "вредоносном форке", начинает с подозрением относиться к любым открытым решениям - даже честным.
Реакция разработчиков: газлайтинг вместо аргументов
Вместо технического разбора и демонстрации "невиновности" кода разработчики выбрали тактику давления и обесценивания. В ответ на вопросы о необходимости Root CA и скрытой телеметрии звучали реплики:
- "Ты зумер с ChatGPT, не понимаешь, как это работает";
- "Программа для домохозяек, им так удобнее";
- "У нас есть приватный репозиторий, там лежат секреты".
Особенно показательна последняя фраза. Любой проект, претендующий на доверие, не может скрывать критичный функционал в закрытых ветках. Если программа имеет доступ уровня TrustedInstaller, устанавливает корневые сертификаты и вмешивается в систему безопасности, вся эта логика должна быть до последней строки доступна для аудита. Иначе доверять такому софту по определению нельзя.
Что делать, если вы уже ставили Zapret 2 GUI
Если эта программа когда-либо запускалась на вашем компьютере, разумно исходить из того, что система могла быть скомпрометирована:
1. Полностью удалите Zapret 2 GUI и все её компоненты. Не ограничивайтесь удалением ярлыка - проверьте папки Program Files, AppData и раздел автозагрузки.
2. Проверьте хранилище сертификатов:
- Нажмите Win + R, введите `certmgr.msc`;
- откройте раздел "Доверенные корневые центры" и внимательно просмотрите список;
- удалите подозрительные или недавно появившиеся записи, если вы точно не устанавливали их сами.
3. Восстановите файл hosts:
- убедитесь, что в `C:WindowsSystem32driversetchosts` нет лишних IP‑адресов и доменов;
- проверьте права доступа: файл не должен быть открыт на запись для группы Everyone.
4. Включите и проверьте работу антивируса:
- убедитесь, что Windows Defender или выбранный вами AV‑продукт активен;
- выполните полное сканирование системы.
5. Смените пароли в критически важных сервисах:
- почта, мессенджеры, соцсети, банки, рабочие аккаунты;
- по возможности подключите двухфакторную аутентификацию.
Если вы администрируете несколько машин (семья, офис, клуб) и распространяли утилиту другим, стоит проинформировать всех, кто мог её установить, и предложить аналогичные меры.
Как выбирать инструменты обхода DPI без риска
История с этим форком - повод пересмотреть подход к выбору любых "волшебных программ с кнопкой обхода". Несколько базовых правил гигиены:
- Осторожнее с "оболочками для домохозяек". Чем проще интерфейс и громче обещания "всё само", тем внимательнее нужно смотреть, что программа делает с правами администратора.
- Предпочитайте проекты, где сетевое ядро и GUI разделены, а ядро хорошо известно и давно используется сообществом.
- Всегда проверяйте, какие права запрашивает утилита. Для обхода DPI обычно достаточно пользовательских прав и корректной настройки драйверов и маршрутизации. Права уровня TrustedInstaller и вмешательство в ядро системы - тревожный сигнал.
- С осторожностью относитесь к программам, которые настойчиво предлагают скачивать только готовые EXE‑сборки, а исходники при этом "отстают" от реальной версии.
- Обращайте внимание на отношение разработчиков к критике. Грубость, высмеивание и уход от технических ответов обычно говорят о том, что скрывать есть что.
Почему "бесплатный GUI" часто дороже VPN
Многим кажется, что "подписка на VPN - это дорого, а тут все бесплатно и красиво". Но с точки зрения безопасности бесплатный "форк с GUI" может обойтись куда дороже:
- угнанные аккаунты и потеря доступа к важным сервисам;
- компрометация рабочих почт и внутренних ресурсов компании;
- возможная подмена загружаемого контента и заражение других устройств в сети;
- риск утечки личной информации, которая позже всплывет в объявлениях, целевой рекламе или, в худшем случае, шантаже.
VPN‑сервисы и проверенные сетевые инструменты хотя бы имеют репутацию, бизнес‑модель и понятную мотивацию. У анонимного автора форка с платными "премиум‑подписками" и скрытыми сертификатами мотивация одна - максимизировать выгоду за счет вашей доверчивости и невнимательности.
Итог: удобство не должно стоить приватности
Zapret 2 GUI - показательный пример того, как под эгидой "помощи рядовому пользователю" можно построить полноценный инструмент для шпионажа и ослабления защиты системы. Отключение Defender, скрытая установка Root CA, регулярная отправка телеметрии и агрессивная реакция на вопросы - это не признаки дружественного утилитарного софта.
Если ваш основной критерий выбора - "чтобы было с кнопочкой и бесплатно", вы сознательно ставите удобство выше безопасности. В современном мире это почти всегда заканчивается плохо.
Берегите свою цифровую личность: не доверяйте программам, которые просят слишком много и объясняют слишком мало, какими бы красивыми ни были их окна и логотипы.
