«Медуза»: управление делами президента и АП причастны к утечке данных с сайта «Свободу Навальному!». Главное

Часть писем отправили с электронной почты издания «Москва-Баку», в котором работают бывшие сотрудники РИА ФАН

• Три основных домена (navalnyfail.ru, navalnyfail.online и megadeanon.tech), с которых шла рассылка писем с угрозами, заброшены хозяевами, рассказали «Медузе» в Reg.ru — компании-регистраторе, которой известны владельцы сайтов;
• Изданию удалось узнать ещё об одном домене — вечером 15 апреля несколько человек, опрошенных «Медузой», получили письма с почты [email protected];
• Этот домен и размещённый на нём сайт информационного агентства «Москва-Баку» принадлежат Мусе Мурадову, журналисту, который 30 лет назад возглавил независимую газету «Грозненский рабочий»;
  
• Мурадов руководит ИА «Москва-Баку». «Концепция нашего сайта — освещать российско-азербайджанские отношения, — объяснил он „Медузе“. — У нас скорее пиар-проект, понимаете? Даже не в формате СМИ»;
  
• На ютуб-канале издания работают выходцы с ВГТРК, а на сайте — бывшие сотрудники принадлежащего Евгению Пригожину РИА ФАН. Новости о Навальном на сайте «Москва-Баку» освещают нейтрально или не упоминают вовсе;
  

• Представители издания отвергли предположение, что кто-либо из сотрудников мог использовать инфраструктуру сайта для рассылки угроз. Опрошенные «Медузой» технические специалисты не исключают, что похожая на тестовую короткая рассылка могла быть совершена с домена «Москвы-Баку» по ошибке;

• По словам экспертов, «Москва-Баку» может вовсе не иметь никакого отношения к злоумышленникам. Сайт мог стать очередной их жертвой, так как заголовки писем легко подделать.

Для исполнителей «атаки» на сайт эта операция была не первой

• Неизвестные, атаковавшие сайт «Свободу Навальному!», проводят спецоперации в интернете не в первый раз, пишет «Медуза». При изучении регистрационных данных доменов, использованных для организации рассылки, становится ясно, что все они при создании были привязаны к одному виртуальному номеру и двум имейлам. Те же адреса обнаружило издание «Настоящее время»;
• Владелец одного из адресов уже участвовал в провокациях против ФБК, обратил внимание телеграм-канал Reworr. Этот адрес оставлен как контактный в объявлении о «раздаче денег» на акции, инициированной Ильёй Яшиным и поддержанной сотрудниками ФБК;
• Судя по совпадению данных, эта группа зарегистрировала и домен navalny.ru.com, который пока, насколько известно «Медузе», не использовался рассылке или фишинге. Остальные зарегистрированные группой домены выглядят как сайты-подделки, имитирующие официальные ресурсы госведомств.

Предположительно, эти же неизвестные ранее атаковали сайт самарского издания «Засекин.ру»

• Судя по пересечению регистрационных данных доменов, та же группа неизвестных создала сайты zasekin.press и zasekin.space. Они появились в феврале, накануне провокации против самарского издания «Засекин.ру»;
• Хакеры подделали электронный адрес «Засекин.ру» — и начали рассылку от имени редакции. Они напомнили самарским чиновникам и отделениям партий о грядущих выборах в губернскую думу, предлагая «не голосовать за кандидатов от бункерного карлика», а поддержать «Умное голосование» Алексея Навального. Владелец сайта Дмитрий Лобойко заявил, что не является сторонником Навального. По его мнению, за атакой стоят «люди из АП»;
  
• 22 февраля страницы сайта стали заполняться краткими описаниями способов самоубийства, ссылками на детскую порнографию и песнями группы «Коловрат». Материалы попадали на страницы сайта через систему комментариев, параллельно началась DDoS-атака;
  
• По словам Лобойко, атака шла на страницу с заметкой о ветеране ФСБ Павле Селезнёве, опубликованная изданием накануне хакерской атаки. Со ссылкой на материалы суда «Засекин.ру» пересказал историю попыток бывшего силовика уехать за границу. Покидать страну ветеранам спецслужбы нельзя в течение пяти лет после увольнения, но подполковник раздобыл загранпаспорт на чужое имя и вылетел в Дубай;
• «Оказалось, что у самого экс-силовика возможностей для организации спецоперации в интернете нет», — сказал Лобойко. Но, как утверждает собеседник «Медузы» в Самаре, помочь Селезнёву мог его близкий товарищ и бизнес-партнёр Михаил Дудин — «талантливый математик и программист».
  

Один из предполагаемых организаторов атаки на сайт Навального — программист, больше 10 лет сотрудничающий с АП

• Согласно данным «СПАРК», до 2018 года Дудин был учредителем и гендиректором айти-компании «Алекс-Консалт». По словам собеседника «Медузы», он сотрудничал с органами госбезопасности и десять лет назад пытался продать ФСБ свою разработку по определению точного местоположения абонентов с использованием вышек сотовой связи;
• Сейчас Дудин перебрался в Москву, где представляется как сотрудник администрации президента, пишет «Медуза». «Он абсолютно непубличное лицо. Работает сейчас на [начальника управления президента по внутренней политике Андрея] Ярина», — рассказал собеседник издания;
  

• Трудоустроен ли Дудин в администрации официально, «Медузе» уточнить не удалось. Источники издания говорят, что в АП его знают уже больше десяти лет. Сейчас программист и правда «сотрудничает с Яриным», утверждают близкий к ФСБ и близкий к АП источники «Медузы». В 2017 году Ярин возглавил инициативу Кремля по защите от киберугроз из-за рубежа, а осенью 2020-го попал под санкции ЕС из-за отравления Навального;

• Источники издания подтвердили «Медузе», что Дудин действительно причастен к атаке на сайт «Свободу Навальному!». Программист оказался связан и с НИИ при Управделами президента, которое собеседники «Медузы» также называют причастным к атаке на сайт сторонников Навального;

• Чтобы при помощи адресов электронной почты составить базу с актуальными данными о людях, которые им принадлежат, злоумышленники пользовались СУБД «Спрут», которая считается одной их самых полноценных коллекций баз данных. «А у „Спрута“ — прямые контракты и официальная работа с ГлавНИВЦ, то есть, считай, с АП», — рассказал «Медузе» собеседник на российском рынке данных;

• Главный научно-исследовательский вычислительный центр (ГлавНИВЦ) при Управделами президента — одна из организаций при Кремле, отвечающая за высокотехнологичные операции. В руководстве этого полусекретного НИИ, как ранее писала «Медуза» — выходцы из российских спецслужб, а команда программистов занималась разработкой технологий деанонимизации для нужд силовиков;

• 14 апреля ГлавНИВЦ возглавил Вадим Гайсин — земляк и давний-бизнес-партнёр Михаила Дудина. С его приходом собеседники «Медузы» связывают грядущие перемены в НИИ и возвращение к «реальной работе» — разработкам для силовиков;
• О причастности Дудина к сливу в своём расследовании пишет и «Настоящее время». Программист отказался беседовать с обоими изданиями.