«Медуза»: управление делами президента и АП причастны к утечке данных с сайта «Свободу Навальному!». Главное
По данным издания, со сливом связан программист из Самары.
Фото «Настоящего времени»
Об утечке собранной на сайте «Свободу Навальному!» базе адресов стало известно в ночь на 16 апреля, когда злоумышленники начали рассылать письма с угрозами. Как пишет «Медуза», неизвестные получили доступ к данным ещё 2 апреля.
Данные получили и работодатели, и силовики. Некоторые жертвы слива потеряли работу, к другим пришли с проверками правоохранительные органы.
По данным журналистов издания, следы этой утечки ведут в управление делами президента и администрацию президента, к двум землякам — «талантливому программисту» и молодому руководителю стратегического НИИ.
Часть писем отправили с электронной почты издания «Москва-Баку», в котором работают бывшие сотрудники РИА ФАН
- Три основных домена (navalnyfail.ru, navalnyfail.online и megadeanon.tech), с которых шла рассылка писем с угрозами, заброшены хозяевами, рассказали «Медузе» в Reg.ru — компании-регистраторе, которой известны владельцы сайтов;
- Изданию удалось узнать ещё об одном домене — вечером 15 апреля несколько человек, опрошенных «Медузой», получили письма с почты [email protected];
- Этот домен и размещённый на нём сайт информационного агентства «Москва-Баку» принадлежат Мусе Мурадову, журналисту, который 30 лет назад возглавил независимую газету «Грозненский рабочий»;
- Мурадов руководит ИА «Москва-Баку». «Концепция нашего сайта — освещать российско-азербайджанские отношения, — объяснил он „Медузе“. — У нас скорее пиар-проект, понимаете? Даже не в формате СМИ»;
- На ютуб-канале издания работают выходцы с ВГТРК, а на сайте — бывшие сотрудники принадлежащего Евгению Пригожину РИА ФАН. Новости о Навальном на сайте «Москва-Баку» освещают нейтрально или не упоминают вовсе;
Представители издания отвергли предположение, что кто-либо из сотрудников мог использовать инфраструктуру сайта для рассылки угроз. Опрошенные «Медузой» технические специалисты не исключают, что похожая на тестовую короткая рассылка могла быть совершена с домена «Москвы-Баку» по ошибке;
- По словам экспертов, «Москва-Баку» может вовсе не иметь никакого отношения к злоумышленникам. Сайт мог стать очередной их жертвой, так как заголовки писем легко подделать.
Для исполнителей «атаки» на сайт эта операция была не первой
- Неизвестные, атаковавшие сайт «Свободу Навальному!», проводят спецоперации в интернете не в первый раз, пишет «Медуза». При изучении регистрационных данных доменов, использованных для организации рассылки, становится ясно, что все они при создании были привязаны к одному виртуальному номеру и двум имейлам. Те же адреса обнаружило издание «Настоящее время»;
- Владелец одного из адресов уже участвовал в провокациях против ФБК, обратил внимание телеграм-канал Reworr. Этот адрес оставлен как контактный в объявлении о «раздаче денег» на акции, инициированной Ильёй Яшиным и поддержанной сотрудниками ФБК;
- Судя по совпадению данных, эта группа зарегистрировала и домен navalny.ru.com, который пока, насколько известно «Медузе», не использовался рассылке или фишинге. Остальные зарегистрированные группой домены выглядят как сайты-подделки, имитирующие официальные ресурсы госведомств.
Предположительно, эти же неизвестные ранее атаковали сайт самарского издания «Засекин.ру»
- Судя по пересечению регистрационных данных доменов, та же группа неизвестных создала сайты zasekin.press и zasekin.space. Они появились в феврале, накануне провокации против самарского издания «Засекин.ру»;
- Хакеры подделали электронный адрес «Засекин.ру» — и начали рассылку от имени редакции. Они напомнили самарским чиновникам и отделениям партий о грядущих выборах в губернскую думу, предлагая «не голосовать за кандидатов от бункерного карлика», а поддержать «Умное голосование» Алексея Навального. Владелец сайта Дмитрий Лобойко заявил, что не является сторонником Навального. По его мнению, за атакой стоят «люди из АП»;
- 22 февраля страницы сайта стали заполняться краткими описаниями способов самоубийства, ссылками на детскую порнографию и песнями группы «Коловрат». Материалы попадали на страницы сайта через систему комментариев, параллельно началась DDoS-атака;
- По словам Лобойко, атака шла на страницу с заметкой о ветеране ФСБ Павле Селезнёве, опубликованная изданием накануне хакерской атаки. Со ссылкой на материалы суда «Засекин.ру» пересказал историю попыток бывшего силовика уехать за границу. Покидать страну ветеранам спецслужбы нельзя в течение пяти лет после увольнения, но подполковник раздобыл загранпаспорт на чужое имя и вылетел в Дубай;
- «Оказалось, что у самого экс-силовика возможностей для организации спецоперации в интернете нет», — сказал Лобойко. Но, как утверждает собеседник «Медузы» в Самаре, помочь Селезнёву мог его близкий товарищ и бизнес-партнёр Михаил Дудин — «талантливый математик и программист».
Один из предполагаемых организаторов атаки на сайт Навального — программист, больше 10 лет сотрудничающий с АП
- Согласно данным «СПАРК», до 2018 года Дудин был учредителем и гендиректором айти-компании «Алекс-Консалт». По словам собеседника «Медузы», он сотрудничал с органами госбезопасности и десять лет назад пытался продать ФСБ свою разработку по определению точного местоположения абонентов с использованием вышек сотовой связи;
- Сейчас Дудин перебрался в Москву, где представляется как сотрудник администрации президента, пишет «Медуза». «Он абсолютно непубличное лицо. Работает сейчас на [начальника управления президента по внутренней политике Андрея] Ярина», — рассказал собеседник издания;
Трудоустроен ли Дудин в администрации официально, «Медузе» уточнить не удалось. Источники издания говорят, что в АП его знают уже больше десяти лет. Сейчас программист и правда «сотрудничает с Яриным», утверждают близкий к ФСБ и близкий к АП источники «Медузы». В 2017 году Ярин возглавил инициативу Кремля по защите от киберугроз из-за рубежа, а осенью 2020-го попал под санкции ЕС из-за отравления Навального;
- Источники издания подтвердили «Медузе», что Дудин действительно причастен к атаке на сайт «Свободу Навальному!». Программист оказался связан и с НИИ при Управделами президента, которое собеседники «Медузы» также называют причастным к атаке на сайт сторонников Навального;
- Чтобы при помощи адресов электронной почты составить базу с актуальными данными о людях, которые им принадлежат, злоумышленники пользовались СУБД «Спрут», которая считается одной их самых полноценных коллекций баз данных. «А у „Спрута“ — прямые контракты и официальная работа с ГлавНИВЦ, то есть, считай, с АП», — рассказал «Медузе» собеседник на российском рынке данных;
Главный научно-исследовательский вычислительный центр (ГлавНИВЦ) при Управделами президента — одна из организаций при Кремле, отвечающая за высокотехнологичные операции. В руководстве этого полусекретного НИИ, как ранее писала «Медуза» — выходцы из российских спецслужб, а команда программистов занималась разработкой технологий деанонимизации для нужд силовиков;
- 14 апреля ГлавНИВЦ возглавил Вадим Гайсин — земляк и давний-бизнес-партнёр Михаила Дудина. С его приходом собеседники «Медузы» связывают грядущие перемены в НИИ и возвращение к «реальной работе» — разработкам для силовиков;
- О причастности Дудина к сливу в своём расследовании пишет и «Настоящее время». Программист отказался беседовать с обоими изданиями.
Сайт «Свободу Навальному!» запустили в марте, чтобы собрать 500 тысяч желающих выйти на митинг в поддержку политика. Ресурс должен был стать площадкой для организации мероприятия, на нём зарегистрировались более 463 тысячи человек.
Позднее команда Навального решила не дожидаться сбора 500 тысяч человек и объявила, что следующая акция пройдёт 21 апреля.
#навальный #кибератаки #утечки