Операция Navalnyfail, часть вторая. Хакеры из Поволжья против "Умного голосования"

19 сентября закончились выборы в Госдуму: "Единая Россия" потеряла часть мест в нижней палате парламента, но сохранила конституционное большинство. Выборы проходили в условиях беспрецедентной борьбы с оппозицией: власти сперва признали экстремистским Фонд борьбы с коррупцией (ФБК) Алексея Навального и не допустили до выборов его сторонников, а затем всеми силами боролись с "Умным голосованием" – стратегией Навального, направленной на поражение кандидатов от партии власти. Государство блокировало сайт и другие ресурсы "Умного голосования", а также добилось удаления информации о нем с сервисов "Яндекса", Apple и Google.

Параллельно борьба со сторонниками Навального велась и по другому направлению: к активистам приходила полиция, некоторых увольняли с работы. Кроме того, они получали письма и СМС с фальшивыми рекомендациями для "Умного голосования" вплоть до последнего дня выборов.

В мае Настоящее Время и "Медуза" независимо друг от друга установили, что за публикацией этих баз может стоять влиятельный самарский бизнесмен Михаил Дудин. В новом расследовании НВ удалось узнать, как именно Дудин связан с Кремлем, ФСБ и МЧС России, поговорить с человеком, который может быть причастен к взломам, а также вскрыть серию кибератак, следы которых ведут в Поволжье.

"Обогащение" данных о сторонниках Навального

Вычислить сторонников Алексея Навального весной 2021 года позволила утечка имейлов с сайта free.navalny.com – до этого структуры оппозиционера не допускали подобных оплошностей. База насчитывала 529 тысяч адресов, злоумышленники оповестили каждого: "Мы продолжим получать о вас новые данные, ха-ха-ха".

Вскоре в открытом доступе действительно появились "обогащенные" базы сторонников Навального, содержащие, в частности, их места работы, реальные и сетевые адреса. В крупнейшей утечке было 2,1 млн имейлов, на которые, если верить злоумышленникам, приходила рассылка ФБК. Напротив многих адресов был указан город.

"Приведете в "Умное голосование" родственника – станете круче на 3000%", – писал Навальный из колонии

Базы с персональными данными сторонников Навального можно обнаружить на форумах, анонимных имиджбордах и в телеграм-каналах. Первоисточник большинства этих публикаций – хакерский форум XSS (с 2005 года до ареста администратора белорусскими властями в 2017-м был известен как DaMaGeLab). Там базы распространяет пользователь под ником scs. В его портфолио на XSS – 29 утечек, из которых Навальному посвящены 28. Изначально scs писал, что находит эти утечки в интернете, но в одном из обсуждений признался, что "обогащает" базы информацией из других мест: "Они [структуры Навального] сняли штаны и выставили в открытый доступ свое хозяйство – 2,2 млн почт. Грех такое пропускать. А мы совсем скоро все обогатим". Вскоре scs удалил этот пост, но его копия сохранилась у Настоящего Времени.

Корреспондент НВ связался с хакером через личные сообщения на форуме – вместо ответа тот предложил "писать письма" на адрес Владислава Здольникова: бывший консультант Навального по кибербезопасности в последние месяцы критикует оставшихся на свободе менеджеров команды.

Однако Настоящему Времени удалось поговорить с человеком, который может стоять за аккаунтом scs, а также выявить целую сеть фальшивых аккаунтов и сайтов, которые использовались для восхваления "Единой России", рассылки угроз оппозиционерам, а также для организации атак на журналистов в Поволжье.

Телеведущая из Самары

Первый пост scs опубликовал 15 апреля: он содержал скриншот письма сторонникам Навального с предложением "вспомнить тот момент, когда отдали свои данные в руки лузеров". Письмо, утверждал тогда scs, пришло в том числе на его ящик. На скриншоте был указан отправитель – es4216191@gmail.com, адрес зарегистрирован на "Елену Сафронову". Настоящее Время опросило 30 человек, получавших спам про Навального в этом году, и ни одному из них не знаком имейл "Елены".

Скриншот с письмом злоумышленника (адрес выделен Настоящим Временем)

Этот имейл почти не засвечен в интернете, но в апреле 2021 года "Елена" создала на картах Google метку адвокатского кабинета "Паулов и К" в Самаре, обозначив его как "сауна", поставила одну звезду из пяти возможных и прокомментировала: "Хамоватый адвокат. Слабо понимающий, чем он занимается". РИА Новости называет Александра Паулова одним из самых известных адвокатов в Самаре: за спиной у него более 20 лет опыта по уголовным делам и 11 оправдательных приговоров.

Супруга Паулова – самарская телеведущая и блогер Ольга Паулова – говорит Настоящему Времени, что не знала о такой метке на картах Google. Но одновременно с ее появлением телеграм-канал Пауловой пережил атаку ботов – более 100 тысяч подписчиков, накручивавших просмотры и провоцировавших администрацию мессенджера на блокировку. В то же время на телефоны Пауловой и ее мужа начали приходить коды двухфакторной аутентификации от интернет-сервисов – в том числе тех, которыми они никогда не пользовались. Их номера также разместили на сайтах секс-услуг, причем с прицелом на дальневосточную аудиторию: когда там наступал вечер, в Самаре был разгар рабочего дня, и телефоны Ольги и Александра разрывались от звонков.

Хакеры также дважды взломали сайт Общественной палаты Самарской области, членом которой Паулов был в 2014-2017 годы, и изменили его биографию. В последней редакции они добавили Александру "дату смерти" – через три месяца после взлома.

Паулова считает, что все это – месть за публикацию о подполковнике ФСБ в отставке Павле Селезневе, который был осужден в Самаре за незаконное пересечение государственной границы: бывший чекист оставался невыездным до августа 2020 года, но в 2019 году оформил паспорт на имя "Павла Елезина" и слетал в Дубай, а затем в Турцию. Паулова, как и многие самарские медийщики, получила сигнал от людей, связанных с администрацией области, что пост должен быть удален, но не подчинилась.

"Привет от друзей" и другие сигналы

Параллельно Ольге Пауловой поступали другие сигналы: 8 марта 2021 года на лобовом стекле автомобиля она нашла две гвоздики и записку "привет от друзей", а в конце месяца под машиной – коробку с муляжом бомбы. "Коробку обезвредили саперы и нашли в ней все то, чем начиняют самовзрывающиеся устройства, – рассказывает Паулова Настоящему Времени. – Телефон, металлические элементы, магнит, не хватало взрывчатки". Но к этим сигналам Селезнев и Дудин отношения не имеют, утверждает Паулова, – за ними могут стоять другие ее недоброжелатели в самарском истеблишменте.

"Вся ситуация вокруг меня очень странная, – отмечает Паулова. – Я не оппозиционерка, уважаю существующий строй, я абсолютно нормально отношусь к Путину. Зачем тратить на меня силы и ресурсы, если я, наоборот, могу помогать? Я считаю, что все это – личная месть человека, который не может совладать с собой и признать, что женщина может быть сильной".

Организатором кибератаки Ольга Паулова считает бывшего бизнес-партнера Селезнева, 42-летнего самарского IT-деятеля Михаила Дудина. Именно его источники НВ и "Медузы" связывают с распространением баз сторонников Навального.

Самарский бизнесмен в Управделами президента

Одним из первых о суде над бывшим эфэсбэшником Селезневым написал самарский сайт "Засекин", вскоре злоумышленники разослали от его лица призывы поддержать "Умное голосование" (адресатами были Генпрокуратура, Следственный комитет и администрация Самары), а также подвергли сайт DDoS-атаке – до 2 млн обращений за сутки. Основатель сайта Дмитрий Лобойко также считает, что этим стоит Михаил Дудин.

В 2013 году основанная Дудиным компания "Ютек-НН" получила бессрочную лицензию ФСБ "на производство и реализацию технических средств, предназначенных для негласного получения информации". В вакансиях компании говорилось, что она "разрабатывает высокотехнологичные решения в госсекторе", но подробностей в открытом доступе нет, сайт компании запаролен.

Михаил Дудин (в центре) на открытии боксерского клуба в Самаре

"Компания разрабатывала ПО [программное обеспечение] на аутсорсе, – рассказывает Настоящему Времени бывший сотрудник "Ютек-НН", пожелавший сохранить анонимность. – Мне говорили, что нужно писать какой-то код. Я и писал. Представьте задачу: нужно сделать регистрацию на сайте. Зачем, кому, кто заказал – мне это знать не нужно".

"Все сидят уткнувшись в монитор", – описывает источник атмосферу в компании.

В 2020 году Михаил Дудин продал компанию (33% теперь принадлежат "дочке" "Ростеха", остальные – основанной в 2020 году нижегородской компании "ТР-Инвест") и перешел на новую работу.

Ранее мы писали, что Дудин близок к администрации президента. С тех пор два источника, знакомые с его биографией, подтвердили, что бывший IT-бизнесмен официально работает в Управлении делами президента РФ.

В мобильном приложении для определения номеров Дудин записан как "Михил Админ Прзидент". Пользователи этого приложения автоматически расшаривают свои номера и телефонные книжки. В 2021 году в сеть утекла информация не только о том, как записаны номера телефонов, но и кто их записывал. Номер Дудина с приведенной выше формулировкой добавил замначальника полиции по оперативной работе УВД Троицкого и Новомосковского административных округов Москвы Максим Афанасьев.

Только в Москве полиция посетила или обзвонила 1599 сторонников Навального, чьи данные также оказались в сети, сообщили Настоящему Времени в "ОВД-Инфо".

Поволжские программисты на службе у МЧС

В мае 2021 года благодаря кибератаке на издание "Засекин" Настоящее Время обнаружило сеть мошеннических сайтов, которые использовались для организации целой серии подобных атак. В том числе они были задействованы для рассылки угроз сторонникам Алексея Навального (еще часть, судя по всему, создавалась для фишинга – их адреса напоминали сайты почтовых сервисов).

Сайты были зарегистрированы на несколько повторяющихся имейлов, в основном с женскими именами в адресах.

"Моя оборона": зачем злоумышленникам самодельные прокси?

Эта сеть оказалась шире, чем изначально предполагало Настоящее Время: одним из первых ее элементов в 2018 году был сайт moyaoborona.online, зарегистрированный на "Катерину Старомосковскую". Уникальные характеристики этого доменного имени приводят прямо в 2021 год – к сайтам, с которых рассылались базы сторонников Навального.

В отличие от других сайтов, созданных тем же человеком или организацией, moyaoborona.online упоминался [1, 2] во "ВКонтакте": фальшивый аккаунт "Ольга Бондарева" советовал его в качестве прокси для обхода блокировок телеграма, а вместе с ним еще один – sharov-analnii-cloun.ml (возможно, намек на Александра Жарова, главу Роскомнадзора в 2012-2020 годах, – при нем ведомство пыталось заблокировать мессенджер).

Аватар "Ольги" во "ВКонтакте" заимствован из соцсетей болгарской певицы Элицы Златановой

Кроме фейкового аккаунта, эти прокси никто не упоминал – ни в одной из соцсетей.

Себя "Ольга" позиционировала как жительницу города Отрадный Самарской области. Помимо размещения ссылок на прокси под постами Роскомнадзора, она писала хвалебные посты о местном отделении "Единой России", а также вела два сообщества во "ВКонтакте" [1, 2], освещавших выборы в позитивном для партии ключе. Сейчас этот аккаунт заброшен.

Сторонние прокси могут использоваться не только для обхода блокировок, рассказывает Настоящему Времени эксперт по ограничениям в интернете, автор телеграм-канала "Эшер II" Филипп Кулин, но и для исследований трафика. Правда, толку от них немного: "Провести деанонимизацию пользователя таким образом очень сложно. Можно кидать в лички картинки определенного размера и из этого делать вывод (очень косвенный), с какого сетевого адреса сидит пользователь. Кроме того, короткое время – буквально несколько дней – телеграм мог "лить" на прокси голосовые звонки – их также можно было анализировать".

Технический консультант "Роскомсвободы" Леонид Евдокимов считает, что если кто-то и проводил эксперименты по деанонимизации с помощью прокси, то не спецслужбы: "Теоретически прокси можно было бы использовать для так называемой traffic correlation attack, но тогда не понятно, о каком акторе мы говорим. Если о спецслужбах РФ, то у них и так для этого есть данные СОРМ – и прокси в такой цепочке лишнее звено".

Назначение некоторых сайтов мошеннической сети выяснить не удалось: например, mchs.tech. Связан ли он с Министерством по чрезвычайным ситуациям? Настоящее Время отправило в ведомство запрос, но ответа пока не получило.

IT-инфраструктуру МЧС обслуживает Информационно-аналитический центр (ИАЦ МЧС). Он расположен на охраняемой территории Центрального регионального центра МЧС на западе Москвы в окружении "трех гектаров зеленого леса", говорится на сайте учреждения. По соседству – ближняя дача Сталина, бывшая резиденция Горбачева, а также ряд объектов Федеральной службы охраны.

Здание Информационно-аналитического центра МЧС на Давыдковской улице в Москве – лес прилагается (снимок с карт Google)

В 2019 году ИАЦ МЧС возглавил бывший менеджер "Мегафона" в Поволжье Антон Кузнецов. С ним пришла команда специалистов из того же региона: Настоящему Времени известно по меньшей мере о шести сотрудниках ИАЦ МЧС, которые ранее работали в компании "Ютек-НН". Только в открытом доступе на "Хабре", где отслеживаются карьерные перемещения айтишников, упомянуто два таких трансфера. А в вакансиях "Ютек-НН", публиковавшихся до ухода оттуда Дудина, говорилось [1, 2], что московский офис компании находится у метро "Славянский бульвар" – там же, где ИАЦ МЧС.

В числе сотрудников, которые пришли в ИАЦ МЧС одновременно с назначением Кузнецова, удалось обнаружить человека, который мог быть связан с атакой на сторонников Алексея Навального.

Ckfdf из Тольятти

Лишь одна публикация хакера scs на форуме XSS не связана с Навальным – это база клиентов тольяттинской управляющей компании "ЖилСтройЭксплуатация".

Таблица на 13 тысяч имен, адресов и номеров клиентских счетов – также единственная публикация scs в формате Microsoft Excel, а не более легком csv. Файлы Excel содержат метаданные (скрытые характеристики) с упоминанием автора: так, таблицу "ЖилСтройЭксплуатации" создал пользователь ckfdf ("слава", если писать русскими буквами), а отредактировал – пользователь Sin Bit.

Эти псевдонимы привели Настоящее Время к 24-летнему уроженцу Тольятти Вячеславу Зубкову, который использовал их (отдельно или в комбинации) для регистрации почт, соцсетей и аккаунтов на игровых сайтах.

Зубков – выпускник мехмата Самарского госуниверситета, участник соревнований по системному администрированию, автор статей о космонавтике в "Википедии". Кроме того, по данным источника Настоящего Времени, он работает в ИАЦ МЧС и пришел туда одновременно с назначением Антона Кузнецова из поволжского "Мегафона". Сам Зубков свое место работы скрывает.

"Кибербезопасностью не занимаюсь". Первое знакомство с Вячеславом

Вячеслав ответил на звонок корреспондента дружелюбно и даже заинтересованно:

– А по какому вопросу?

– Я хотел узнать, знакомо ли вам название компании "ЖилСтройЭксплуатация"?

– Ну это какая-то ЖК-компания, наверное. А что?

– Есть такая управляющая компания в Тольятти, и недавно утекли в сеть все данные ее клиентов. Вы случайно об этом ничего не знаете?

– Нет, вообще ни капли.

– Там в метаданных содержится никнейм Sin Bit. Вам знакомо такое имя?

– Ну как... Отдельно Sin знаю, Sin Bit – нет.

– А Sin – это что?

– Такая площадка есть по криптовалюте, по-моему (sin – сокращенное название не слишком популярной криптовалюты Sinovate – НВ). Возможно, с этим как-то связано.

– Я о ней не слышал раньше. Я гуглил этот никнейм Sin Bit и сразу вышел на вас, к тому же вы из Тольятти. И сразу подумал, может, вы работали в этой "ЖилСтройЭксплуатации"?

– А, не-не-нет. Видимо, случайно что-то [неразборчиво].

– А вы имеете какое-то отношение к этой публикации на форуме?

– Нет, конечно, я вообще в первый раз слышу об этом.

– А вам не знакомо имя Михаил Дудин?

– Нет.

– Самарский предприниматель. Точно не слышали?

На этом связь прервалась. Корреспондент написал Вячеславу в телеграм и попросил прислать скриншот свойств любого офисного файла. Тот откликнулся – в графе "автор" у него значился "пользователь Microsoft Office".

"Если бы я был таким крутым хакером, что каждый день ломает базы данных, думаю, таких ошибок бы не делал, – добавил Вячеслав. – Но не спорю, выглядит все очень сомнительно. Кибербезопасностью я не занимаюсь, разве что изучаю некоторые аспекты ввиду своей профессии".

Утечки информации тоже не его профиль, утверждал Вячеслав, о них он узнает лишь по статьям на "Хабре".

Источник Настоящего Времени не знает, работал ли Вячеслав Зубков непосредственно на Михаила Дудина. Зато нам удалось установить, что еще его связывает с атакой на сторонников Алексея Навального.

Хакер, который говорил неправду

В июне 2021 года пользователь программистского сайта "Хабр" под псевдонимом grumpysugar опубликовал исследование "дыры безопасности" сайта "Умное голосование". Через эту уязвимость можно было получить доступ к части адресов электронных почт, которые сторонники Навального использовали для регистрации на сайте, а также к технической информации за 40 дней. "Что открывается человеку, который зашел в вебпанель Kubernetes?" – писал исследователь и затем погружал читателя в пучину программистских терминов.

Своей находкой grumpysugar поделился с командой Навального, и там заделали "дыру". Но его публикацию начали разносить телеграм-каналы как доказательство того, что команда оппозиционера не следит за сохранностью данных.

За 16 дней до публикации grumpysugar Вячеслав Зубков спрашивал в небольшом программистском телеграм-чате, "не завалялся ли у кого брут-лист директорий для кубера".

В переписке с Настоящим Временем Вячеслав Зубков так объяснил свою потребность в брут-листе: "Я работаю DevOps [инженером по развитию и операциям] в компании, и так как у нас нет безопасника, мое начальство попросило меня посмотреть на открытые директории у нас".

На вопрос, о какой компании идет речь, Вячеслав ответил ссылкой на сайт крупного российского хостинг-провайдера.

– Там что, нет безопасника? – удивился корреспондент.

– Ну вообще есть отдел, но с хорошими специалистами немного туго, – пояснил собеседник.

Для подтверждения, что он работает в хостинг-компании, Вячеслав прислал два снимка из ее офиса. На одном запечатлен развалившийся в кресле сотрудник, но его лица не видно. Фото, скорее всего, уникальные: их нет в соцсетях и поисковиках. "Вот из офиса, но сейчас все на удаленке", – добавил собеседник.

Вячеслав также прислал скриншот переписки с сотрудниками провайдера, частично замазав их имена. Настоящее Время вычислило имя одного из сотрудников по оставленным Вячеславом первым буквам имени и фамилии – им оказался главный инженер по безопасности – и написало ему.

Проверив, что корреспондент действительно тот, за кого себя выдает, инженер заявил: "Этот человек у нас не работает и не работал". Но имя Вячеслава ему знакомо: специалист, утверждавший в переписке с Настоящим Временем, что не занимается кибербезопасностью, помог компании устранить несколько уязвимостей за денежное вознаграждение в рамках программы bug bounty ("награда за баги"). Откуда у Вячеслава фото из офиса, сотрудник компании не знает.

В последующей переписке с Настоящим Временем Зубков перестал отрицать, что работает в ИАЦ МЧС России, а также признал, что "частично говорил неправду" в ходе предыдущего общения с журналистом. При этом он продолжает настаивать, что не имеет отношения ко взлому и распространению персональных данных сторонников Алексея Навального.

Михаил Дудин не ответил на вопросы редакции. Его аккаунт в WhatsApp украшает цитата из агента K, героя фильма "Люди в черном": "Мы – ваша первая, последняя и единственная линия обороны. Мы живем секретно, мы существуем в тени".

"Смешные угрозы": как утечка данных сторонников Навального отразилась на результатах "Умного голосования"

По мнению редактора отдела политики "Новой газеты" Кирилла Мартынова, тактика запугивания и запутывания участников "Умного голосования" воспроизводит старые политические технологии в новых цифровых условиях. И хотя эксперт в первую очередь называет борьбу с "Умным голосованием" "хорошей пиар-кампанией со стороны государства", он признает, что в каких-то случаях спам с угрозами в адрес сторонников Алексея Навального мог достичь определенного результата.

"Политические взгляды они [люди из утекших баз] не поменяли, но желание участвовать в электронных проектах ФБК могло снизиться, что разумно, – заключил Мартынов. – Теперь у них нет понятной модели политического участия, кроме протестного голосования раз в несколько лет".

Российские власти, уверен Мартынов, будут преподносить результаты выборов 17-19 сентября как безоговорочную победу над "Умным голосованием".

"Сейчас пишутся десятки или, может быть, сотни отчетов о том, как замечательно было поборото "Умное голосование", которое, естественно, в этих отчетах, как и в официальной риторике властей, называется не иначе как "попытка иностранного вмешательства в выборы Российской Федерации", – заявил он.

Навальный в письме из колонии называет результаты "Умного голосования" одновременно – "огромным успехом" и "украденной победой"

Политолог, приглашенный исследователь Университета Ноттингема Кирилл Шамиев считает, что "смешные" угрозы по СМС вообще не могли оказать влияния на сторонников Навального и "Умного голосования". И наоборот, могли лишь раззадорить "ядерных сторонников", то есть таких, кто "полностью убежден в правоте тех, кого они поддерживают, и полностью убежден в негативном влиянии тех, кому они противодействуют".

"Я полагаю, что эти угрозы не сильно повлияли на этих людей, потому что это просто смешные были угрозы, – считает Шамиев. – Какие-то СМС, фальшивые рекомендации – они просто могли немножко создать негативный эмоциональный фон, а некоторых, может быть, даже раззадорить. Мне, например, приходили эти фальшивые рекомендации, приходили странные сообщения о том, что надо покупать услуги адвоката. Мне было смешно это видеть, я даже в твиттере их сразу выкладывал, потому что это странные попытки вот так повлиять на людей".

В команде Навального подтверждают, что рассылка угроз и фейковых рекомендаций сторонникам "Умного голосования" была следствием "обогащения" злоумышленниками данных, утекших с сайта free.navalny.com. По словам соратника Навального Ивана Жданова, данные для "обогащения" брали в том числе с сайта госуслуг.

В самой утечке команда Навального обвиняет бывшего сотрудника ФБК Федора Горожанко, тот утверждает, что не имел к ней отношения. Незадолго до выборов Горожанко удалился из всех соцсетей, его медиапроект "Горожанин" последний раз обновлялся 2 августа.

В результате утечки, описанной на "Хабре" пользователем grumpysugar, злоумышленники могли получить доступ не более чем к 100 имейлам, добавляет Жданов. Сколько всего людей зарегистрировались на сайте "Умного голосования", он не раскрывает.