Операция navalnyfail. Куда ведут цифровые следы распространителей почтовой базы сторонников Навального
В апреле 2021 года неизвестные украли базу имейлов, которые сторонники Алексея Навального использовали для регистрации на сайте freenavalny.com. Это первая крупная утечка в истории Фонда борьбы с коррупцией и штабов Навального. В базе – 529 тысяч адресов. Многим людям, попавшим в эту базу, присылали украденные файлы по почте, сопровождая письмо угрозами: "Мы продолжим получать о вас новые данные, ха-ха-ха. А пока мы приступаем к деанонимизации почт и скоро узнаем ваши имена, телефоны, адреса".
Вычислив предположительные имена 112 тысяч людей из базы, злоумышленники продолжили рассылать угрозы, на этот раз уже персональные.
Третья рассылка затронула работодателей сторонников Навального – бывших и настоящих. Им сулили "репутационный ущерб и пристальное внимание СМИ и правоохранительных органов", если их сотрудники "не поймут, что нужно жить по закону". Некоторых сотрудников в итоге уволили: например, инженера-технолога Мосгортранса Яну Холодову и звукооператора ВГТРК Михаила Безрукавого.
В открытый доступ базу первым выложил специалист по кибербезопасности Павел Ситников в своем телеграм-канале 15 апреля. Настоящему Времени он сообщил, что базу прислали "хорошие люди", но отказался называть их имена и делиться контактами.
Соратники Навального Леонид Волков и Иван Жданов заявили, что базу украл бывший сотрудник ФБК, "завербованный ФСБ России". По словам Волкова, у работника, чье имя он не назвал, "отобрали все доступы, но не учли, что у него остался доступ к логам [файлам, в которые заносятся действия] почтового сервера".
Настоящее Время проанализировало цифровые следы злоумышленников: они привели сначала в Самару, а затем в Москву – к человеку, который может быть связан с администрацией президента.
Как рассылали базу
Письма с угрозами рассылались с адресов root@navalnyfail.ru и noreply@navalnyfail.online. Доменные имена были зарегистрированы почти одновременно 15 апреля 2021 года, когда и началась рассылка. В отличие от navalnyfail.ru, имя navalnyfail.online содержит регистрационные данные – адрес электронной почты kate.handrix@yandex.ru и "номер телефона" в виде случайного набора цифр: +46.74575456433. Злоумышленники могли их скрыть, но не захотели (или забыли).
Настоящее Время отправило вопросы по этим адресам, но ответов не получило.
Для рассылки злоумышленники могли использовать [1, 2] платформу Mail.ru для бизнеса – сама компания это исключает.
"Управление почтового сервиса [c которого рассылались письма] полностью хостится на Mail.ru. Записи MX (mail exchanger, отвечают за получение почты – НВ) также "смотрят" на почтовые адреса Mail.ru. Можем сделать вывод, что с высокой долей вероятности почта обслуживалась именно там", – поясняет Настоящему Времени специалист по кибербезопасности, автор телеграм-канала Blackhat Pentesting под псевдонимом r00t.
"Если вы решаете зарегистрировать свои "черные" домены на почты, явно аффилированные со спецслужбами и органами РФ, – вы либо их сотрудник, либо человек, крайне далекий от информационной безопасности. Учитывая скорость и успех произошедшего, разумно предположить именно первый вариант", – отмечает r00t (по российским законам IT-компании, в том числе Mail.ru, должны хранить весь трафик и данные пользователей и выдавать их спецслужбам по первому требованию). Ему также показалось странным, что платформа не заблокировала столь массовую рассылку.
UPD. Комментарий Mail.ru: "Мы провели тщательную проверку: через сервисы Mail.ru Group эти письма никогда не рассылались".
"Стоит понимать, что привязка домена к почтовому сервису для получения входящей почты и рассылка через него исходящей почты – разные и не связанные вещи, – отметили в компании. – Домены navalnyfail.ru и navalnyfail.online были привязаны к сервису "Почта Mail.ru для бизнеса" 16 апреля. Это может сделать любой владелец домена: ограничений на набор букв или фамилии в адресе нет ни у одного сервиса бизнес-почты.
После получения запроса от медиа мы проверили, через какие инструменты проводилась рассылка с этих доменов. Рассылки проходили через другие хостинги, в частности pq.hosting. Вопрос про пропуск исходящего письма, видимо, стоит адресовать им: компания, к почтовому сервису которой просто привязали домен, никак не может повлиять на рассылку через сторонний хостинг".
Самарский след
Имейл kate.handrix@yandex.ru, на который оформлен сайт navalnyfail.online, использовался также для регистрации еще около десятка доменных имен в 2020-2021 годы. Все эти имена фальшивые: так, gosuslugi-mail.su напоминает сайт госуслуг, fsspruss.su – Федеральной службы судебных приставов, mchs.tech – МЧС, surgutneftegas.ru.com – компании "Сургутнефтегаз". Обычно фальшивые домены регистрируются для фишинга: на них размещаются полные копии сайтов, не подозревающие о подмене пользователи вводят свои логины и пароли и теряют данные.
Настоящее Время связалось с владельцами двух сайтов, которые пытались скопировать злоумышленники. Василь Закиев – предприниматель из Набережных Челнов, его сайт позволяет посмотреть штрафы ГИБДД. Фальшивый сайт-клон shtrafy-gibdd.website появился в июне 2020 года, в регистрационных данных у него были указаны два имейла – kate.handrix@yandex.ru@yandex.ru и ekat.samoh@yandex.ru ("Екатерина Самохвалова"). Последний больше нигде не упоминается.
"Почти очевидно, что фальшивый сайт создавался для фишинга", – говорит Василь, но подробности этой махинации ему неизвестны. "Такие схемы – это рутина интернета, постоянно появляются и пропадают", – заключает предприниматель.
Еще два домена – zasekin.space (зарегистрирован с помощью все того же имейла kate.handrix@yandex.ru) и zasekin.press – созданы для дискредитации самарского онлайн-издания "Засекин" (названо в честь воеводы XVI века). 26 февраля 2021 года, в день их регистрации, неизвестные разослали от имени "Засекина" призывы поддержать "умное голосование" Алексея Навального. Письма, в том числе в Генпрокуратуру, Следственный комитет и администрацию Самары, содержали словосочетание "дутый кролик" без объяснения, кто под этим имеется в виду. Так самарского губернатора Дмитрия Азарова называют его критики – вряд ли это известно за пределами региона, а значит, у кампании могли быть местные корни.
"Мы никогда не поддерживали, не поддерживаем сейчас и не планируем поддерживать в будущем ни одну из политических сил. Наша задача – рассказывать и объяснять происходящие события", – говорит Настоящему Времени владелец издания Дмитрий Лобойко.
Для рассылки злоумышленники использовали настоящую почту "Засекина": ее взломали через уязвимость в системе управления сайтом CMS Modx и особенностей настроек хостинга, продолжает Дмитрий. Видимо, фальшивые домены (zasekin.space и zasekin.press) были зарегистрированы на случай, если не удастся взломать настоящий имейл, – и в итоге "не пригодились".
Тогда же, в феврале 2021-го, на "Засекина" обрушилась DDoS-атака – до 2 млн обращений за сутки, в результате доступ на сайт для обычных пользователей оказался затруднен. Лобойко считает, что кампания против "Засекина" была связана с публикацией о бывшем сотруднике Управления ФСБ по Самарской области Павле Селезневе. Издание выяснило, что, уволившись со службы, бывший чекист оставался невыездным до августа 2020 года, но в 2019 году оформил паспорт на имя "Павла Елезина" и слетал в Дубай, а затем в Турцию. В результате Самарский районный суд оштрафовал его. Это решение журналисты "Засекина" нашли на сайте суда, но вскоре оно было удалено.
После этой публикации, рассказывает владелец "Засекина" Дмитрий, к нему начали обращаться люди, связанные с различными группами интересов в Самаре, и требовали удалить материал. Их имена Дмитрий не называет, материал он не снял – DDoS-атака на "Засекина" продолжается до сих пор.
Сайт-клон "Засекина" по адресу zasekin.press появился через семь минут после регистрации zasekin.space, у него нет общего имейла с доменом, который использовался для рассылки базы сторонников Навального. Домен зарегистрирован на имейл ksenya.v.lapina@inbox.ru, который также использовался для создания аккаунта в твиттере некой "Екатерины Самохваловой" (это же вымышленное имя в сочетании с другим имейлом упоминалось выше – в связи с сайтом, где можно посмотреть штрафы ГИБДД). Из девяти аккаунтов, которые "Самохвалова" читает в твиттере, восемь принадлежат официальным лицам Самарской области.
Дмитрий Лобойко предполагает, что вся эта инфраструктура может быть связана с бывшим партнером экс-сотрудника самарской ФСБ Селезнева по компании "Принцип права" – Михаилом Дудиным, но прямых доказательств этого у него нет. Одна из компаний Дудина "Ютек-НН" имеет лицензию на реализацию специальных технических средств, предназначенных для негласного получения информации. Такую лицензию выдает ФСБ России.
В записных книжках людей, которые поделились данными с приложением GetContact, Дудин записан как "Итан Хант" (видимо, в честь главного героя фильмов "Миссия невыполнима"). Еще один вариант записи – "Михаил Юдин От Лугового Биткоин". Помощница депутата Госдумы Андрея Лугового, ранее продвигавшего законопроект о криптовалютах, сказала Настоящему Времени, что не знает Михаила Дудина, но пообещала узнать о нем у самого Лугового. Наконец, еще один вариант записи – "Михил Админ Прзидент" – указывает на возможную связь Дудина с администрацией президента России, но эта связь не подтверждена. Источник Настоящего Времени с доступом к базам данных налоговой службы не нашел в них упоминаний о работе Дудина где-то, кроме его собственных компаний. С другой стороны, номер телефона Дудина после префикса содержит цифры 606: такими номерами пользуются многие сотрудники Кремля. Так, точно такой же номер, как у Дудина, но с префиксом 495, используется пресс-службой президента России.
Настоящее Время отправило в пресс-службу Владимира Путина запрос о Дудине, но на момент публикации не получило ответа.
Сразу после того, как корреспондент Настоящего Времени написал Дудину в телеграм, тот скрыл аватарку – картину Васи Ложкина "Я вернулся", – но отвечать на вопросы не стал. В другом мессенджере на аватаре у него стоит фото министра иностранных дел России Сергея Лаврова. На телефонные звонки Настоящего Времени Дудин не ответил. На переданные через знакомого вопросы про "Засекина" и Селезнева он отвечать отказался, назвав их "выдумками уездных кошелок": "Со мной можно обсуждать искусственный интеллект, распределение вычисления, историю микропроцессоров", – сообщил собеседнику Михаил Дудин.
"Невероятно умный, невероятно талантливый и сейчас уже невероятно богатый", – так описал Дудина его знакомый. По его словам, лет десять назад Дудин "крутился в среде больших самарских бизнесменов, и они отзывались о нем с большим пиететом". Живет ли сейчас Дудин в Самаре или в Москве, его знакомый не уточнил.
Связаться с Павлом Селезневым редакции не удалось.
Куда еще ведут следы рассылки
После того как новости о рассылках базы сторонников Навального стали расходиться по СМИ, в соцсети "ВКонтакте" начали рекламировать телеграм-бот, который позволяет пользователю узнать, есть ли он в этой базе (и параллельно собирает данные теперь еще и о телеграм-аккаунтах людей, которые им воспользовались). Одна из групп, которые рекламируют этот бот, называется "Оторвемся по-питерски". Помимо развлекательных постов, в ней можно встретить рекламные ролики "Единой России" и посты в поддержку губернатора Санкт-Петербурга Александра Беглова. В одном из постов его называли "чистильщиком".
"Ему достался город, все проблемы в котором можно охарактеризовать как лобби. Бесконечное лобби на местах и люди в правительстве, эти интересы обеспечивающие. Переплетенные все делами, деньгами и "землячеством". Они и заказчики информационной кампании против Беглова, которая навскидку оценивается в 10 млн рублей в месяц", – говорилось в публикации, которая вскоре была удалена.
18 апреля некто с "номером телефона" +46.74575456433 (как уже говорилось выше, этот случайный набор цифр использовался при регистрации домена для рассылки украденной базы) зарегистрировал еще один сайт – megadeanon.tech. На этот раз в нем была указана электронная почта ev_golubeva@inbox.ru, принадлежащая реальному человеку, пророссийской активистке в Крыму, руководительнице общественной организации "Севастопольские мамы" Елене Голубевой. Связаться с ней не удалось. Этот же имейл упоминался на форуме "Политработа", где нанимают массовку на митинги (в том числе для провокаций на оппозиционных акциях). Автор поста предлагал 1000 рублей за участие в митинге на Трубной площади в Москве 3 августа 2019 года. Вышедшие на этот митинг люди протестовали против недопуска независимых кандидатов на выборы в Мосгордуму. Никакой проплаченной массовки или провокаторов там замечено не было, возможно, потому что мэрия Москвы отказалась его согласовывать.
На этот же имейл в твиттере был зарегистрирован аккаунт "П*здокролик" – он рекламировал одноименный телеграм-канал, в котором критиковали губернатора Самарской области Дмитрия Азарова. Сейчас этот телеграм-канал удален.
Реакция ФБК: что дальше
О том, что электронные адреса украл бывший сотрудник ФБК, Леонид Волков заявил еще 19 апреля в эфире "Навальный Live". Для подтверждения регистрации пользователей на сайте freenavalny.com ФБК использовал американский сервис Mailgun. Там рассказали, что база взята с их платформы, но совершенно легально – с использованием действительных логина, пароля и API-ключей. То есть базу мог похитить тот, у кого изначально был к ней доступ.
Директор "иностранного агента" ФБК, "но пока еще не экстремист", как он в шутку себя называет, Иван Жданов комментирует ситуацию так: "Понятно, что у нас утекла база мейлов, а дальше эту базу жулики различного уровня обогащали новыми данными. Мы понимаем, как базу мейлов взломали, и это точно сделали при помощи людей, которые знали, как устроена наша база рассылок. Мы надеемся получить надежные подтверждения для публикации своего внутреннего расследования и, безусловно, его опубликуем".
Леонид Волков говорит Настоящему Времени, что регистрацию сторонников в онлайне из-за этого случая прекращать не станут: "Будем предлагать и сейчас предлагаем [регистрироваться] для "умного голосования", естественно, систему защиты будем пересматривать с учетом произошедшего инцидента".
Доменное имяДата регистрацииПочта"Телефон"mchs[.]tech07.09.2020kate.handrix@yandex.ru+46.74575456433shtrafy-gibdd[.]website26.09.2020kate.handrix@yandex.ru; ekat.samoh@yandex.ru+46.74575456433surgutneftegas.ru[.]com26.01.2021kate.handrix@yandex.ru+46.74575456433zasekin[.]space26.02.2021kate.handrix@yandex.ru; ksenya.v.lapina@inbox.ru+46.74575456433zasekin[.]press26.02.2021ksenya.v.lapina@inbox.ru+46.74575456433nalog[.]tech22.03.2021ksenya.v.lapina@inbox.ru+45.642752457257navalnyfail[.]ru15.04.2021скрытаскрытnavalnyfail[.]online15.04.2021kate.handrix@yandex.ru+46.74575456433megadeanon[.]tech18.04.2021ev_golubeva@inbox.ru+46.74575456433