maxvl (maxvl) wrote,
maxvl
maxvl

Categories:
В апреле 2021 года неизвестные украли базу имейлов, которые сторонники Алексея Навального использовали для регистрации на сайте freenavalny.com. Это первая крупная утечка в истории Фонда борьбы с коррупцией и штабов Навального. В базе – 529 тысяч адресов. Многим людям, попавшим в эту базу, присылали украденные файлы по почте, сопровождая письмо угрозами: "Мы продолжим получать о вас новые данные, хахаха. А пока мы приступаем к деанонимизации почт и скоро узнаем ваши имена, телефоны, адреса":



Вычислив предположительные имена 112 тысяч людей из базы, злоумышленники продолжили рассылать угрозы, на этот раз уже персональные:

Третья рассылка затронула работодателей сторонников Навального – бывших и настоящих. Им сулили "репутационный ущерб и пристальное внимание СМИ и правоохранительных органов", если их сотрудники "не поймут, что нужно жить по закону". Некоторых сотрудников в итоге уволили: например, инженера-технолога Мосгортранса Яну Холодову и звукооператора ВГТРК Михаила Безрукавого.

Соратники Навального Леонид Волков и Иван Жданов заявили, что базу украл бывший сотрудник ФБК, "завербованный ФСБ России". По словам Волкова, у работника, чье имя он не назвал, "отобрали все доступы, но не учли, что у него остался доступ к логам [файлам, в которые заносятся действия] почтового сервера".

Настоящее Время проанализировало цифровые следы злоумышленников: те привели сначала в Самару, а затем в Москву – к человеку, который может быть связан с администрацией президента.

Как рассылали базу

Письма с угрозами рассылались с адресов root.ru и noreply.online. Доменные имена были зарегистрированы почти одновременно 15 апреля 2021 года, когда и началась рассылка. В отличие от navalnyfail.ru, имя navalnyfail.online содержит регистрационные данные – адрес электронной почты kate.handrix.ru и "номер телефона" в виде случайного набора цифр: +46.74575456433. Злоумышленники могли их скрыть, но не захотели (или забыли).

Настоящее Время отправило вопросы по этим адресам, но ответов не получило.

Для рассылки злоумышленники могли использовать [1, 2] платформу Mail.ru для бизнеса. "Управление почтового сервиса, [c которого рассылались письма,] полностью хостится на Mail.ru. Записи MX (mail exchanger, отвечают за получение почты – НВ) так же "смотрят" на почтовые адреса Mail.ru. Можем сделать вывод, что с высокой долей вероятности почта обслуживалась именно там", – поясняет Настоящему Времени специалист по кибербезопасности, автор телеграм-канала Blackhat Pentesting под псевдонимом r00t.

"Если вы решаете зарегистрировать свои "черные" домены на почты, явно аффилированные со спецслужбами и органами РФ, – вы либо их сотрудник, либо человек крайне далекий от информационной безопасности. Учитывая скорость и успех произошедшего, разумно предположить именно первый вариант", – отмечает r00t (по российским законам IT-компании, в том числе Mail.ru, должны хранить весь трафик и данные пользователей и выдавать их спецслужбам по первому требованию). Ему также показалось странным, что платформа не заблокировала столь массовую рассылку. Настоящее Время отправило запрос в Mail.ru с просьбой прокомментировать рассылку с их платформы.

Имейл kate.handrix.ru, на который оформлен сайт navalnyfail.online, использовался также для регистрации еще около десятка доменных имен в 2020-2021 годы. Все эти имена фальшивые: так, gosuslugi-mail.su напоминает сайт госуслуг, fsspruss.su – Федеральной службы судебных приставов, mchs.tech – МЧС, surgutneftegas.ru.com – компании "Сургутнефтегаз". Обычно фальшивые домены регистрируются для фишинга: на них размещаются полные копии сайтов, не подозревающие о подмене пользователи вводят свои логины и пароли и теряют данные.

Настоящее Время связалось с владельцами двух сайтов, которые пытались скопировать злоумышленники. Василь Закиев – предприниматель из Набережных Челнов, его сайт позволяет посмотреть штрафы ГИБДД. Фальшивый сайт-клон shtrafy-gibdd.website появился в июне 2020 года, в регистрационных данных у него были указаны два имейла – kate.handrix.ru.ru и ekat.samoh.ru ("Екатерина Самохвалова"). Последний больше нигде не упоминается.

"Почти очевидно, что фальшивый сайт создавался для фишинга", – говорит Василь, но подробности этой махинации ему неизвестны. "Такие схемы – это рутина интернета, постоянно появляются и пропадают", – заключает предприниматель.

Самарский след

Еще два домена – zasekin.space (зарегистрирован с помощью все того же имейла kate.handrix.ru) и zasekin.press – созданы для дискредитации самарского онлайн-издания "Засекин" (названо в честь воеводы XVI века). 26 февраля 2021 года, в день их регистрации, неизвестные разослали от имени "Засекина" призывы поддержать "умное голосование" Алексея Навального. Письма, в том числе в Генпрокуратуру, Следственный комитет и администрацию Самары, содержали словосочетание "дутый кролик" без объяснения, кто под этим имеется в виду. Так самарского губернатора Дмитрия Азарова называют его критики – вряд ли это известно за пределами региона, а значит, у кампании могли быть местные корни.

"Мы никогда не поддерживали, не поддерживаем сейчас и не планируем поддерживать в будущем ни одну из политических сил. Наша задача – рассказывать и объяснять происходящие события", – говорит Настоящему Времени владелец издания Дмитрий Лобойко.

Для рассылки злоумышленники использовали настоящую почту "Засекина": ее взломали через уязвимость в системе управления сайтом CMS Modx и особенностей настроек хостинга, продолжает Дмитрий. Видимо, фальшивые домены (zasekin.space и zasekin.press) были зарегистрированы на случай, если не удастся взломать настоящий имейл, – и в итоге "не пригодились".

Тогда же, в феврале 2021-го, на "Засекина" обрушилась DDoS-атака – до 2 млн обращений за сутки, в результате доступ на сайт для обычных пользователей оказался затруднен. Лобойко считает, что кампания против "Засекина" была связана с публикацией о бывшем сотруднике Управления ФСБ по Самарской области Павле Селезневе. Издание выяснило, что, уволившись со службы, бывший чекист оставался невыездным до августа 2020 года, но в 2019 году оформил паспорт на имя "Павла Елезина" и слетал в Дубай, а затем в Турцию. В результате Самарский районный суд оштрафовал его. Это решение журналисты "Засекина" нашли на сайте суда, но вскоре оно было удалено.

После этой публикации, рассказывает владелец "Засекина" Дмитрий, к нему начали обращаться люди, связанные с различными группами интересов в Самаре, и требовали удалить материал. Их имена Дмитрий не называет, материал он не снял – DDoS-атака на "Засекина" продолжается до сих пор.

Сайт-клон "Засекина" по адресу zasekin.press появился через семь минут после регистрации zasekin.space, у него нет общего имейла с доменом, который использовался для рассылки базы сторонников Навального. Домен зарегистрирован на имейл ksenya.v.lapina.ru, который также использовался для создания аккаунта в твиттере некой "Екатерины Самохваловой" (это же вымышленное имя в сочетании с другим имейлом упоминалось выше – в связи с сайтом, где можно посмотреть штрафы ГИБДД). Из девяти аккаунтов, которые "Самохвалова" читает в твиттере, восемь принадлежат официальным лицам Самарской области.

Дмитрий Лобойко предполагает, что вся эта инфраструктура может быть связана с бывшим партнером экс-сотрудника самарской ФСБ Селезнева по компании "Принцип права" – Михаилом Дудиным, но прямых доказательств этого у него нет. Одна из компаний Дудина "Ютек-НН" имеет лицензию на реализацию специальных технических средств, предназначенных для негласного получения информации. Такую лицензию выдает ФСБ России.

В записных книжках людей, которые поделились данными с приложением GetContact, Дудин записан как "Итан Хант" (видимо, в честь главного героя фильмов "Миссия невыполнима"). Еще один вариант записи – "Михаил Юдин От Лугового Биткоин". Помощница депутата Госдумы Андрея Лугового, ранее продвигавшего законопроект о криптовалютах, сказала Настоящему Времени, что не знает Михаила Дудина, но пообещала узнать о нем у самого Лугового. Наконец, еще один вариант записи – "Михил Админ Прзидент" – указывает на возможную связь Дудина с администрацией президента России, но эта связь не подтверждена. Источник Настоящего Времени с доступом к базам данных налоговой службы не нашел в них упоминаний о работе Дудина где-то, кроме его собственных компаний. С другой стороны, номер телефона Дудина после префикса содержит цифры 606: такими номерами пользуются многие сотрудники Кремля. Так, точно такой же номер, как у Дудина, но с префиксом 495, используется пресс-службой президента России.

Настоящее Время отправило запрос в пресс-службу Владимира Путина запрос о Дудине, но на момент публикации не получило ответа.

Сразу после того, как корреспондент Настоящего Времени написал Дудину в телеграм, тот скрыл аватарку – картину Васи Ложкина "Я вернулся", – но отвечать на вопросы не стал. В другом мессенджере на аватаре у него стоит фото министра иностранных дел России Сергея Лаврова. На телефонные звонки Настоящего Времени Дудин не ответил. На переданные через знакомого вопросы про "Засекина" и Селезнева он отвечать отказался, назвав их "выдумками уездных кошелок": "Со мной можно обсуждать искусственный интеллект, распределение вычисления, историю микропроцессоров", – сообщил собеседнику Михаил Дудин.

"Невероятно умный, невероятно талантливый и сейчас уже невероятно богатый", – так описал Дудина его знакомый. По его словам, лет десять назад Дудин "крутился в среде больших самарских бизнесменов, и они отзывались о нем с большим пиететом". Живет ли сейчас Дудин в Самаре или в Москве, его знакомый не уточнил.

Связаться с Павлом Селезневым редакции не удалось.

Куда еще ведут следы рассылки

После того как новости о рассылках базы сторонников Навального стали расходиться по СМИ, в соцсети "ВКонтакте" начали рекламировать телеграм-бот, который позволяет пользователю узнать, есть ли он в этой базе (и параллельно собирает данные теперь еще и о телеграм-аккаунтах людей, которые им воспользовались). Одна из групп, которые рекламируют этот бот, называется "Оторвемся по-питерски". Помимо развлекательных постов, в ней можно встретить рекламные ролики "Единой России" и посты в поддержку губернатора Санкт-Петербурга Александра Беглова. В одном из постов его называли "чистильщиком".

"Ему достался город, все проблемы в котором можно охарактеризовать как лобби. Бесконечное лобби на местах и люди в правительстве, эти интересы обеспечивающие. Переплетенные все делами, деньгами и "землячеством". Они и заказчики информационной кампании против Беглова, которая навскидку оценивается в 10 млн рублей в месяц", – говорилось в публикации, которая вскоре была удалена.

18 апреля некто с "номером телефона" +46.74575456433 (как уже говорилось выше, этот случайный набор цифр использовался при регистрации домена для рассылки украденной базы) зарегистрировал еще один сайт – megadeanon.tech. На этот раз в нем была указана электронная почта ev_golubeva.ru, принадлежащая реальному человеку, пророссийской активистке в Крыму, руководительнице общественной организации "Севастопольские мамы" Елене Голубевой. Связаться с ней не удалось. Этот же имейл упоминался на форуме "Политработа", где нанимают массовку на митинги (в том числе для провокаций на оппозиционных акциях). Автор поста предлагал 1000 рублей за участие в митинге на Трубной площади в Москве 3 августа 2019 года. Вышедшие на этот митинг люди протестовали против недопуска независимых кандидатов на выборы в Мосгордуму. Никакой проплаченной массовки или провокаторов там замечено не было, возможно, потому что мэрия Москвы отказалась его согласовывать.

На этот же имейл в твиттере был зарегистрирован аккаунт "П*здокролик" – он рекламировал одноименный телеграм-канал, в котором критиковали губернатора Самарской области Дмитрия Азарова. Сейчас этот телеграм-канал удален.

Реакция ФБК: что дальше

О том, что электронные адреса украл бывший сотрудник ФБК, Леонид Волков заявил еще 19 апреля в эфире "Навальный Live". Для подтверждения регистрации пользователей на сайте freenavalny.com ФБК использовал американский сервис Mailgun. Там рассказали, что база взята с их платформы, но совершенно легально – с использованием действительных логина, пароля и API-ключей. То есть базу мог похитить тот, у кого изначально был к ней доступ.

Директор "иностранного агента" ФБК, "но пока еще не экстремист", как он в шутку себя называет, Иван Жданов комментирует ситуацию так: "Понятно, что у нас утекла база мейлов, а дальше эту базу жулики различного уровня обогащали новыми данными. Мы понимаем, как базу мейлов взломали, и это точно сделали при помощи людей, которые знали, как устроена наша база рассылок. Мы надеемся получить надежные подтверждения для публикации своего внутреннего расследования и, безусловно, его опубликуем".

Леонид Волков говорит Настоящему Времени, что регистрацию сторонников в онлайне из-за этого случая прекращать не станут: "Будем предлагать и сейчас предлагаем [регистрироваться] для "умного голосования", естественно, систему защиты будем пересматривать с учетом произошедшего инцидента".

Доменное имя Дата регистрации Почта "Телефон"
mchs[.]tech 07.09.2020 kate.handrix.ru +46.74575456433
shtrafy-gibdd[.]website 26.09.2020 kate.handrix.ru; ekat.samoh.ru +46.74575456433
surgutneftegas.ru[.]com 26.01.2021 kate.handrix.ru +46.74575456433
zasekin[.]space 26.02.2021 kate.handrix.ru; ksenya.v.lapina.ru +46.74575456433
zasekin[.]press 26.02.2021 ksenya.v.lapina.ru +46.74575456433
nalog[.]tech 22.03.2021 ksenya.v.lapina.ru +45.642752457257
navalnyfail[.]ru 15.04.2021 скрыта скрыт
navalnyfail[.]online 15.04.2021 kate.handrix.ru +46.74575456433
megadeanon[.]tech 18.04.2021 ev_golubeva.ru +46.74575456433


https://www.currenttime.tv/a/freenavalny-leak/31247843.html

Tags: Навальный, Самара, ФСБ, информационная безопасность, информационная война, кибератаки, кибербезопасность, киберпреступность, расследование
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment