В последних публикациях «Интернационала» содержатся документы с отчетами по мониторингу соцсетей и действиям оппозиции. По словам представителя «Интернационала» Льюиса, эти документы предназначены для Тимура Прокопенко, замруководителя управления внутренней политики администрации президента, которое курирует Вячеслав Володин. Как пишет в комментарии к публикации Шалтай, в письмах Прокопенко отчитывается о результатах работы по противодействию оппозиционным акциям.
Следующий пост в блоге группировки «подтверждает репутацию циничных персонажей, работающих на одну из «башен Кремля», иронизирует «Шалтай». В нем хакеры объявляют аукцион на массивы писем Натальи Тимаковой, пресс-секретаря премьер-министра Дмитрия Медведева. Примерно 500 сообщений они хотят продать с молотка на «Международной бирже секретной информации».
В аннотации к переписке выложены несколько писем, среди которых якобы советы экс-руководителя РИА «Новости» Светланы Миронюк, фотографии Дмитрия Медведева с генеральным директором Первого канала Константином Эрнстом, переписка по встрече с бывшим главой «ВКонтакте» Павлом Дуровым и реакция на ролик о муже Тимаковой.
Комментируя «Газете.Ru» ситуацию с аукционом писем Тимаковой, представитель «Интернационала» отмечает, что это не первый случай продажи информации.
«Конечно, аукцион устроен ради денег. Нам никакая башня Кремля не платит. Мы зарабатываем для себя и для проектов сами. Попробуй на чистом энтузиазме позанимайся нашей деятельностью, заплати источникам, дай возможность как-то жить техническим специалистам, дай возможность Шалтаю и Болтаю перемещаться из страны в страну. На какие деньги это делать? Посмотри, сколько у нас собрано за время существования проекта на наш биткоин-кошелек. И мы ни разу не стесняемся и не будем стесняться, если решим что-то продать. Мы не берем деньги у Кремля и не строим двуличную игру. Пусть стесняются те, кто изображает борцов с режимом, а на деле берет бабло у АП», — говорит Льюис.
По его словам, «в переписке практически нет личной жизни». «Только работа, неофициальная рабочая переписка, — уверяет Льюис. — Почему нет уголовного дела? Спроси у Следственного комитета. Может, потому, что нет заявителей?»
«Циничные робин-гуды»
«Анонимный интернационал» стал известен после того, как в декабре 2013 года, за несколько часов до новогоднего выступления Владимира Путина, опубликовал его речь. Позже на их сайте появлялась переписка из Госдумы, Белого дома, администрации президента и околокремлевских структур. Один из самых громких эпизодов деятельности — взлом твиттера премьер-министра Дмитрия Медведева, за который взяла ответственность группа.
Многие обращали внимание, что публично представители власти очень вяло реагировали на взломы.
Видимые усилия приложил только «Роскомнадзор», и в июле 2014 года, сразу после публикации сообщений якобы из личного почтового ящика вице-премьера России Аркадия Дворковича, блог был закрыт по решению Смольнинского райсуда Санкт-Петербурга.
Пресс-секретарь «Анонимного интернационала» заявил «Газете.Ru», что участники группы работают в сфере IT и подобные «сливы» – лишь побочная сторона их деятельности. Сведения они получают от недовольных в администрации президента и близких структур, а также используют взлом, слежку и другие способы добычи информации.
«У нас нет никаких целей. Мы выкладываем то, что считаем нужным, и часто руководствуемся не конъюнктурой, а собственными соображениями. ФСБ, МВД и ФСО действительно нас искали и не нашли. Так бывает. И не только с нами. Мы устали уже убеждать, что мы не апэшные (сотрудники администрации президента. – «Газета.Ru»). Скорее, циничные «робин-гуды», — заявил Льюис «Газете.Ru».
По его словам, в их распоряжении еще 10 тыс. писем и около 40 тыс. фрагментов SMS-переписки сотрудников управления внутренней политики администрации президента.
Кто скрывается за маской
Многие СМИ приводили версию, что за «Интернационалом» могут стоять люди, связанные с первым замруководителя администрации президента Алексеем Громовым. Профессор МГИМО Валерий Соловей так ответил на вопрос о возможных заказчиках «сливов»: «Болтай работает на того, кто не всплывает в их разоблачениях. А активизировались (группа) потому, что вновь оживилась борьба за правительство. Я бы искал бенефициаров среди тех, кого условно называют правительственными, или системными, либералами. Пока все больше бьют по Володину и, в целом, по сторонникам «жесткой линии», — говорит эксперт.
По его словам, «если всплыл Громов (стал фигурантом «сливов». – «Газета.Ru»), это может быть и группировка главы Минобороны Сергея Шойгу и сенатора Юрия Воробьева. А также вице-премьера Аркадия Дворковича или вице-премьера Игоря Шувалова (на самом деле информация по ним появлялась, правда, некомпрометирующая. – «Газета.Ru»)».
Политолог Константин Калачев полагает, что
пока «Интернационал» работает на собственный бренд, который нуждается в активности и цитировании.
«Никаких суперразоблачений еще не было. Возможно, что это ружье по нужной мишени еще не выстрелило. Пока просто привлекают внимание стрельбой в небо. А гадать, кто за ними стоит, — занятие неблагодарное. Идет раскрутка, а кульминация должна наступить позже», — говорит эксперт.
Власти блокируют сайты и аккаунты «Болтая» в соцсетях, но официально не было возбуждено уголовных дел по факту взломов почты и публикаций внутренней переписки, отмечает Калачев.
«Ведь было бы желание, уже бы нашли злоумышленников и осудили. Похоже, что такого желания нет. Да и в УВП, видимо, общей серьезной обеспокоенности нет. Переживают те, кого «сливы» задевают. Но с другой стороны, эти же «сливы» их и актуализируют. Общественности дали возможность заглянуть в замочную скважину. В скважину виден коридор, но все самое интересное на кухне и в комнатах», — объясняет Калачев.
Близкий к АП источник «Газеты.Ru» предположил, что «Шалтай» создан околовластной коммерческой конторой: возможно, технологами или кем-то из айтишников широкого плана, близких к администрации и спецслужбам.
«Это бизнес, имеющий заказчиков и нужные связи как во власти, так и в бизнес-сфере, причем в последней, я думаю, в большей степени. Они позиционирует себя в паблике, чтобы к ним шли заказчики. Главная работа – коммерческая: компромат, личные данные, коммерческая переписка. Аудитория — тот или иной бизнес, в том числе и политтехнологи. Это достаточно известный тип бизнесмена — сборщика и продавца информации. Чтобы создать себе серьезную рекламу, они придали себе вот такое значение. Заодно и на башни (разные группировки в Кремле. – «Газета.Ru») могут работать», — говорит собеседник.
По его словам, в России вся внутренняя политика и политическое планирование с 1990-х годов «подпало под власть и влияние технологов, заработавших свои миллионы на губернаторских и федеральных выборах с участием олигархов, поэтому источник надо искать в этой же среде».
По мнению источника, «вполне возможно участие» помощника президента Владислава Суркова, почерк похожий: «Сверхсекретность, приход из ниоткуда, мистичность, но в то же время явный доступ к внутренней информации, — говорит собеседник. — У нас мало на самом деле сильных и влиятельных технологов кроме Суркова. Только он в принципе сочетает широкие связи в мире технологов, информационщиков, медийщиков и одновременно в органах безопасности».
Версии «робин-гудства» на стыке с коммерческими интересами придерживается главред Theins.ru Роман Доброхотов, который регулярно публикует содержимое взломанных ящиков. «Они же объясняли (в январском интервью «Медузе» (организация включена Минюстом в список иноагентов)), что их бизнес — это работа с добыванием информации. А политические разборки для них типа хобби. Разговор про башни – ерунда, они по всем прошлись. Да и башен в Кремле нет, там все за себя. (В «Интернационале») разные люди, и каждый на чем-то своем зарабатывает, а такие «сливы» приносят им удовольствие. И деньги тоже — вот сейчас Тимакову продают», — объясняет журналист.
Не стоит исключать версии, что с помощью «сливов» «Интернационал» подает сигнал их фигурантам, «намекая» на добровольное финансирование.
Технический аспект и уголовные риски
В пресс-службе правительства после новости о взломе почты Натальи Тимаковой от комментариев отказались.
Источник в кабмине обращает внимание, что вскрыта почта на закрытом домене gov.ru, который обслуживает ФСО. Соответственно, либо почта не защищена должным образом, либо те, кто обеспечивает ее техническую защиту, и есть «Шалтай-Болтай», делает вывод собеседник «Газеты.Ru».
Ранее госслужащим запретили использовать для служебной переписки обычные почтовые серверы, но, по утверждению Льюиса, многие сотрудники властных структур этот запрет не соблюдают.
Правительственный домен gov.ru, охраняемый ФСО, не гарантирует защищенность от взлома, считает Илья Сачков, генеральный директор компании Group-IB, которая занимается расследованием киберпреступлений. По его словам, операционная система Windows и подключение к сети уже создают угрозу. Компьютер не становится безопаснее, если его начинает защищать ФСО, и алгоритм заражения остается таким же.
«Есть классические способы заражения компьютеров. Какое-нибудь письмо с вложением в формате doc или pdf, чтобы получить доступ к сессии или права администратора. Скорее всего, злоумышленники получили доступ к сессии и просто завладели почтой. Если бы они получили доступ к компьютеру, то могли бы гораздо больше зла — или интересных вещей, кому как, — сделать», — говорит Сачков.
По его мнению, российская служба госбезопасности одна из лучших в мире, но и они не могут ничего поделать с человеческим фактором.
«С сотрудниками нужно провести беседу о технической безопасности, — считает Сачков. — Большинство взломов происходит из-за незнания пользователем элементарных вещей».
Руководитель отдела технического и маркетингового сопровождения ESET Russia Алексей Оськин уточняет, что
при взломе почтового ящика со стороны пользователя почта на gov.ru особо не отличается, например, от почты на gmail.сom.
Чтобы защитить свои данные, надо соблюдать стандартные меры предосторожности: использовать сложные неповторяющиеся пароли, не передавать их третьим лицам, устанавливать надежное ПО, антивирусные программы, следить за их своевременным обновлением.
«Cоблюдались ли такие меры в данном случае, мы не знаем. Кроме того, организации могут внедрять дополнительные меры предосторожности — например, запрет на удаленный доступ к рабочим документам. Такие меры вводятся по инициативе руководства компании, а в нашем случае сотрудников ФСО», — говорит Оськин.
Однако, по мнению заместителя руководителя лаборатории компьютерной криминалистики компании Group-IB Сергея Никитина, в описываемом случае речь не идет о взломе почтового сервера и даже почтового аккаунта.
По мнению эксперта, предположительно, был заражен компьютер, планшет или смартфон Натальи Тимаковой.
«Если посмотреть на адреса выложенных в открытый доступ писем, то видно, что они взяты с нескольких почтовых аккаунтов, принадлежащих Тимаковой. Как правило, это говорит о том, что почта похищена не с почтового сервера, а с устройства самого пользователя. Заразить компьютер пользователя не так уж сложно. Например, злоумышленники могли прислать фишинговое письмо, содержащее ссылку на зараженный сайт, или использовать какой-либо другой способ, а их немало», — говорит Никитин.
Как указывает Сачков, остается только гадать, почему «Анонимный интернационал» так долго остается непойманным. «Идеальных преступлений нет. Близки к идеальным, к примеру, факты скрытого промышленного шпионажа — заразил компьютер, никому не сказал, выбросил ноутбук в реку и уехал из страны, — приводит пример Сачков. — А тут люди общаются с прессой, у них целая команда, они оставляют много следов. Поэтому, полагаю, если бы была задача их поймать, то это было бы уже сделано. Поэтому остаются только конспирологические версии».
На вопросы «Шалтаю» от «Газеты.Ru», почему с ним под видом журналистов не может повидаться вживую ФСБ и СВР, собеседник ответил, что тщательно отфильтровывает людей перед встречами. Впрочем, не стоит забывать, что спецслужбы обладают всеми возможностями для слежки и мониторинга любых видов электронной связи.
По закону действия «Интернационала» — уголовное преступление. Взлом попадает под действие статьи 272 УК (неправомерный доступ к компьютерной информации). В третьей части статьи говорится о совершении взлома организованной группой и по предварительному сговору, это грозит лишением свободы на срок до пяти лет.