Как хакеры открывали глаза Россиян

« 4 августа 2014 года около десяти утра неприметный мужчина зашел в кафе в районе Тишинской площади в Москве. Устроился в дальнем углу заведения, открыл недорогой нетбук. Запустил несколько программ: текстовый редактор, крипточат и браузер. Подключился к бесплатному вайфаю и вышел в интернет через VPN на собственном сервере — так, чтобы отследить его действия было невозможно. Открыл в браузере твиттер, ввел логин и пароль, которые были сохранены в отдельном документе. Написал первый твит: “Ухожу в отставку. Стыдно за действия правительства. Простите”.» - из интервью Даниила Туровского, взятого у лидера «Льюис» группы хаккеров “Анонимный интернационал”.

Далее мужчина написал еще несколько твитов:

Эти твиты для "Льюиса" не казались чем-то важным, просто он был в этот день единственным не занятым на основной работе человеком из группировки «Анонимный интернационал», широко известной как «Шалтай-Болтай». Программисты из «Шалтая» получили ключи от твиттера премьера уже давно, когда выкачали из iСloud электронные копии трех смартфонов Медведева: пароли от соцсети премьер хранил в заметках на айфоне, но так как там не было ничего интересного, то решили просто потроллить. Взлом твиттера группировка приурочила к ялтинской речи Владимира Путина. В Крыму, уже присоединенном к России, президент выступал с речью перед правительством и парламентом.

Анонимный интернационал

Родилась группа как «Анонимный интернационал» 12 декабря 2013 года, тогда они зарегистрировал свой сайт на Wordpress.com (новый сайт, b0ltai.org, появился летом 2014-го). 31 декабря 2013-го интернет-активисты опубликовали текст новогоднего обращения Владимира Путина — за несколько часов до того, как оно вышло в эфир. Следующие 12 месяцев «Анонимный интернационал» выкладывал, в основном, переписку, выкачанную из электронных ящиков и телефонов российских политиков разной степени влиятельности.

В интервью (их давали в крипточатах) пресс-секретари «Анонимного интернационала» Шалтай и Болтай утверждали, что публикуют сливы, потому что их «не устраивают ограничение свободы в сфере интернета и агрессивная внешняя политика», «во внутренней политике… к выборам допускают только тех, кто удобен», «невозможно спокойно работать малому и среднему бизнесу». Целью «Анонимного интернационала» было объявлено «изменение мира к лучшему, хотя бы к большей свободе и информированности общества».

Один из членов группировки цитировал фильм «Хранители»:

«Мы делаем это потому, что вынуждены. Когда человек хоть раз видит черную изнанку общества, он больше никогда не обернется к ней спиной».

«Шалтай-Болтай» — «побочный проект»; основная их работа — поиск информации по заказу частных и официальных лиц. Всего в компании было чуть больше десяти человек.

Кратко по основным сливам данных

Весной 2014-го «Шалтай» слил в сеть сценарий московского митинга в поддержку Крыма, документы о том, как администрация президента готовила референдум в Крыму, личную переписку Игоря Стрелкова-Гиркина. А еще — документы о том, как компания Евгения Пригожина «Конкорд» курирует кремлевских «интернет-троллей» через «Агентство интернет-исследований».

Игорь Осадчий (упоминался в переписке «Агентства интернет-исследований» как руководитель проекта «Переводчик», ответственного за размещение сообщений в зарубежных СМИ) обнаружил в публикациях свои персональные данные и подал в суд. 27 июля 2014-го доступ к ресурсу b0ltai.org из России был заблокирован по требованию Роскомнадзора. Был заблокирован и основной твиттер группировки @b0ltai. Сейчас «Шалтай-Болтай» доступен в РФ только через VPN или зеркальный сайт.

За несколько дней до блокировки интернет-активисты показали предполагаемую переписку вице-премьера Аркадия Дворковича о необходимости изменить параметры бюджета на 2015-2017 годы, иначе «будет невозможно обеспечить решение большинства задач, поставленных в программных документах».

В августе 2014-го «Анонимный интернационал» рассказал о трех почтовых ящиках Дмитрия Медведева и показал переписку депутата «Единой России» Роберта Шлегеля об организации атак «троллей» на сайты крупнейших зарубежных СМИ (The New York Times, CNN, BBC, USA Today, The Huffington Post).  В последствии фильм «Он Вам не Димон» появился благодаря этим сливам.

Осенью 2014-го «Шалтай» слил электронную переписку аффилированной с московским правительством компании «Московские информационные технологии» с российскими СМИ («Комсомольская правда», «Известия», «Российская газета», «Литературная газета», Regnum) — о публикации заказных статей; а также предполагаемую переписку замначальника секретариата первого вице-премьера Игоря Шувалова. В декабре 2014-го «Анонимный интернационал» выложил фотографию, на которой бывшая пресс-секретарь движения «Наши» Кристина Потупчик сидит в кабинете в администрации президента с сумкой, набитой деньгами

Через две недели активисты слили почтовую (о заказных материалах против Алексея Навального) и смс-переписку заместителя начальника внутренней политики администрации президента Тимура Прокопенко — в том числе, февральские письма Алексею Гореславскому (в тот момент — заместитель директора по внешним коммуникациям компании «Rambler&Co», владеющей «Лентой», «Газетой», «Афишей» и другими изданиями):

— Слушай, а они тебя вообще не слушают чтоль?

— Я им всем не начальник, это во-первых. Я могу очень сильно рекомендовать, но уволить и оштрафовать не могу. В Газете слушаются, но редакция не до конца отдрючена, поэтому есть косяки. В Ленте своя позиция на все, Галя (Тимченко, гл. редактор Lenta.ru, которая в будущем с 70% команды Ленты открыла СМИ “Медуза” в Латвии, прим. автора) ссылается на то, что у нее такой «стандарт» и она его будет исполнять. Вопрос перед акционером поставлен. Делаю, что могу.

Через 20 дней после этого сообщения с поста главного редактора «Ленты.ру» была уволена Галина Тимченко.

В сливе переписок Прокопенко, подробный разбор которой в декабре 2014 года сделал The Insider. Из писем и сообщений, в частности, следовало, что Прокопенко отвечал за размещение заказных материалов обо всех уголовных делах, связанных с основателем Фонда борьбы с коррупцией Алексеем Навальным. Например, в ноябре 2013 года Прокопенко получил на согласование текст про дело «Ив Роше», который позже был опубликован на разных ресурсах, посвященных «компромату против Навального».

В сентябре 2015 года «Анонимный интернационал» опубликовал служебную переписку между сотрудниками «прокуратуры» и «Министерства государственной безопасности» самопровозглашенной Донецкой народной республики. Из обнародованных файлов, датированных концом 2014-го — началом 2015 года, следует, что «ведомства» конфликтовали с Александром Захарченко и его соратниками: МГБ обвиняло главу ДНР в «руководстве преступной группой». На десятках страниц «Справки о дестабилизации политической и экономической ситуации в ДНР» подробно описаны коррупционные схемы с участием лидеров сепаратистов, включая продажу мест на выборах в «народный совет» ДНР, прошедших 2 ноября 2014 года. В справке говорится, что бойцы некоторых подразделений похищали людей с целью выкупа, упоминаются пытки, убийства, похищения транспортных средств и рейдерские захваты предприятий. В переписке приводятся жалобы местных жителей на действия бойцов вооруженных формирований сепаратистов.

В 2015 «Шалтай-Болтай» опубликовал отчеты с обедов Путина 2010-2013 с первыми лицами других стран. Там помимо информации о организации самих банкетов, так же были переписки о содержании встреч. Из беседы с Берлускони в 2010 году, в частности, выяснилось, что Путин старается не читать прессу, поскольку, по его мнению, руководитель государства должен сам принимать решения, без оглядки на СМИ. 6 апреля РБК опубликовал расследование под заголовком «Кто моет российскую армию», главным героем которого стал петербургский ресторатор Евгений Пригожин, владеющий, по данным СМИ, рестораном в Белом доме, много данных из этой статьи были получены благодаря этому сливу.

В 2015 хакеры из группировки обнаружили, что секретная информация министерства обороны передавалась через публичные почтовые ящики на сервисах yandex.ru, mail.ru и gmail.com. Об этом хакеры сообщили в открытом письме департаменту военной контрразведки ФСБ. Местах размещения ракетных комплексов «Искандер» и атомных подводных лодок содержались в переписке Ксении Большаковой, помощницы бывшего главы департамента строительства Минобороны Романа Филимонова. Хакеры продавали письма Большаковой за 350 биткоинов. Сотрудникам контрразведки ФСБ они были готовы продать за половину стоимости.

«С печалькой отмечаем, что если данная информация стала доступна нам, то с большей степенью вероятности она могла быть доступна и спецслужбам ряда заинтересованных стран, так как преступная небрежность сотрудников департамента строительства министерства обороны РФ давала широкие возможности для этого на протяжении 2012-2014 годов», — говорится в письме «Анонимного интернационала».

Также в этом же году хаккеры опубликовали массив данных по переписке о проекте создания в России «национальной информационной платформы», которая должна стать альтернативой интернету. В обсуждении этого документа, принимали участие начальник управления кластерного анализа и пространственного развития Внешэкономбанка Сергей Ганзя, директор по информационным технологиям «РусГидро» Гаральд Бандурин и еще несколько человек.

В 2016 Анонимный интернационал сообщил о взломе почты Киселева и о аукционе на продажу этих данных. В качестве примеров сообщений «Шалтай-Болтай» опубликовал фрагмент переписки Киселева с пранкером Вованом, сценарий сюжета про убийство четырехлетней девочки в Москве, документы о покупке квартиры за 162 миллиона рублей, переписку с британскими адвокатами по поводу снятия с Киселева европейских санкций, а также письмо от министра культуры РФ Владимира Мединского, который просит устроить своего знакомого на работу.

Конечно все эти действия АИ не оставались незамеченные и их поиском занимались не только ФСБ, но и разного рода хакерские группировки. К примеру Словацкая компания ESET, занимающаяся разработкой антивирусов и защитой информации, опубликовала первую часть своего исследования о хакерской группе, известной под названиями Sednit, Fancy Bear, Apt 28, Sofacy и Pawn Storm. По данным ESET, помимо освещавшихся в СМИ атак на Демократическую партию США, немецкий парламент и французский телеканал TV5 Monde, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы. В России целями Sednit становились участники группы «Анонимный интернационал».

Печальный конец

В 2017 сотрудникам контрразведки удалось задержать лидера Анонимного Интернационала – Владимира Аникеева. В 1990-х он работал в петербургских СМИ. Источник «Росбалта» указывал, что Аникеев «писать совсем не умел, но был прирожденным разведчиком, мог для этого выпивать с кем-то, крутить романы с секретаршами, постепенно у него появился круг связей в различных ведомствах». В начале 2000-х Аникеев стал добывать компромат на бизнесменов и чиновников. В то же время он начал находить личные почтовые ящики «объектов» и передавал их для взлома хакерам.

Но, как оказалось позднее, Аникеева вычислили и взяли в оборот сотрудники ФСБ еще в 2016, но использовали его в своих целях.

Это стало известно только в 2017, когда их задержали по деле о госизмене. Ими были сотрудники Центра информационной безопасности ФСБ Сергей Михайлов и Дмитрий Докучаев, так же с ними в пачке работал руководитель отдела по расследованию киберпреступлений «Лаборатории Касперского» Руслан Стоянов. Это очень громкое дело, а Михайлов фигура очень значимая. До сих пор до конца ничего не ясно. Многое из дела засекречено.

В интервью  второго лидера Александра Глазикова газете The Financial Times, стало известно, что в начале 2016 года Владимир Аникеев сообщил участникам «Шалтая-Болтая» о появлении у группировки кураторов в спецслужбах, которые просили о праве накладывать вето на публикацию данных. В декабре 2016 года Аникеев вызвал на встречу в Москве участников группировки. Глазастиков ехать отказался и заявил о своем выходе из проекта.

В конце концов удалось задержать еще 2-х участников группы - Константина Теплякова (занимался обработкой полученных архивов переписок) и Александра Филинова, он замешан во взломе чиновника, имя которого засекречено.

Итого судьба троих мне сейчас неизвестна, вроде кого-то посадили, кто-то теперь сотрудничает с ФСБ, а Глазиков по последним данным получил политическое убежище в Эстонии. Всех остальных чисто технарей-хакеров из группировки так и не нашли.

Таки дела.

P.S.