Твое имя в списке у какого-то эфэсбэшника на столе Следы взлома сайта «Свободу Навальному!» ведут к людям, связанным с администрацией президента и его управделами. Расследование «Медузы»
О подготовке массовой акции за освобождение Алексея Навального его сторонники объявили 23 марта. Специально для этого появился сайт «Свободу Навальному!», где люди, готовые протестовать, регистрировались, оставляя свой e-mail. Уже 2 апреля неизвестные получили доступ к собранной на free.navalny.com базе адресов — но известно об утечке стало только в ночь на 16 апреля, когда злоумышленники начали рассылать гражданам письма с угрозами. В результате эти данные получили и работодатели, и силовики: одни жертвы слива потеряли работу, к десяткам других пришли с проверками правоохранительные органы. Журналисты «Медузы» Лилия Яппарова и Денис Дмитриев обнаружили, что многие следы этой утечки ведут в управление делами президента и президентскую администрацию, к двум землякам — «талантливому программисту» и молодому, подающему надежды руководителю стратегического НИИ. Их связывает давнее бизнес-партнерство, а еще у них есть общая инфраструктура для «спецопераций в интернете».
«Спасибо, что пришли. На митинг только не ходите»
Утром 21 апреля учительнице английского Евгении Макаровой позвонили из прокуратуры Кургана и попросили подойти к ним в течение дня. «Предложили даже с работы отпросить. Я сказала, что успею и так», — вспоминает девушка.
Положив трубку, Евгения поняла, что у нее дрожат руки. «Было страшно, потому что никогда со мной такого не было, — признается она в разговоре с „Медузой“. — У нас же перед [запланированным на вечер 21 апреля] митингом [в поддержку Навального] задержали всех активистов. А я ведь тоже участвовала в акциях! И подумала, что мне тоже сейчас дадут сколько-то суток».
Перед выходом из дома Макарова оставила записку маме — на случай, если не вернется домой. «Написала адрес прокуратуры, написала кабинет, куда меня вызвали, — и что все будет хорошо», — вспоминает Евгения. Записку она вложила в стоящую на комоде большую открытку — чтобы послание нашли не сразу: «И если бы я сама вернулась домой, я бы просто незаметно его убрала».
В кабинет заместителя прокурора Макарова попала не сразу. «Сначала оттуда вышли девушка и молодой человек. Такие молодые совсем, младше меня — старшего подросткового возраста практически. У них был такой растерянный вид! Не улыбались, даже не смотрели друг на друга — как страхом от них повеяло, когда они мимо меня прошли», — вспоминает Евгения.
Когда очередь дошла до Макаровой, зампрокурора Евгений Заровный объяснил, что «отрабатывает сигнал»: поступила информация, что через несколько часов девушка собирается на акцию в поддержку Навального в центре города. «„А вы на нее не ходите! Мы применяем к вам превентивные меры воздействия“, — пересказывает Макарова. — Подал мне „предостережение о недопустимости нарушения закона“ — я подписала. „Спасибо, что пришли! На митинг не ходите только“».
Евгения осторожно улыбается, когда рассказывает эту историю. На митинг в тот день она даже не собиралась.
Откуда в прокуратуру Кургана «поступила информация», Заровный не объяснил. Только через несколько дней Макарова вспомнила о странном имейле, упавшем ей в почту 15 апреля. «Привет, это Навальный, — письмо начиналось знакомо, но продолжалось непривычным и грубым ерничаньем: — Продолжайте участвовать в движухах суперайтишника [соратника Навального Леонида] Волкова — и мы продолжим получать о вас новые данные, ха-ха-ха».
Макарова решила, что письмо ей написали злоумышленники, получившие доступ к сотням тысяч имейлов с сайта «Свободу Навальному!» — Евгения там регистрировалась и указала свою почту.
В ФБК подтвердили подлинность утекших с сайта «Свободу Навальному!» данных. Леонид Волков заявил, что утечка имейлов людей, зарегистрировавшихся на митинг, связана с действиями бывшего сотрудника фонда. «Как всегда, 99% хакерских атак происходят через инсайдера, через „крысу“. У нас бывший сотрудник с доступом [к чувствительной информации] смог скачать почтовые логи сервера», — объяснил Волков.
В первом сообщении, которое 15–16 апреля получили большинство жертв утечки, хакеры грозились «деанонимизировать почту». И в следующей серии писем (18 апреля) продемонстрировали, что действительно смогли установить имена, телефоны и адреса многих жертв слива. Третья волна рассылки велась 21 апреля с отдельного домена и была нацелена на работодателей людей, регистрировавшихся на сайте free.navalny.com.
Вот «сотрудники вашей организации», которые «поддерживают экстремистов», предваряли злоумышленники перечисление конкретных имен. «Если эти люди не поймут, что нужно жить по закону, вашей компании… будет… обеспечено пристальное внимание СМИ и контролирующих органов», — предупреждали хакеры.
Сколько людей лишились работы после третьей волны рассылки, неизвестно. Только из ВГТРК уволили шестерых, в том числе начальника одного из подразделений, рассказали «Медузе» бывший звукооператор Михаил Безрукавый и еще двое бывших сотрудников холдинга. «Слышал версию, что все пошло из департамента безопасности [ВГТРК], — рассказывает бывший сотрудник ВГТРК Игорь. — А кто-то говорит, что, наоборот, „стукнули“ по самому верху — а дальше все это снисходило с [главы ВГТРК Олега] Добродеева». (В ВГТРК не ответили на запрос «Медузы» к моменту публикации этого материала.)
Бывшую сотрудницу ВГТРК Светлану увольнял телеведущий и функционер государственной телерадиокомпании Андрей Медведев — за все время работы (16 лет) это была ее первая встреча с представителем высшего руководства холдинга.
«Медведев с ходу спросил, зачем я регистрировалась на сайте free.navalny.com. На что я ответила, что это мое личное дело. „Нет, — сказал он, — это никак не ваше личное дело. Оно не может быть вашим личным делом“. И начал мне читать нотацию о том, что нельзя поддерживать такую личность и получать зарплату на ВГТРК — и вообще он „испытывает личную обиду, потому что он большой друг [главного редактора RT] Маргариты Симоньян, а Навальный и ее мочил, и ВГТРК мочил — и вообще как я могу“», — вспоминает Светлана.
Встреча с Медведевым оставила у Светланы сильное впечатление. «Такой вкрадчивый голос, стеклянный взгляд. Отец — офицер контрразведки, мама снимала кино про плесень, — смеется девушка. — Если честно, я впервые с такого рода персонажем была лицом к лицу, так что я в какой-то момент, когда поняла содержание претензий, просто стала наблюдать за ним, как-то даже отключилась. Попыталась было ему объяснить, что поддерживаю [Навального] скорее в гуманистических целях, даже не в политических. Но он меня как будто не видел. Пытаешься свою точку зрения хоть немножечко донести до человека — и никакой вообще реакции. Никакой».
Звукооператора «Вести-Москва» Михаила Безрукавого вызвали на разговор с начальством днем раньше, прямо в день митинга 21 апреля. «Увольняла меня [замгендиректора ВГТРК Ирина] Филина — а у меня должность звукооператора как бы, чтобы вы понимали, — вспоминает Безрукавый. — Все это было очень сюрреалистично: поначалу я просто переживал, что теряю работу, но в какой-то момент страх пропал — и возникло ощущение, что это все не по-настоящему. Они мне задают вопрос: как можно работать на государственном телеканале и поддерживать оппозицию? „Как же так, это же федеральное, это большой объект, мы работаем с первыми лицами“. Ненависти в их словах не было: моя должность не столь высока, чтобы демонстрировать ненависть. Нет, скорее в их лицах читалось какое-то непонимание. Было понятно, что это люди из совсем другой вселенной. Я даже в какой-то момент подумал, что этот разговор стоит того, чтобы быть уволенным».
Отсылали ли хакеры материалы утечки в ФСБ, Следственный комитет, прокуратуру и МВД, неизвестно. (Ведомства не ответили на вопросы «Медузы».) Однако 20 и 21 апреля представители четырех этих структур устроили беспрецедентный рейд, прошедший в десятках городов — от Кавказа до Карелии, от Якутии до Сахалина. О визитах сотрудников СК, вызовах в прокуратуру и интересе со стороны спецслужб «Медузе» рассказали 5% опрошенных жертв утечки (34 человека из 706; всего она затронула больше 400 тысяч человек) — двум из них силовики объяснили, что обыски связаны со сливом с сайта free.navalny.com.
Некоторых опрошенных силовики предупредили о возможной уголовной ответственности, в разговоре с другими не исключили вероятность ареста или штрафа. «Если не остановишься, можем и пару патронов подложить», — пересказывает «Медузе» слова сотрудника полиции Владимир из Пятигорска.
Студентку Строгановской академии Полину вызывали в деканат с такой формулировкой: «Твое имя в списке у какого-то эфэсбэшника на столе, потому что ты где-то зарегистрировалась». «Я действительно испугалась, — вспоминает она. — Я испугалась, что у ФСБ где-то есть моя фамилия, что эти люди могут добраться до меня вообще неизвестно какими путями, что они могут позвонить моей маме. Я террорист, что ли?»
Анастасии Зориной из Южно-Сахалинска в день митинга звонили с незнакомого номера; в приложении GetContact он записан как «Черт», «Сукин сын» и «Мусара», проверила «Медуза». Представляться мужчина не стал, но говорил с ней как старый знакомый, вспоминает девушка. «Что он из какого-то штаба и для участия в митинге им нужна помощь: подготовить слезоточивый газ, горючие смеси и самодельные взрывные устройства, — рассказывает Зорина „Медузе“. — Причем звучал он так, будто я прямо должна это сделать — раз уж согласилась участвовать в митинге».
Таинственный звонок показался Анастасии всего лишь продолжением начавшейся с хакерской атаки «спецоперации»: «Видимо, мирное шествие хотели сделать немирным».
«Нас просто подставили»
Созданная хакерами инфраструктура уже начинает исчезать из сети.
Три основных домена, с которых шла рассылка, заброшены хозяевами, рассказали «Медузе» в Reg.ru — компании-регистраторе, которой известны владельцы сайтов.
Разыскивать этих людей никто не пытался, рассказывают в регистраторе: «обращений не было» ни от одного из силовых ведомств. (В ФСБ и МВД не ответили на вопросы «Медузы» о том, начато ли расследование.)
«Медузе» удалось узнать еще об одном домене, связанном с рассылкой. Вечером 15 апреля — всего через несколько часов после того, как злоумышленники начали создавать инфраструктуру для своей кампании, — несколько человек получили письма с почты noreply@moscow-baku.ru (об этом рассказали четверо из более чем 700 людей, отозвавшихся на просьбу «Медузы»).
Эти имейлы содержали все те же угрозы. Отличало их только то, что они оказались в числе первых (основной поток писем пошел примерно через сутки) и как будто были отправлены в качестве пробных. Или по ошибке.
Домен moscow-baku.ru и размещенный на нем сайт информационного агентства «Москва-Баку», по данным «СПАРК-Интерфакс», принадлежат Мусе Мурадову — человеку, которого сложно представить организатором прокремлевской хакерской атаки. Журналист родом из Грозного, Мурадов в 1991 году возглавил газету «Грозненский рабочий», которую во время чеченских войн называли «единственной действительно независимой газетой, публикуемой и распространяемой в Чечне». Газету приходилось делать то в Грозном, то в Москве, то в Назрани; из-за редакционной политики Мурадова издание находилось в конфликте как с федеральными российскими властями, так и с чеченскими повстанцами, а позже и лично с Рамзаном Кадыровым. Правозащитники называли Мурадова человеком, который «просто не дает себя запугать и не молчит о преступлениях, совершаемых обеими сторонами».
Но сейчас Мурадов руководит другим СМИ — информационным агентством «Москва-Баку». «Концепция нашего сайта — освещать российско-азербайджанские отношения, — объясняет Мурадов „Медузе“. — У нас скорее пиар-проект, понимаете? Даже не в формате СМИ. Мы говорим только за все прекрасное».
У посвященного российско-азербайджанской дружбе проекта 684 подписчика во «ВКонтакте» и 66 — в твиттере. На ютьюб-канале издания работают выходцы с ВГТРК, а на сайте — бывшие сотрудники принадлежащего Евгению Пригожину РИА ФАН.
«Там не совсем журналистика, какой она должна быть, — вспоминает в разговоре с „Медузой“ бывшая сотрудница издания. — Там пропагандистская журналистика, описывающая отношения России и Азербайджана».
Новости о Навальном на сайте «Москва-Баку» освещаются практически нейтрально — или не упоминаются вовсе. Главный редактор издания Руслан Сагаев (раньше работал с прокремлевским медиаменеджером Арамом Габреляновым) отвергает предположение, что кто-либо из сотрудников мог использовать инфраструктуру сайта для рассылки угроз жертвам утечки с сайта free.navalny.com. «Бредом было бы, если бы наши сотрудники в этом участвовали, — сказал Сагаев „Медузе“. — И потом ни один хакер так открыто действовать не будет. Нас просто подставили!»
«Чтобы наши сотрудники что-то предприняли? — возмутился в разговоре с „Медузой“ Муса Мурадов. — Это абсолютно исключено, без раздумий могу сказать. С какого бодуна нам этим заниматься? Хакеры — они же от имени каких-то других сайтов часто выступают, как я понимаю? И если они для таких подлых вещей выбрали наш сайт, мы такие же жертвы, как и все остальные».
Опрошенные «Медузой» технические специалисты не исключают, что похожая на тестовую короткая рассылка могла быть совершена с домена «Москвы-Баку» по ошибке — кем-то, кто когда-либо имел доступ к сайту или его разработке — или даже до сих пор отвечает за сетевую инфраструктуру проекта.
«Давай по аналогии с физической почтой, — объясняет корреспонденту „Медузы“ исследователь из проекта Censored Planet Мичиганского университета Леонид Евдокимов. — Человек печатал конверты для „Москвы-Баку“. Его попросили печатать для „НавальныйФейл“ — и он там в половине мест макет отредактировал, а в половине — нет. И поэтому у него часть конвертов ушла с „Москвы-Баку“. Только в этом примере принтер нужно заменить на скрипт рассылки».
Однако «Москва-Баку» может и вовсе не иметь никакого отношения к злоумышленникам — более того, сайт мог стать очередной их жертвой. Дело в том, что заголовки имейлов легко подделываются, объясняют эксперты. «Чтобы отправить письмо с обратным адресом putin@kremlin.ru, не нужно примерно ничего», — говорит Евдокимов.
По просьбе «Медузы» исследователь Censored Planet Леонид Евдокимов провел эксперимент с IP-адресом и почтовым сервером, с которых осуществлялась первоначальная рассылка от noreply@moscow-baku.ru. И выяснил, что для настоящего домена «Москвы-Баку» они сообщения не принимают. Такой разрыв связей понижает вероятность того, что хакеры пользовались реальной инфраструктурой российско-азербайджанского СМИ.
Услышав вопрос корреспондента «Медузы», есть ли у его издания враги, Муса Мурадов растерялся. «На фоне событий в Карабахе могли быть публикации, которые могли не понравиться армянской стороне, — рассуждает владелец „Москва-Баку“. — Но я не говорю, что это сделали „армянские хакеры“ — у меня нет ни малейшего представления, кто бы это мог быть».
Серия спецопераций в интернете
Неизвестные, атаковавшие сайт free.navalny.com, не впервые проводят спецоперации в интернете. Это становится ясно при изучении регистрационных данных доменов, использованных для организации рассылки — все они при создании были привязаны к одному виртуальному номеру (+4674575456433) и двум имейлам: ev_golubeva@inbox.ru и kate.handrix@yandex.ru.
Те же адреса обнаружило издание «Настоящее время» в своем расследовании, посвященном утечке данных сайта «Свободу Навальному».
Владелец почты ev_golubeva@inbox.ru уже участвовал в провокациях против ФБК, обратил внимание OSINT-энтузиаст Reworr: именно этот имейл оставлен как контактный в объявлении о «раздаче денег» на акции, инициированной оппозиционным политиком Ильей Яшиным и поддержанной сотрудниками ФБК. «3 августа нужны люди на митинг. Встреча: в 11:20, около м. „Трубная“. Заканчиваем: в 12:30. К возрасту и полу требований нет», — говорится в сообщении на форуме politrabota.ru.
Та же группа, судя по совпадению регистрационных данных, зарегистрировала и домен navalny.ru.com; пока в рассылке или фишинге он, насколько известно «Медузе», не использовался.
Остальные зарегистрированные группой домены выглядят как сайты-подделки, имитирующие официальные ресурсы госведомств.
Такие домены используются для фишинга. Главная его задача — получить данные банковской карты. Эти сведения добываются обманом: мошенники создают сайты-клоны, куда невнимательный пользователь может ввести свои логины, пароли и данные карт.
Так, на три почты — kate.handrix@yandex.ru, ev_golubeva@inbox.ru и ksenya.v.lapina@inbox.ru — и два виртуальных номера (шведский и исландский), которые постоянно используются злоумышленниками, были зарегистрированы ресурсы, имитирующие реальные сервисы. А именно сервисы по онлайн-оплате штрафов ГИБДД (shtrafy-gibdd.ru.com, shtrafy-gibdd.website), сайты госуслуг (gosuslugi-mail.su), ФССП (fsspruss.su), МЧС (mchs.tech) и налоговой (nalog.tech). Последний сразу перенаправляет пользователя к форме ввода почты и пароля — вероятно, для кражи этих данных.
Собеседник с доступом к данным Технического центра Интернет, оператора доменов зон .ru и .рф, предоставил «Медузе» техническую информацию об уникальном идентификаторе владельца домена navalnyfail.ru, с которого также осуществлялась рассылка угроз сторонникам Навального. Согласно этим сведениям, организаторам атаки на ФБК также принадлежат домены mchs-mail.ru, r77-fssprus.ru и roskozna.ru (имитирует сайт казначейства).
Но еще два домена, созданные той же группой неизвестных, не связаны ни с мошенничеством, ни с организацией провокаций против ФБК. Сайты zasekin.press и zasekin.space, как первым обратил внимание Reworr, были зарегистрированы 26 февраля 2021 года — прямо накануне провокации против самарского издания «Засекин.ру».
27 февраля с самарским сайтом случилось то же, что, по одной из версий, могло произойти с сайтом агентства «Москва-Баку». Хакеры подделали электронный адрес «Засекин.ру» — и начали рассылку от имени редакции: напомнили самарским чиновникам и отделениям партий о грядущих выборах в губернскую думу, предлагая «не голосовать за кандидатов от бункерного карлика и дутого кролика», а поддержать «Умное голосование» Алексея Навального.
«Они использовали технологию подмены адреса и рассылали от нашего имени липовые письма», — возмущается владелец «Засекин.ру» Дмитрий Лобойко (сторонником Навального он, по собственному признанию, не является).
Лобойко утверждает, что у него есть версия, кто стоит за атакой на его издание и использующейся в политических провокациях инфраструктурой, — это «люди из АП», которые занимаются «спецоперациями в интернете».
Атака через даркнет
Ранним утром 22 февраля 2021 года страницы аналитического сайта «Засекин.ру» стали заполняться краткими описаниями способов самоубийства, ссылками на детскую порнографию и песнями группы «Коловрат» — всем тем, что так жестко отслеживает и блокирует Роскомнадзор.
Экстремистские материалы попадали на страницы сайта через систему комментариев: на площадку самарского СМИ с посещаемостью 10–12 тысяч человек (в будни) как будто разом пришли десятки тысяч комментаторов, спустивших под публикациями лавину запрещенного контента.
«Расчет был, что мы с объемом атаки не справимся — и нас заблокирует Роскомнадзор, — вспоминает Дмитрий Лобойко. — Пришло порядка 60 тысяч комментариев за пару часов. И параллельно на нас началась DDoS-атака».
Номер публикации, которая вызвала такой живой интерес у хакеров, Дмитрий к тому моменту уже знал. «Технари сразу мне сказали, что это из-за 30781. Ну, zasekin.ru — и номер материала через слэш, — вспоминает Лобойко. — Мы видели только номер статьи, которую дидосят, но не видели сам текст. И в первые полчаса я не особо понимал, о чем там речь. А когда сайт заработал и мы посмотрели, многое прояснилось».
DDoS шел на одну страницу, которую пытались уничтожить, — сисадмины сразу увидели это в технических данных. «На нее упало 150, 200 тысяч в первый час атаки — в общем, какое-то гигантское количество просмотров — и 46 тысяч комментариев. Очевидно, что это не живые люди их столько написали. Павел Селезнев не столь популярная личность, чтобы 100 тысяч людей зашли посмотреть, „что же там за бывший эфэсбэшник летал за границу“», — иронизирует Лобойко.
На момент атаки издание находилось в конфликте только с одним человеком — бывшим сотрудником самарского управления ФСБ Павлом Селезневым. Причиной стала короткая заметка о человеческих слабостях молодого ветерана спецслужбы, опубликованная изданием накануне хакерской атаки.
Со ссылкой на материалы суда «Засекин.ру» пересказал историю попыток бывшего силовика уехать за границу. Покидать страну ветеранам спецслужбы нельзя в течение пяти лет после увольнения. Но подполковник сумел раздобыть загранпаспорт на чужое имя — и вылетел в Дубай.
«На самом деле мы даже не стали писать все, что об этом человеке знаем, — вспоминает Лобойко. — А информацию про Эмираты мы опубликовали по материалам Самарского районного суда! После этого люди, связанные с Селезневым, начали наводить справки: а не является ли материал заказным? И как бы его убрать? И по всем каналам им было донесено, что это не заказной материал, заинтересованных в нем лиц нету — а есть первоисточник, опубликованный на сайте суда».
На следующий день началась DDoS-атака на «Засекин.ру», которая продолжается до сих пор. «За апрель был 31 с лишним миллион обращений дидосовских — большая часть из них идет через Tor, чтобы было не определить, кто это делает. Думаю, если бы мы удалили публикацию, они бы остановились», — рассуждает Лобойко.
Несколько дней спустя неизвестные разместили на доменах zasekin.press и zasekin.space точные копии издания. «Смысл был в подмене трафика: чтобы наш сайт потерял посетителей», — предполагает Лобойко.
23 апреля Селезнев попытался добиться блокировки публикации о себе через Роскомнадзор; несмотря на все усилия, заметка о поездке в Дубай — это главное, что сейчас гуглится о бывшем силовике. До февраля Селезнев упоминался разве что в самарских телеграм-каналах — и на сайте «Компромат.ру», где описывали, как он играет в преферанс в компании банкиров, отставных силовиков и криминальных авторитетов.
Зная об обиде Селезнева, журналисты «Засекин.ру» провели собственное расследование хакерской атаки. (Сам ветеран спецслужбы не ответил на звонки «Медузы».) «Оказалось, что у самого экс-силовика возможностей для организации спецоперации в интернете нет», — говорит Лобойко. Но, как утверждает следивший за ходом конфликта собеседник «Медузы» в Самаре, помочь Селезневу в организации DDoS-атаки мог его близкий товарищ и бизнес-партнер Михаил Дудин — «талантливый математик и программист».
Дудина и Селезнева связывает не только личная дружба, но и тесное партнерство в бизнесе, установила «Медуза»: их семьи вместе вели дела как минимум трижды.
До 2015 года Дудин был акционером «АктивКапитал Банка», первым замом председателя которого долгое время работала жена Селезнева Диляра. «Дудин был, как я понимаю, в составе учредителей банка „АктивКапитал“ в кризисный период, когда банк лишали лицензии. Фактически он прибыл туда в момент, когда реальные бенефициары уходят, совсем левых, которые зиц-председателями будут, еще не ввели — и вот такая переходная администрация, — рассказывает Лобойко. — И вот он был в этой переходной администрации, которую возглавляла Диляра Селезнева».
Согласно данным «СПАРК-Интерфакс», до 2018 года Дудин был учредителем и гендиректором айти-компании ООО «Алекс-Консалт». В августе 2018-го он ушел с поста гендиректора, а в октябре перестал быть учредителем — через месяц им стала его жена Людмила Дудина, ведущая совместный бизнес с Павлом Селезневым.
А в 2018 году, согласно данным «СПАРК-Интерфакс», Дудин с Селезневым стали совладельцами ООО «Принцип права».
Дудин — талантливый программист, который сотрудничал с органами госбезопасности, утверждает собеседник «Медузы», осведомленный о карьере самарского айтишника. «Лет 10 назад он пытался продать эфэсбэшникам свою разработку по определению точного местоположения абонентов с использованием вышек сотовой связи, — продолжает собеседник. — В те годы им для этого, говорят, приходилось отправлять три специально оборудованных автомобиля, которые создавали локальную сеть — и через эту сеть находили точную локацию. Михаил придумал систему, как без этих трех автомобилей — дистанционно — определять локацию с точностью до одного-двух метров».
Сейчас Дудин перебрался в Москву, где представляется как сотрудник администрации президента, рассказывает собеседник «Медузы» в Самаре, следящий за карьерой программиста. «Он абсолютно непубличное лицо. Работает сейчас на [начальника управления президента по внутренней политике Андрея] Ярина, — продолжает собеседник. — Говорят, он очень хорошо оплачиваемый специалист».
Трудоустроен ли Дудин в администрации официально, «Медузе» уточнить не удалось. Но собеседники «Медузы» говорят, что в АП его знают уже больше 10 лет. «Еще по Поволжью, — вспомнил в разговоре с „Медузой“ бывший чиновник администрации. — Хороший парень, непьющий. Любит животных». А сейчас программист и правда «сотрудничает с Яриным», утверждают близкие к ФСБ и к АП собеседники «Медузы». Согласно агрегаторам телефонных книжек, которые проверила «Медуза», Дудина в контакты записывают так: «Михаил Админ. Президент».
В 2017 году Ярин возглавил инициативу Кремля по защите от киберугроз из-за рубежа, а осенью 2020-го попал под санкции Евросоюза из-за отравления Навального — по данным ЕС, он входит в рабочую группу, которая занимается дискредитацией политика.
У Ярина самарский программист «занимается всякими интересными айти-проектами», иронизирует собеседник «Медузы», осведомленный о проектах Дудина в АП. При этом математический талант, которым Дудин славился в родном регионе, ему на работе при АП пока не пригодился, рассказывает близкий к ФСБ источник: собственной инфраструктуры для таких атак у администрации нет. «Они точно так же эти вещи покупают — как и все остальные. Все делают наемные конторы», — утверждает собеседник.
Михаил Дудин действительно причастен к атаке на сайт free.navalny.com, подтвердили «Медузе» два собеседника, в том числе близкий к ФСБ источник, знакомый с подробностями последнего «спецмероприятия» против ФБК «Там играется именно апэшечка», — утверждает он. «Уверен, что атаки что на „Засекин.ру“, что на сторонников Навального организованы Дудиным», — соглашается собеседник в Самаре, хорошо знающий программиста. (Администрация президента России не ответила на вопросы «Медузы» о хакерской атаке и роли в ней Дудина к моменту публикации этого материала. Сам Дудин с «Медузой» разговаривать не стал.)
Более того, Дудин оказался связан и с НИИ при управделами президента, которое собеседники «Медузы» также называют причастным к атаке на сайт сторонников Навального.
«Вы сколько навальнят для чекистов проверили?»
Все утро 20 апреля двое сотрудников петрозаводского СК провели в машине. Выехали рано, чтобы добраться до Пудожа — маленького города на другой стороне Онежского озера — хотя бы днем. И отыскать там Алену Миронову, оставившую свой имейл на сайте «Свободу Навальному!».
«Ехали, наверное, по нашим плохим дорогам и болтали о всякой фигне», — представляет себе их поездку сама Миронова, давно уже перебравшаяся в Петербург. К пяти вечера сотрудники добрались до двухэтажного дома, обитого пыльно-розовым сайдингом. «Крайняя улица у леса, — описывает Алена дом своей матери. — Спросили: „Алена Миронова здесь живет?“ Им отвечают: нет, в Питере. Те постояли, пооглядывались — и просто уехали»
К тому моменту Миронова уже получила от хакеров письмо со своими личными данными — и нашла там только одну ошибку: в адресе. Не все собранные злоумышленниками сведения оказались актуальны — тем не менее им удалось превратить список из одних только имейлов в подробную базу сторонников Навального с телефонами и адресами.
Для такой деанонимизации могло хватить сопоставления списка электронных адресов с другими утекшими на черный рынок данных базами; только коллекций таких баз — десятки.
Но участники этого черного рынка, постоянно знакомящиеся со всеми обновлениями существующих баз, утверждают, что данные, собранные злоумышленниками на сторонников Навального, происходят именно из СУБД «Спрут», которая считается одной их самых полноценных коллекций.
«Там [в базе на сторонников Навального] указаны достаточно свежие места работы — такие данные есть только у „Спрута“, — говорит собеседник на российском рынке данных. — А у „Спрута“ — прямые контракты и официальная работа с ГлавНИВЦ, то есть, считай, с АП».
Главный научно-исследовательский вычислительный центр (ГлавНИВЦ) при управделами президента — еще одна организация при Кремле, отвечающая за высокотехнологичные операции. В руководстве этого полусекретного НИИ, как ранее обнаруживала «Медуза», выходцы из российских спецслужб, а команда программистов занималась разработкой технологий деанонимизации для нужд силовиков: эти программные решения способны были выдавать о любом жителе России самую разную информацию, от паспортных данных и VIN-номера автомобиля до зарубежной недвижимости.
14 апреля, накануне начала кампании по деанону жертв утечки с сайта free.navalny.com, ГлавНИВЦ возглавил Вадим Гайсин — земляк и давний бизнес-партнер Михаила Дудина.
Согласно данным «СПАРК-Интерфакс», в июне 2012 года Гайсин стал владельцем ООО «Пикник» — и уже в марте 2013 года продал компанию Михаилу Дудину.
В 2018 году Гайсин возглавил ООО «Ютек-НН», чьим владельцем на тот момент был Дудин.
В 2016 году Гайсин продал свою долю в ООО «ЖБИ Строй-холдинг» самарцу Виталию Белодубровскому. В 2015-м тот стал владельцем управляющей компании «Волгасбытсервис», созданной Дудиным.
С приходом Гайсина собеседники «Медузы» связывают грядущие перемены в НИИ, который снова, после ряда финансовых проблем и распада прежней команды аналитиков и программистов, должен вернуться к «реальной работе» — разработкам для силовиков.
Как писала «Медуза», в 2014 году, с приходом в руководство управделами, к которому относится ГлавНИВЦ, высокопоставленного сотрудника ФСО Александра Колпакова, НИИ стал площадкой разработок в том числе для силовых структур. Но после череды финансовых сложностей деньги на организацию технологического бума при управделами кончились, а с трудом собранная команда программистов и аналитиков распалась.
«В ГлавНИВЦ сейчас поменялось все. Реальная работа теоретически должна начаться, но пока не началась, — уточняет близкий к ФСБ собеседник „Медузы“. — А он [Гайсин] — абсолютно черная лошадка пока, даже не серая. Совершенно непонятно, как он себя проявит».
Но у Михаила Дудина есть и собственный опыт работы с базами данных россиян. По данным «СПАРК-Интерфакс», в 2006 году программист возглавил фирму «Алекс-Консалт», которая, согласно пользовательской инструкции на сайте, предоставляет доступ к «подсистеме поиска информации в текстовых базах данных» (в том числе к оперативным сводкам ГУВД). В 2020-м доступ к этой разработке купило одно из подразделений «Роснефти» — и это не единственная такая закупка.
Другая фирма Дудина «Ютек-НН» имеет лицензию ФСБ на реализацию специальных технических средств, предназначенных для негласного получения информации, обнаружило издание «Настоящее время» в собственном расследовании утечки данных с сайта сторонников Навального.
ФСБ также могла участвовать в наполнении новой базы сторонников Навального свежими данными. По крайней мере, сотрудники этой спецслужбы обращались к участникам рынка пробива с такой просьбой, утверждает близкий к силовикам собеседник с рынка данных. «Поманили сладкой сказкой про госконтракты, сотрудничество, дружбу и взаимовыручку», — добавляет он. (ФСБ не ответила на запрос «Медузы».)
Сколько всего игроков рынка данных подключились к работе над базой по просьбе спецслужбы, собеседник «Медузы» не знает. «Это даже стыдно спрашивать, — смеется он. — „Василий Викторович, вы сколько навальнят для чекистов проверили?“ Он мне скажет: „Ты что, совсем дурак? Не звони сюда больше“».
* * *
Алена Миронова из Пудожа не сразу поверила, что сотрудники органов, проехавшие лишних 400 километров из-за ошибки при составлении базы, больше не будут ее искать. «Первые два дня я все посматривала на полицию в метро: спросят меня чего или нет», — вспоминает Миронова.
Что двое силовиков хотели сказать своим визитом в Пудож, Миронова так и не поняла. «Если это была стратегия, то она с треском провалилась, — говорит Алена. — Потому что мы так и не поняли, что надо делать: бояться, что ли?»