Фишинг под эгидой ФСБ: из-за утечек данных сотням людей грозят уголовные дела

6 сентября фонд Free Russia (объявлен в России «нежелательным» и «экстремистским») признал, что произошла утечка документов, «предположительно относящихся к деятельности фонда». «Мы расследуем этот инцидент, чтобы определить источник, масштаб и характер утечки, а также минимизировать риски для наших сотрудников, партнеров и бенефициаров», — сообщили на сайте фонда 6 сентября.

Это заявление фонд сделал после того, как в анонимном телеграм-канале началась публикация внутренних документов Free Russia про так называемую «фабрику эльфов»: в том числе в открытый доступ попали зарплатные ведомости и личные данные сотрудников.

Еще 5 лет назад фонд получил в России ярлык нежелательной организации. А летом этого года российские власти объявили Free Russia экстремистской организацией. Это почти самый жесткий лейбл: за сотрудничество с такой организацией автоматически полагается уголовное дело.

О том, что российская оппозиция действует методами идеологического противника и создала свою «фабрику эльфов» (это неформальное название придумали по аналогии с околокремлевскими «фабриками троллей»), стало известно еще осенью 2023 года. Тему впервые затронуло издание либертарианца Михаила Светова СВТВ, а дальше подтвердили многие независимые СМИ. Согласно их публикациям, фонд Free Russia нанимал десятки человек в Литве и Грузии, чтобы они оставляли антикремлевские и антивоенные комментарии во «Вконтакте».

Публикация документов важна не столько потому, что подтверждает наличие ботофермы, сколько потому, что показывает: произошла утечка данных. И эта утечка гораздо больше одного только фонда Free Russia, выяснили расследователи.

Специалисты заметили волну фишинга с октября 2022 года по август 2024-го.

Фишинг — это способ взлома, когда жертву обманом вынуждают кликнуть на ссылку или открыть документ: таким образом злоумышленник получает доступ к их данным. К этому виду мошенничества относятся знаменитые письма от «нигерийского принца», жаждущего отдать адресату свои миллионы.

В этот раз хакеры работали прицельно против российских и восточноевропейских НКО, правозащитных организаций, а также дипломатов и чиновников (в том числе западных). Обман был качественно продуман: конкретному сотруднику приходило письмо якобы от знакомого, коллеги, с документом, который он ждал или наверняка бы захотел открыть. Документ был зашифрован, и, чтобы его посмотреть, нужно было залогиниться в Google или Proton — почтовые системы, у которых также есть облачные хранилища файлов. Однако логинились жертвы фишинга на фейковой странице: именно так хакеры получали доступ к их почте, облаку и всем файлам в нем.

Расследователи считают, что за взломами стоят два актора. Один — Coldriver, так называют группу хакеров, которая с 2019 года атакует НКО, аналитические и научные центры, политиков и правительственные организации: в Великобритании, США и странах, соседствующих с Россией.

Службы кибербезопасности США, Британии, Австралии, Канады, а также ФБР связывают Coldriver (их еще называют Star Blizzard) с ФСБ.

Второго возможного актора расследователи назвали Coldwastrel. С ним сталкиваются не так давно, и его связь с российскими спецслужбами пока не доказана, и все же действует он явно в их интересах. Выложив свои находки в телеграм-канал, анонимный автор тегнул там ресурсы российских провластных лиц и организаций, якобы оповещая о своих находках. «Понятно, что он все равно так или иначе настучал бы властям. Но если это легализация взлома самих властей, то тэги — это камуфляж, по сути «сами себе написали письмо»», — рассуждает знакомый с ситуацией источник Би-би-си, попросивший об анонимности.

Глава правозащитного проекта «Первый отдел» Дмитрий Заир-Бек (и проект, и его руководитель внесены в реестр «иноагентов») считает, что публикация документов по «фабрике эльфов» нужна для того, чтобы сделать вид: якобы данные воруют частные люди, а не российские власти.

«На высоком уровне не принято признавать, что государства содержат хакеров, ведут кибервойны и кого-то атакуют. Других обвинять — пожалуйста, но о себе такого не скажут. Россия тренду следует. А в случае с этой кампанией признать участие государства — это уж совсем дурной тон, и чревато дипломатическим скандалом, ведь помимо гражданского общества пострадали еще и дипломаты и чиновники, в том числе западные и даже американские. Утечку организовали в анонимном телеграм-канале, чтобы потом государство могло заявить: «Это не ФСБ, это какие-то частные ребята, которые инициативно передали данные в правоохранительные органы»», — считает он.

У бывшего посла США в России Майкла Макфола тоже недавно утекли переписки: летом они всплыли в анонимном телеграм-канале, созданном специально для этого. Дипломат и сам подтверждал факт взлома «Голосу Америки» (российские власти объявили издание «иноагентом»). Дмитрий Заир-Бек считает это работой Coldriver или Coldwastrel.

Объем данных, полученный хакерами, невероятно велик, уверен Заир-Бек. То, что в паблик попали именно документы по уже известной всем и вызвавшей скандал «фабрике эльфов», он считает признаком желания авторов утечки распространить информацию как можно шире.

«Фабрика эльфов — это уже известная история, — сказал он Би-би-си. — Они могли выбрать что угодно другое, но они не стали публиковать не столь интересные публике финансовые проводки других фондов, личные данные людей: они опубликовали самую хайповую историю, чтобы это разошлось максимально широко, тем самым легализуя фишинговую кампанию Rivers of Phish как не связанную с государством».

Однако все это — даже не верхушка айсберга, а крошечная его часть.

«От действий хакеров пострадали десятки организаций, у которых была похищена переписка, включая отчеты о грантах и внутренние документы», — написал в своем заявлении фонд Free Russia. Заир-Бек из «Первого отдела» подтверждает двухзначное число утечек. Тот же «Первый отдел» рассказывал о попытках их взломать еще в 2023 году. Но многие организации не объявляют публично, что стали жертвами фишинга.

«Вероятно, задача киберпреступников — создать предлог для новой волны репрессий в отношении продемократически настроенных россиян, выступающих против войны с Украиной», — предположили Free Russia в своем заявлении.

Украденной информации хватит, чтобы начать уголовное преследование против кого угодно, связанного с НКО и российским гражданским сектором, в России или за рубежом, считает Заир-Бек: сообщество это небольшое, и большая часть сотрудников российских НКО и гражданского российского сектора в этом общем архиве, скорее всего, засветилась.

«Если вы хотите предположить, какие у этого могут быть последствия, нужно смотреть на эту кампанию через призму репрессивных трендов, которые использует наше государство. Они умеют: придумать новую коллективную сущность, объявлять экстремистской и всех под этим соусом запрещать. Или появится новая пачка нежелательных организаций. Или — а может, и — будут точечные посадки участников проектов, которые живут в России и светятся в проводках, стрингеров медиа в изгнании, волонтеров», — предполагает руководитель «Первого отдела».

Однако большая часть документов не попадет в паблик, а будет использована спецслужбами напрямую. Так что общественность, вероятно, и не узнает, что очередное действие российского репрессивного аппарата — это последствия утечки.

Источник Русской службы Би-би-си, попросивший об анонимности, рассказал, что в результате утечек опасность уголовного преследования может грозить сотням людей, в том числе находящимся в России.

При этом, отмечает собеседник Би-би-си, уголовные дела, открытые на основании утечек, могут не «всплывать» в течение нескольких лет, так что фигуранты таких дел могут долгое время не знать, что они «на крючке» — пока к ним не придут с обыском. Силовики могут годами собирать информацию, заказывать экспертизы полученных в результате утечки материалов, получать разрешения на доступ к телефонным переговорам и банковским счетам, проводить другие следственные действия, но многие узнают об уголовном деле и о том, по какой статье оно возбуждено, уже при проведении обыска или допроса. Узнать какие-либо подробности, и когда было возбуждено уголовное дело зачастую удается еще позже — например, в суде при обжаловании обыска. Кроме того, человек может долгое время проходить свидетелем по делу, но в какой-то момент, явившись на допрос как свидетель, оказаться подозреваемым или обвиняемым.

Получение денег от Free Russia может быть признано участием в деятельности «экстремистской» и «нежелательной» организации (статьи 282.1 и 284.1 УК РФ), сказал Би-би-си юрист, попросивший об анонимности. Участие в «экстремистском сообществе» сейчас массово вменяется, например, активистам, журналистам и адвокатам, которых обвиняют в связях с ликвидированным судом ФБК Алексея Навального. Наказание по этой статье — до 6 лет лишения свободы. Участие в «нежелательной» организации сначала грозит лишь штрафом, но за повторное нарушение уже могут завести уголовное дело. По этой уголовной статье может грозить до 4 лет колонии.

В 2023 году, согласно официальным данным статистики «о состоянии судимости в России», по статье об участии в «экстремистском сообществе» осужден 21 человек, по статье об участии в «нежелательной» — трое. В 2022 году по этим статьям было вынесено 20 и 2 приговора соответственно. Многие фигуранты таких дел арестованы и находятся в СИЗО.

«По-хорошему, на третий год войны нужно очень серьезно относиться к тому, как вы храните информацию, — говорит Дмитрий Заир-Бек. — Для того, чтобы данные были менее уязвимы к подобным атакам, надо хранить их в разных местах, диверсифицировать. Нельзя все складывать в одну корзину: тогда, если у вас что-то сломают, утечет меньше».

Он рассуждает, что универсального решения тут нет: кто-то может хранить данные локально, на своем сервере, для кого-то это будет только риском (например, для тех организаций, у кого в офисе много сотрудников, гостей и волонтеров). Однако НКО, чья работа связана с Россией, думать о своей цифровой безопасности необходимо.