Вот это номер: ложные минирования на территории России имеют украинский след
За волной телефонного терроризма, которая захлестнула Россию с начала 2022 года, в большинстве случаев скрываются граждане Украины, выяснили специалисты по информационной безопасности. Они обнаружили несколько закрытых сообществ в соцсетях и мессенджерах, где координируются действия злоумышленников, и по цифровым следам идентифицировали порядка двадцати администраторов таких групп. Почти все оказывались пользователями с Украины, в единичных случаях — из Польши и России. Данные обо всех уже переданы в правоохранительные органы. Юристы говорят, что в России им может грозить до пяти лет тюрьмы.
Нерусский след
В начале 2022 года Россию захлестнула волна телефонного терроризма. Только за последние два дня эвакуация проводилась в 300 российских школах. Речь идет о Саратове, Красноярске, Архангельске, Самаре и не только. Сообщения о минировании приходят не только в образовательные учреждения. Например, 11 января сообщения о заложенных взрывных устройствах получили 13 судов Москвы и несколько — Санкт-Петербурга.
Большинство звонков о минировании осуществляются с территории Украины, выяснили в ходе собственного расследованиям эксперты по информационной безопасности из компании T.Hunter. Несколько телефонных террористов удалось отследить на территории Польши и России. Свои действия злоумышленники координируют в закрытых Telegram-чатах и группах «ВКонтакте». Исследователям удалось найти свыше десяти подобных объединений. Большинство из них зарегистрировано в январе 2022 года.
— Изучая один из Telegram-каналов, мы выявили встроенный чат и скопировали список его участников. Из них выделили девять профилей пользователей — администраторов сообщества и один профиль владельца сообщества. Последующее исследование профилей администраторов Telegram-канала позволили установить их вероятные личности и местоположение, — говорит руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
Всего специалисты T.Hunter проанализировали несколько сотен аккаунтов в таких чатах и группах, что позволило идентифицировать около двадцати администраторов и создателей Telegram-чатов. Именно они, как правило, наиболее активно занимаются обзвоном жертв и привлекают к этой деятельности других участников групп.
Почти все идентифицированные пользователи — граждане Украины, из Киева, Тернополя, Полонного и других городов. Как минимум один администратор был обнаружен в России, в Тверской области. Также исследователям удалось определить цифровые следы телефонных террористов, ведущие в Польшу.
Данные T.Hunter подтверждает и директор по стратегическим коммуникациям, Infosecurity a Softline company Александр Дворянский. По его информации, как ранее, так и сейчас подобные звонки исходят чаще всего с территории других стран, с которыми отсутствуют полноценные дипломатические отношения.
— Скорее всего, координация действий на самом деле идет через закрытые Telegram-каналы, которые наиболее сложно отследить и идентифицировать, и в меньшей степени — через другие каналы связи, включая социальные сети, так как через них вычислить и отследить злоумышленников намного проще, — говорит он.
В свою очередь руководитель центра реагирования на инциденты информационной безопасности Group-IB Александр Калинин не исключает, что текущие обзвоны с сообщениями о минировании могут осуществляться под заказ, у людей, предлагающих соответствующие услуги на теневых форумах. Кто именно может стоять за такими заказами, ему неизвестно.
Заместитель генерального директора по науке и развитию «Информационной внедренческой компании» Валерий Андреев добавляет, что украинский след не первый раз обсуждается в контексте телефонного терроризма. По его словам, хабом для несанкционированной активности в Сети всегда называют Днепропетровск. Однако в данном случае ввиду отсутствия данных эксперт не готов утверждать, что виноваты граждане Украины.
В пресс-службе «ВКонтакте» заявили, что не фиксируют роста числа таких сообществ за последние годы. Соцсеть придерживается строгой политики модерации в отношении телефонного терроризма. Компания проводит проактивный мониторинг сообществ и внимательно проверяет все поступающие жалобы, связанные с этой темой.
Telegram на момент публикации материала на соответствующий запрос «Известий» не ответил.
«Известия» направили запрос в МВД. Ранее, 12 января, ведомство заявило, что руководством следственного департамента взято на контроль расследование уголовного дела по факту ложных сообщений о минировании образовательных учреждений Екатеринбурга.
Обряд идентификации
Идентификация пользователей проводится аналитиками T.Hunter при помощи специализированного ПО, которое анализирует множество маркеров. Самые распространенные — адрес электронной почты, номер телефона, никнейм или социальный профиль.
— При получении сообщения о минировании на электронную почту отправителю автоматически направляется несколько электронных писем, имеющих логируемое содержимое: картинку, видеоролик, документ. Когда пользователь открывает письмо, его устройство автоматически подгружает скрипт, содержащийся во вложении. Далее системы исследователей получают фидбек в том числе с IP-адресом устройства злоумышленника. А уже по нему зачастую несложно определить страну пользователя. Имея эти данные и используя другие инструменты разведки по открытым данным, мы можем получить номер телефона и даже имя и фамилию человека, — говорит Бедеров.
Другой инструмент, которым эксперты регулярно пользуются, — отслеживание путей криптовалютных транзакций. По ним, отмечает специалист, тоже можно обнаружить данные устройств отправителя и получателя. Также, по словам Бедерова, важно использовать поиск по закрытым сообществам, чтобы видеть то, кто брал на себя ответственность за конкретное минирование. Эти данные «минеры» публикуют в чатах и каналах в социальных сетях, Telegram или даркнете.
Информация об обнаруженных злоумышленниках передана правоохранительным органам.
Асоциальные сети
«Известия» ознакомились с содержанием некоторых каналов и сообществ и убедились в том, что в них активно обсуждаются цели «минирования». Например, на момент публикации материала в одном из чате злоумышленники путем опроса выбирали между Минском и Калининградом. В некоторых чатах участники открыто заявляли о готовности позвонить в ту или иную организацию и заявить о минировании.
Отдельным достижением среди участников таких групп является обсуждение их поступков в СМИ. Так, например, администратор одного из чатов днем 11 января анонсировал минирование торговых центров в Барнауле, а уже вечером того же дня региональные СМИ сообщали об эвакуации как минимум в одном из зданий города на тот момент — ТЦ «Бум».
Руководитель уголовной практики BMS Law Firm Александр Иноядов напомнил, что заведомо ложные сообщения об актах терроризма в зависимости от мотивов совершения преступления, принадлежности объекта, деятельность которого блокируется, к социальной инфраструктуре, а также наступивших последствий квалифицируются по соответствующей части статьи 207 Уголовного кодекса РФ.
— Так, при хулиганском мотиве и отсутствии иных последствий наказание назначается в виде штрафа от 200 тыс. до 500 тыс. рублей либо в размере заработка за период от 1 года до 1,5 года, ограничение свободы либо принудительные работы на срок до трех лет, — говорит он.
Наиболее распространенными, по словам юриста, являются преступления в отношении объектов социальной инфраструктуры и влекущее ущерб свыше 1 млн рублей. В этих случаях наказание более суровое: кроме штрафа до 700 тыс. рублей, может назначаться лишение свободы на срок до пяти лет.
