«Навальный меняет рынок пробива»: силовики начали охоту за теми, кто слил данные предполагаемых сотрудников ФСБ
14 декабря вышло совместное расследование Bellingcat, The Insider и CNN о том, что Алексея Навального якобы отравили сотрудники спецгруппы ФСБ. После появления этого материала черный рынок стоит на ушах: пробивщики обсуждают повышение цен, коррумпированные сотрудники правоохранительных органов и операторов сотовой связи в спешке бегут от своих боссов-пробивщиков. Удаляют переписку и блокируют номер теневого бизнесмена даже в том случае, если он должен им денег. Сотрудники спецслужб считают, что в ближайшее время пробивщиков будут «искать и мочить». Как Навальному и группе журналистов удалось всколыхнуть старейший и устоявшийся рынок пробива?Резонансное расследование наглядно высветило зияющую дыру в вопросе защиты персональных данных в России. Причем данных не только «простых» россиян, но и, вероятно, действующих сотрудников спецслужб. Расследователи использовали платные услуги пробивщиков и утечки баз данных с персональной информацией о россиянах. Мы решили проверить, насколько легко сегодня в России провести подобную работу, какие инструменты для этого нужны и сколько это стоит.На ежегодной пресс-конференции журналисты кремлевского пула спросили Владимира Путина о его отношении к расследованию об отравлении Навального. Президент ответил, что ФСБ имеет все основания присматривать за оппозиционером, так как он получает поддержку американских спецслужб. Агентство национальной безопасности США (АНБ), по его словам, собирает сведения о сотрудниках из ФСБ, и это не секрет. Однако разведкам любых государств вовсе не обязательно иметь в России агентуру, чтобы добывать закрытые данные. В 2017 году объем российского рынка персональных данных составил не менее 3,3 миллиарда рублей. Реальные обороты были выше — большинство сделок проходит в тени. Эксперты считают, что информацией в России торгуют все активнее.Во время подготовки материала Daily Storm опросил экспертов и свои источники — силовиков, пробивщиков, кибербезопасников — почему именно в РФ так развит рынок пробива и продажи персональных данных. Они выделили четыре основные причины: небольшая уголовная ответственность; низкая заработная плата клерков банков и операторов сотовой связи; слабый контроль со стороны служб безопасности и, как ни странно, — менталитет.Опытным путем мы выяснили, что многие сведения о лицах, упомянутых в публикации Bellingcat, можно получить, используя несколько недорогих Telegram-ботов и утекшие на теневые форумы базы данных (не заплатив за них ни рубля). Нам также стало ясно, что расследование об отравлении Алексея Навального изменит черный рынок пробива. Тем, кто помог его авторам, уже грозит опасность. И наконец, вновь стало очевидно, что если не искоренить коррупцию в рядах полиции и не защитить персональные данные, хранящиеся в банках и у операторов связи, то в свободном доступе так и останется информация обо всех гражданах РФ, за исключением представителей политической элиты. Отправная точка9 и 10 декабря, за несколько дней до выхода расследования, некоторые бизнесмены-пробивщики уже знали о готовящейся публикации. Те, кто владел этой информацией, предупреждали своих коллег (скриншоты таких сообщений есть в распоряжении Daily Storm) о том, что «ФБК закупает пробивы». — Нельзя сказать, что нам западло помогать Навальному. Кто-то ведь согласился, — рассказывает Daily Storm бизнесмен в сфере пробива, пожелавший остаться анонимным. — Пробивщики в общей массе — такие же жадные, как и полицейские. Просто после выполнения таких заказов у сотрудников органов, которые с нами сотрудничают, будут большие проблемы. Сотрудник гарантированно будет уволен, а возможно, и сядет. С таким резонансом скорее всего сядет, условкой тут не отделаешься. Неохота была подставлять их, с некоторыми уже по-дружески общаешься. Расследователь Bellingcat Христо Грозев, который, по словам самого Навального, нашел тех, кто пытался его убить, в интервью интернет-изданию Meduza сообщил, что к тому моменту, когда он начал смотреть перелеты, «некоторые нужные люди уже всплыли в биллингах». Грозев отметил, что в самом начале им помогли биллинги Артура Жирова, директора НЦ «Сигнал». Именно в «Сигнале», как утверждает Радио Свобода, работают специалисты по ингибиторам холинэстеразы, к которым относится «Новичок».Чтобы «выцепить» актуальный номер телефона Жирова, зная его Ф.И.О., нужно обратиться к теневому рынку. Такая услуга стоит 600-800 рублей, если человек пользуется услугами «Билайна», более 800 рублей — МТС, и 1600-1800 рублей, если оператор номера — «МегаФон». Пробивщик скидывает номер телефона или Ф.И.О. коррумпированному сотруднику оператора сотовой связи и тот делает простой пробив по базе паспортных данных, указанных при регистрации номера. — Номера телефонов Tele2 и Yota ищут либо в системах типа Solaris (агрегирует базы данных разной степени актуальности, содержащие персональную информацию о физлицах. — Примеч. Daily Storm), либо через ментов уже, — уточняет в разговоре с Daily Storm бизнесмен-пробивщик, скрывающийся под ником Colombo. — Но ценник будет выше — сотрудники органов направляют запросы непосредственно в Tele2 и Yota. После определения актуального номера директора «Сигнала» Жирова расследователям нужно было заказать его биллинги. Биллинг номеров «Билайн» за последний месяц стоит 3500-4500 рублей; подобная услуга для других операторов стоит заметно дороже:— По другим операторам может быть большой разброс, в зависимости от жадности пробивщика, — рассказывает Colombo. — Обычно биллинги делают сразу на полгода — на меньший срок отказываются. 55-60 тысяч рублей — очень дешевый ценник. Обычно берут 70-80 тысяч рублей за полгода.По словам собеседника Daily Storm, дешевизна пробива по номеру «Билайн» объясняется тем, что детализацию звонков может сделать практически любой сотрудник оператора (в отличие от других операторов связи), поэтому рынок перенасыщен такими предложениями.Большие братья следят за тобойАлексей Фролов, человек, которого Навальный называет одним из исполнителей покушения, впервые попал в поле зрения расследователей после анализа биллингов Жирова. Bellingcat пишет, что затем Фролов «засветился» в списках пассажиров рейсов, параллельных с теми, которыми летал Навальный: 14 августа политик отправился из Москвы в Новосибирск, а затем, 20 августа, должен был вернуться из Томска (куда доехал уже на машине) в Москву. Расследователи обратили внимание на другие рейсы Москва — Новосибирск 14 августа, когда вылетал Навальный, или совершенные накануне. Они сверили пассажиров этих рейсов с теми, у кого были заранее куплены билеты на перелет из Томска в Москву 20 или 21 августа. Так они вышли на мужчину 1980 года рождения — Алексея Фролова. У него был забронирован рейс из Москвы в Новосибирск на 13 августа, а из Томска в Москву он хотел вернуться 21 числа. По информации Bellingcat, 21 августа Фролов так и не поднялся на борт самолета — это совпало с тем обстоятельством, что днем ранее, во время перелета из Томска в Москву, Навальному стало плохо и самолет экстренно посадили в Омске.Для того чтобы получить полные списки пассажиров этих рейсов, им пришлось обратиться к пробивщикам. «Она (информация о списках пассажиров. — Примеч. Daily Storm) не очень-то и секретная. Ревнивые мужья и жены часто пытаются проверить, с кем на соседних местах летают их супруги, поэтому такой информацией торгуют направо и налево», — пишет в своем блоге Навальный.Процедура получения списков занимает несколько дней, а стоимость такой услуги на теневом рынке варьируется от 15 до 25 тысяч рублей. Такого рода задачи выполняют полицейские, «подрабатывающие» на пробивщиков. — Они (сотрудники полиции. — Примеч. Daily Storm) делают письменный запрос в авиакомпанию, — уточняет пробивщик Colombo. — Для получения списка достаточно знать только номер рейса.Судя по информации Bellingcat, Фролов был внесен в список путешественников вместе с двумя другими мужчинами — это означает, что все три билета были куплены вместе. Мужчин звали Владимир Паняев и Иван Спиридонов. Так авторы расследования получили имена трех подозреваемых: маршрут Фролова повторял маршрут Навального, за исключением дней приезда и отъезда, а Паняев и Спиридонов должны были лететь вместе с Фроловым в Москву.Bellingcat пишет, что Фролов и Спиридонов были «призраками», фальшивыми личностями: у них не было ИНН, истории владения транспортным средством и не было зарегистрированного места жительства. Пробивщик Colombo предполагает, что для уточнения этих данных расследователи обратились к его коллегам для поиска информации в системе «Российский паспорт» («Роспаспорт»). Такую задачу выполняют сотрудники полиции, а стоит она 1000-1200 рублей. Помимо расширенных паспортных данных, «Роспаспорт» может выгрузить фотографию искомого человека. Эта система стала известна широкой публике осенью 2018 года, когда издание Bellingcat опубликовало карточки из этой базы в материалах, посвященных Александру Петрову и Руслану Боширову, которых власти Великобритании обвиняют в отравлении экс-офицера ГРУ Сергея Скрипаля в Солсбери.Корреспондент Daily Storm отправил Ф.И.О. и даты рождения (такие данные есть в списках пассажиров) Фролова и Спиридонова в Telegram-бот «Архангел» и убедился в том, что информация об этих людях минимальна: только серия и номер паспорта, дата рождения и информация о перелетах. Бот «Архангел» подключен к информационно-аналитической системе Solaris, которой пользуются и профессиональные пробивщики. Стоимость одной выписки в боте — 250 рублей.«ФСБ Владимир Александрович Паняев»Попутчик Фролова и Спиридонова — Владимир Паняев, как утверждают расследователи, использовал свое настоящее имя. Они загрузили его номер телефона в бесплатный Telegram-бот GetContact, позволяющий узнать, как номер записан в записных книжках других людей. Судя по всему, чтобы узнать его актуальный номер, они заказали у пробивщиков услугу проверки по базам паспортных данных, указанных при регистрации номера. После проверки телефона в GetContact выяснилось, что приложение определяет его владельца как «ФСБ Владимир Александрович Паняев». Группа Bellingcat признала, что это не доказывает связь Паняева со спецслужбами. Действительно, запись в GetContact напрямую ничего не доказывает, таким образом можно кого угодно записать в эфэсбэшники. В дальнейшем в расследовании говорится, что в другой базе нашлись адреса прописки Паняева и, если верить этой информации, он жил по соседству с Навальным, а затем «переехал» на Лубянку, дом 1. Примечательно, что в видеоверсии расследования Алексей Навальный «засветил» незаблуренный номер телефона, приписываемый Паняеву, и продемонстрировал его пробив в неофициальном Telegram-боте GetContact. От наплыва людей, посмотревших видеоролик и решивших протестировать бот, он «лег», перестав отвечать на заявки. Единственный запрос, который он выполняет после выхода расследования, — пробив по номеру Паняева. Сейчас невозможно пробить этот номер телефона в официальном приложении или боте GetContact — владелец номера воспользовался функцией «стать невидимым в GetContact». Однако некоторые Telegram-боты для пробива сохраняют информацию о предыдущих выгрузках. Например, если вбить «засвеченный» номер в бот «Глаз Бога», он покажет ту же информацию, которую выдал расследователям официальный бот GetContact: «ФСБ Владимир Александрович Паняев». Используя Telegram-бот Himera, базирующийся на системе проверки контрагентов Unirate24, корреспондент Daily Storm нашел подтверждение информации Навального о том, что ранее Паняев был прописан в том же доме, что и политик. Одна выписка в боте стоит 199 рублей. Судя по выгруженному досье, Паняев прописан там минимум с 2012 года. Нам не удалось найти подтверждения тому, что он работал фельдшером в воинской части. Для получения актуальной информации о месте жительства (утверждается, что сейчас Паняев прописан по адресу Лубянка, 1), расследователи могли воспользоваться услугой пробива по системе «Роспаспорт».Первым делом — самолетыПри изучении истории перелетов Паняева группа Bellingcat обнаружила, что в июле 2020 года у него были совместные с «призраком» Алексеем Фроловым поездки в Калининград, совпадающие с маршрутом Навального. А в апреле 2017 года они вместе отправились в Астрахань, где Навальный должен был побывать до того, как его облили зеленкой. Паняев также путешествовал с попутчиком по имени Алексей Александров: они летели из Омска в Москву в сентябре 2017 года, что в очередной раз совпадает с передвижениями Навального по России. Позднее выяснится, что Алексей Александров и Алексей Фролов — одно и то же лицо.Для извлечения актуальной информации о перелетах нужно воспользоваться теневой услугой пробива по системе «Розыск-Магистраль» (поездки граждан на поездах и самолетах). Стоимость одного пробива в этой системе — 2500-3000 рублей, выполняют такие задачи сотрудники правоохранительных органов. Распечатка поездок человека выгружается за период с 2005 года по сегодняшний день. Все авиаперемещения «подозреваемых», которые происходили относительно недавно, расследователи, вероятно, получали с помощью системы «Магистраль». Затем Bellingcat решили изучить более ранние путешествия Александра Александрова (Фролова). В октябре 2014 года он летал с человеком по имени Олег Таякин. Весной того же года Александров летал вместе с Константином Кудрявцевым, который, в свою очередь, в 2015 году был попутчиком Таякина.Эту информацию можно узнать с помощью системы «Розыск-Магистраль». Однако есть и бесплатный способ: использовать «слитую» базу данных «РФ — авиабилеты 2014-2016» (для простоты ее называют «Сирена»). Ее можно бесплатно скачать на нескольких хакерских форумах, но для этого вы должны быть активным участником форума — «залетным» гостям не будет видна ссылка на скачивание базы. Корреспондент Daily Storm получил доступ к «Сирене» через знакомого хакера и убедился, что Александров, Таякин и Кудрявцев действительно путешествовали вместе в 2014-2015 годах.Bellingcat утверждает, что эти мужчины общаются и путешествуют с Владимиром Паняевым («ФСБ») и еще одним «призраком» — Иваном Спиридоновым. Среди попутчиков троицы расследователи выделяют еще одного человека — Станислава Макшакова.«Руководитель операции по отравлению»15 и 16 августа, за несколько дней до отравления Навального, Александров (Фролов) часто общался с номером телефона, заканчивающимся на 58. Пробив его в Telegram-боте AVInfo, расследователи узнали имя человека и адрес, на который он зарегистрировал свой автомобиль. Им оказался Михаил Швец, адрес регистрации автомобиля в 2019 году которого совпадает, как предполагают расследователи, с адресом Центра специальных операций ФСБ. На такое заключение их натолкнула информация из «утекшей» базы данных ГИБДД. — Это может быть база ГИБДД с информацией по регистрационным действиям в Москве и МО, — предполагает в разговоре с Daily Storm Ашот Оганесян, основатель сервиса разведки утечек данных DLBI. — По факту, такие базы «утекают» из страховых компаний. Алексей Навальный подозревает Михаила Швеца в покушении на его жену, Юлию Навальную, в начале июля 2020 года. Это в тот день, когда супруга пошла в номер, а сам Навальный остался в ресторане.Аналогичным методом, основываясь на биллинге Александрова (Фролова) и на выгрузке парковочных сессий Telegram-бота «АнтиПаркон», Bellingcat ввели нового «подозреваемого» — полковника Станислава Макшакова. The Insider утверждает, что он руководил операцией покушения на Алексея Навального. Если «загуглить» его Ф.И.О., то выяснится, что он — ученый; заявка на один из его патентов подана от войсковой части 61469. Bellingcat пишет, что Макшаков работал в городе Шиханы Саратовской области, где якобы разрабатывался яд «Новичок».Разоблачение «призраков»Расследователи считают, что алгоритм формирования альтер эго «отравителей» легко разгадать: одно и то же имя, та же дата рождения (с перемещением года вверх или вниз на один), а также фамилия, совпадающая с девичьей фамилией жены или подруги оперативника. Проанализировав социальные сети «девушки или супруги» Александрова (информацию о его семейном статусе можно получить в системе «Роспаспорт»), они установили, что ее девичья фамилия — Фролова. Аналогичная методика помогла установить «реальную личность» второго «призрака» — Ивана Спиридонова. Утверждается, что такую фамилию носит жена человека, скрывающегося под этим псевдонимом. Корреспонденту Daily Storm удалось найти страницу «ВКонтакте» женщины, о которой говорится в расследовании. Сейчас профиль удален, но на специальном сайте, архивирующем интернет-страницы в режиме онлайн, есть сохраненная копия профиля. Там можно увидеть совместную фотографию этой женщины и Ивана Осипова (Спиридонова).С помощью Telegram-бота Himera нам удалось найти мобильный телефон Осипова (Спиридонова), но не удалось найти подтверждения того, что он когда-то работал врачом, как утверждает Навальный. Однако этот номер действительно записан в GetContact как «Иван Доктор». Александров (Фролов), судя по выгрузке из Telegram-бота, действительно работал в скорой помощи, и по информации, актуальной на 2012 год, был зарегистрирован по адресу, про который Bellingcat утверждает, что по этому адресу проживают слушатели Академии ФСБ. Пробить генералаМногие комментаторы расследования усомнились в том, что возможно пробить действующих сотрудников ФСБ. Например, публицист Олег Кашин в эфире на радиостанции «Эхо Москвы» согласился с выводами расследования о том, что Алексея Навального пытались отравить российские спецслужбы, однако поставил под сомнение способ получения данных:«Бывают такие люди, которых пробиваешь через знакомого мента, а он возвращается с такими (округлившимися, удивленными. — Примеч. Daily Storm) глазами и говорит, что там стоит пометка «не пробивать», поэтому не трогай его, забери свои деньги обратно. И спецслужбисты по этой пометке реально проходят. Пробить спецслужбиста по стандартному рынку пробивов невозможно». В частности, в расследовании использовался биллинг звонков генерала Кирилла Васильева. — У пробивщиков, конечно, есть блок на политическую элиту, — рассказывает Daily Storm бизнесмен-пробивщик Colombo. — Они вообще мимо — информация на них есть, но выгружаться она не будет. На обычных служащих МВД и ФСБ тот же «Роспаспорт» зачастую можно достать — в 80 процентов случаев. Проще говоря, рядовые сотрудники будут светиться везде, в любой базе, доступной каждому участковому. А вот опера и те, кто при званиях, — не будут. Подумав некоторое время, собеседник продолжил:— Есть у меня предположение, почему все же удалось получить биллинг на генерала: такие «тяжелые» биллинги делают сотрудники МВД. Они жадные, денег берут много, заказы часто выполняют, не проверяя, кого именно пробивают. Номер дали, денег дали, глазки загорелись — и сделали. Именно на номере телефона нет пометки, что этот человек — генерал ФСБ. Тем более, это был скорее личный номер телефона. Сейчас эти менты, скорее всего, уже под следствием либо на жестком «очке». Вангую (прогнозирую. — Примеч. Daily Storm), что большую часть этих сотрудников-пробивал уже нашли. А вот как они изначально получили его личный номер телефона — открытый вопрос. Интернет-издание Meduza составило список главных ошибок, допущенных «сотрудниками ФСБ». Первой ошибкой они выделили тот факт, что сотрудники ФСБ пользовались личными телефонами. Бывший сотрудник российских спецслужб, пожелавший остаться анонимным, рассказал Daily Storm, что не считает это явной ошибкой:— Не назову это безграмотностью сотрудников. Они пользовались своими телефонами на территории своей страны. Проблема не в них, а в том, что у нас все утекает, все можно купить на черном рынке. Их ошибка в том, что они не сделали поправку на коррумпированность всей системы. Присутствовал элемент некоторой беспечности, не более того.Цена вопросаМаксим Миронов, профессор IE Business school, основываясь на собственном опыте, предположил, что вся аналитическая работа, описанная в расследовании, могла быть сделана одним или несколькими людьми за «несколько тысяч долларов». Бизнесмен в сфере пробива Colombo сообщил Daily Storm, что оценивает расследование приблизительно в 800 тысяч рублей.— Без учета биллингов расследование стоит копейки — меньше 100 тысяч рублей, — подытожил собеседник. Пробивщик отмечает, что самой дорогой «операцией» в расследовании является услуга «Зонтик», которая оценивается в 60-80 тысяч рублей. Она позволяет определить активные номера вокруг нужного абонента. Например, если цель поиска пользуется левым телефоном (с левой симкой), но его личный телефон при этом находится рядом, то все эти номера определяются. В расследовании «Зонтики» могли использоваться для определения местоположения Александрова (Фролова), когда он включил свой настоящий телефон «буквально на секунду». Таким образом группа расследователей могла установить, что Александров якобы находился в пяти минутах езды от гостиницы «Ксандер», где остановился Навальный.Корреспондент Daily Storm на проведение собственного мини-расследования потратил около трех тысяч рублей. Ему удалось повторить лишь малую часть расследования Bellingcat, The Insider и ФБК, поскольку пришлось основываться только на информации из «слитых» баз и недорогих Telegram-ботов. Пробивщики отказывались идти на контакт и продавать свои услуги.«Черный лебедь» для рынка пробива— Что за паника такая из-за баз? Это из-за Навального? — сразу после выхода расследования пишет одному из пробивщиков сотрудник правоохранительных органов.Корреспондент Daily Storm обращался к пробивщикам с разных теневых форумов, но тщетно: списки пассажиров, расширенные паспортные данные, биллинги — как только они получали Ф.И.О. или обезличенный номер телефона фигуранта журналистского расследования, то через несколько минут уходили в «игнор» или объясняли, что сейчас такой пробив сделать не смогут. — В теории, пробить смогу. Но не сейчас. И от 100 тысяч рублей за каждого, кто был упомянут в этой статье, — ответил один из пробивщиков, к которому обратился корреспондент.Бизнесмен-пробивщик Colombo объяснил Daily Storm, что расследование взбудоражило рынок:— Я послал около 10 «левых» клиентов, которые сразу после выхода расследования ко мне за «Роспаспортами» стучались и пассажирами рейсов. Я-то не ослик, сразу смекнул, откуда ноги растут. Ни один пробивщик сейчас не согласится этим заниматься».Собеседник добавил, что за один день с ним отказались работать два сотрудника МВД и один сотрудник оператора сотовой связи:— Даже те, кому денег был должен, тупо слились из-за страха. Удалились, меня заблокировали. Среди полицейских пошел слух, что нагибать отныне будут жестко, а доступ к базам ограничат многим сотрудникам. Несколько моих коллег такую информацию получили от своих сотрудников. А мы, пробивалы, уже вовсю обсуждаем между собой, что скоро придется поднимать цены на наши услуги. Так что можно уверенно сказать, что Навальный меняет рынок пробива.По словам бизнесмена, цены на услуги вырастут, а исполнителей станет меньше. Начнется «охота» за организаторами (пробивщиками) и внимательное отслеживание путей денежных средств. Однако он считает, что рано или поздно все вернется на круги своя:— Полицейские — жадные. А система гниет уже давным-давно. Бизнесмен в сфере пробива Kopbito считает, что резонанс от расследования не должно радикально повлиять на рынок пробива:— Это не первый случай такой: год назад была облава на пробивщиков уже, посадили многих исполнителей. Для того чтобы люди перестали продавать данные на сторону, требуется повышение уровня ответственности и зарплат. Пока у нас государство платит 100-200 долларов в месяц госслужащим той же ФНС, то глупо ожидать прекращения сливов данных за деньги. Сотрудник правоохранительных органов, пожелавший остаться анонимным, сообщил Daily Storm, что какое-то время пробивщиков будут «искать и мочить», в том числе администраторов Telegram-ботов.— Но эффект от этого будет временный, — считает правоохранитель. — В первую очередь этим воспользуются корпорации, прежде всего — банки, чтобы переложить ответственность на силовиков. Менты будут пытаться ловить, сажать пробивщиков. А условный «Сбер» и операторы сотовой связи будут и дальше курить бамбук, вместо того чтобы защищать данные, которые им доверили пользователи.Примечание редакцииВ нашем материале мы не пытались проверить точность полученных расследователями данных. И уж тем более — подтвердить или опровергнуть выдвинутые обвинения в покушении на убийство. Ведь на основе одних только данных (перелетов или биллинга) невозможно утверждать, что тот или иной человек — убийца. Мы хотели показать, что в России есть серьезная проблема — огромный и легкодоступный рынок утечек и пробива. И связано это с тем, что система, которая казалось бы должна оберегать персональные данные россиян, полностью прогнила. Впрочем, в соответствии с законодательством нашей страны, информация, полученная нелегальным путем, не может быть использована в суде.Задача нашего материала — пролить свет на методику получения этих нелегальных данных.