КТО ЗВОНИТ В КОЛОКОЛЬЧИК?
Издание The Bell подверглось серии атак накануне выборов. Кому нужна травля небольшого делового издания
«НЕКИЙ ПРИБЛИЖЕННЫЙ К ВЛАСТИ БИЗНЕСМЕН» ИЗ РАССЛЕДОВАНИЙ THE BELL МОГ ИНИЦИИРОВАТЬ ПРИЗНАНИЕ ИЗДАНИЯ «ИНОАГЕНТОМ»
К концу лета, когда Минюст пачками вносил в список «иноагентов» независимые СМИ и журналистов, издание The Bell попало сразу под несколько кибератак: попытка украсть личные данные спецкора Ирины Панкратовой, DDoS-атака на сайт, фейковая почтовая рассылка по подписчикам с призывом бойкотировать выборы в Госдуму и в финале — «разоблачительный сюжет» на федеральном телевидении. Кто пытается создать проблемы журналистам делового издания такими методами и зачем — было совершенно неясно, пока на телеканале «Россия-24» не стали напрямую говорить о «нежелательности» в России медиапроекта бывшего шефредактора РБК Елизаветы Осетинской. «Новая газета» разбирается в недавних попытках нарушить работу The Bell.
Мемы с котиками в безопасности
Три недели назад злоумышленники попытались взломать телефон специального корреспондента The Bell Ирины Панкратовой. Они воспользовались поддельной нотариальной доверенностью и запросили детализацию звонков и SMS журналистки в офисе «Мегафона». Это произошло в тот день и час, когда Панкратова регулярно посещает психолога и выключает телефон. «Можно было отследить, если походить за мной. Видела вызовы с незнакомых номеров — возможно, проверяли, бываю ли я на связи в это время», — рассказала она. В офисе «Мегафона» корреспонденту назвали фамилию нотариуса, выдавшей поддельную доверенность, но в нотариальной конторе заявили, что ничего не подписывали. Панкратова подала заявление в полицию о мошенничестве и незаконном использовании персональных данных, а также обратилась в нотариальную палату.
Панкратова пытается выйти на взломщиков, но пока безуспешно. «Моя история практически стоит на месте. Мне так и не сообщили данные человека, который предоставил поддельную доверенность. При общении по телефону нотариус, указанная в доверенности, уже многократно подтвердила, что не выдавала документов от моего имени», — рассказала спецкор. Панкратова планирует обращаться в прокуратуру из-за бездействия по ее обращениям. Злоумышленники регулярно продолжают пытаться попасть в ее аккаунты в соцсетях.
«Попытки взломать мои соцсети с тех пор стали еженедельными. Постоянно получаю соответствующие коды и уведомления даже на аккаунт в инстаграме, хотя, казалось бы, у меня там разве что мемы с котиками, — сообщила Панкратова. — По-прежнему не представляю, кто этим занимается и зачем». Сообщения с кодами от соцсетей сыплются на ее телефон хаотично и нон-стопом. Но для хакеров это ничем не заканчивается — по словам Ирины Панкратовой, она обеспечила во всех соцсетях «максимальный уровень защиты». Корреспондент также не смогла ответить, есть ли какая-то связь между взломом, атаками на сайт издания и мошеннической рассылкой, — никаких догадок нет.
Двойка за грамотность авторам фейковой рассылки
На прошлой неделе, 25 августа, сайт редакции подвергся внешней атаке. Он оказался недоступен на некоторое время и до конца дня работал с перебоями. «Источник и цели <атаки> нам пока непонятны», — написали в телеграм-канале The Bell, сообщив, что принимают меры для усиления защиты серверов. К следующему утру работа сайта была восстановлена. С чем в итоге были связаны проблемы с загрузкой сайта и кто мог за этим стоять — для журналистов осталось тайной.
Вчера утром подписчикам почтовой рассылки The Bell пришли необычные письма. Каждый день редакция рассказывает в своей утренней подборке о том, что происходит в мире и какие материалы вышли на их сайте, но эта рассылка содержала не новости или тексты, а политические призывы, написанные с орфографическими
ошибками и опечатками. «Бойкот выборов — единственное правильное решение» — так звучала тема письма. Редакция сразу заявила, что их взломали, и издание не имеет отношения к «странному провокационному тексту». «Журналисты так не пишут», — позже уверенно скажет глава «Общества защиты интернета».
В рассылке злоумышленники попытались скопировать стиль The Bell с логотипом издания, кнопками «подписаться» и «веб-версия», которые ведут на оригинальный сайт. Но на сайт фейковую рассылку не загрузили, а «веб-версия» по ссылке ведет на новость об убыли населения. В письме говорится, что «исход голосования предрешен», «смыл» электронного голосования «теряется», и «редакция, в условиях жесткого давления на свободные СМИ, поддерживает бойкот выборов и призывает всех поступить так же». Далее мошенники от лица издания перечисляют варианты действий для подписчиков по протестному поведению на выборах и призывают на пикеты в день голосования.
Основатель проекта The Bell Елизавета Осетинская прокомментировала взлом рассылки в фейсбуке так:
«Совершенно откровенная провокация, цель которой — натянуть нам политическую деятельность, которой мы не занимались, не занимаемся и не собирались. The Bell — бизнес-издание и ценно своим подписчикам именно этим».
Позже издание объявило, что расследованием атак на сайт и рассылку займется международная компания GroupIB, специализирующаяся на кибербезопасности. Главный редактор The Bell Ирина Малкова рассказала «Новой», что более подробная информация о действиях хакеров появится по мере работы специалистов. На данный момент известно только то, что, по крайней мере, в ходе последней атаки злоумышленникам не удалось получить доступ к личным данным подписчиков The Bell.
«Была взломана только страница, которая позволяет отправить рассылку, условно, нажав кнопку «отправить». Но она не содержит и не дает доступа к базе имейлов, которая хранится на стороннем и хорошо защищенном сервисе, — сообщила Ирина Малкова. — Сейчас эта взломанная страница уже отключена».
«Почерк не журналистов, но пропагандистов»
Ночью на госканале «Россия-24» вышел сюжет о The Bell, в котором о фейковой рассылке издания рассказали не как о взломе, а как о намеренной политической акции журналистов.
Сюжет о рассылке начался с пересказа ведущим Алексеем Казаковым текста письма и его комментарием, что на «такое» способны разве что «иностранный агент или нежелательная организация», к которым The Bell «вроде бы» пока не причислен. «Это почерк не журналистов, но пропагандистов, причем крайне агрессивных», — подчеркнул он.
Письмо на «России-24» называют «провокацией перед выборами», а основательницу The Bell Елизавету Осетинскую обвиняют в стремлении «косить под бизнес-издание». В сюжете появился также Александр Ионов — инициатор признания «иностранным агентом» издания «Медуза»*. Он утверждал, что журналисты The Bell связаны «с кураторами на Западе».
Ведущие «России-24» обвинили The Bell в получении грантов от университета Беркли и «Европейского фонда поддержки демократии» («Европейский фонд за демократию» признан в России нежелательным) и предупредили о правовых последствиях фейковой рассылки для издания, несколько раз употребив рядом с названием портала словосочетание «иностранный агент».
После выхода сюжета «Вестей» Осетинская рассказала «Новой», что издание обратится к правоохранителям для расследования атак на издание. Кроме того, инцидент с фейковой рассылкой уже расследует ведущая команда специалистов по кибербезопасности Group-IB. Осетинская подчеркнула, что к взломщикам никак не могли попасть данные людей, так как для фейковой рассылки
*Внесены Минюстом РФ в реестр СМИ-иноагентов. использовали «админку» сайта, где нет доступа к электронным почтам.
«Мы также не собираем и не храним пароли наших пользователей», — уточнила основательница The Bell.
Осетинская обращает внимание, что ведущие «России-24» выпустили сюжет с несколькими фактическими ошибками. В частности, назвали ее главредом The Bell.
«С первого дня существования издания The Bell не я была его главным редактором — а Ирина Малкова. Я же являюсь гендиректором компании, которая управляет бизнесом The Bell. Это российская компания, которая зарабатывает в России», — рассказала она.
Звенья одной цепи
Основатель и технический директор «Роскомсвободы» Станислав Шакиров считает, что вся история с The Bell может быть «коммерческим заказом»: «некий приближенный к власти бизнесмен» из расследований The Bell мог инициировать признание издания «иноагентом», предположил эксперт.
По мнению Шакирова, такие методы взлома рассылки и сайта доступны кому угодно: это могут быть и опытные хакеры, которые «в чем-то попались» и их вынудили работать на государство.
«Какие-то следы <взлома> всегда оставляют, вопрос в том, можно ли их найти, это такие кошки-мышки, — сказал эксперт. — Оставаться анонимным можно — в зависимости от того, кто будет за нами следить».
В случае с поддельной нотариальной доверенностью для доступа к детализации звонков спецкора Ирины Панкратовой, скорее всего, действовали «частники», считает специалист.
«Правоохранителям не нужны никакие заявления, чтобы приходить в «Мегафон», они просто звонят специально обученному человеку <в компании оператора>, и он начинает перехватывать SMS», — рассказал Шакиров.
«Взлом рассылки простой. Всем изданиям, которые занимаются рассылками, нужно предусмотреть такую модель угрозы. <Хакеры> скопировали электронную
подпись, подделали поле «от кого», воспользовались похожим сервисом и почти повторили дизайн письма издания», — рассказал «Новой» IT-специалист, директор «Общества защиты интернета» Михаил Климарев. Раньше этот способ тоже использовался, но не так масштабно, как сейчас, — с целым СМИ. Климарев считает, что The Bell попали под удар злоумышленников, потому что аудитория бизнес-издания наиболее близка к людям, которые придерживаются тактики «Умного голосования».
«Думаю, эти атаки — звенья одной цепи. А по взлому соцсетей случаев десятки, так делают постоянно», — считает специалист. Действительно, в середине августа о спам-атаке на номера телефонов сообщили журналисты «Важных историй»* Ирина Долинина* и Алеся Мароховская*, в декабре их, еще двух коллег и главреда издания Романа Анина* также пытались взломать после расследования о бизнесмене Кирилле Шамалове, предполагаемом бывшем зяте президента. В разгар протестов в Екатеринбурге попытку взлома заметили шеф-редактор и учредитель Znak.com Дмитрий Колезев и Аксана Панова, позже — журналист «Медузы» Дмитрий Андреев и корреспондент «Радио Свобода»* в Пскове Людмила Савицкая*.
«Чем ближе к выборам, тем хуже. Взломы — это мелочные вещи, а отключение интернета, шатдаун — самое серьезное, что может быть. Я думаю, что после выборов могут попробовать отключить интернет и частично заблокировать социальные сети. Также смогут массово отключать конкретных абонентов по фамилии. Это сейчас везде происходит в авторитарных режимах. Прямо сейчас в Судане, в Индии в штате Кашмир <граничащем с Афганистаном> отключили интернет полностью», — заключил директор «Общества защиты интернета».
Звонари
Когда неизвестные пытались взломать аккаунты спецкора издания Ирины Панкратовой, она предположила, что это могут быть герои ее расследований — уже опубликованных или тех, которые находятся в разработке. «У меня в разработке несколько непростых историй, также это может быть кто угодно из героев уже опубликованных текстов», — сообщила она. Журналистка считает, что кто-то целенаправленно пытается отследить источники ее информации или воспользоваться ее личными данными. Редакция The Bell назвала случившееся «попыткой воспрепятствовать работе журналиста».
Недавно Ирина Панкратова опубликовала расследования об основателях рухнувшей финансовой пирамиды Finiko, источниках финансирования онлайн-казино, о бывшем зяте премьер-министра Михаила Мишустина и о рынке «пробива» государственных баз данных после того, как с помощью этих баз сторонники Алексея Навального и журналисты Bellingcat и Insider* вышли на офицеров спецслужб и обвинили их в попытке убить политика. Ей принадлежит материал о семейном конфликте вокруг компании Natura Siberica, которая недавно приостановила производство и продажи товаров под своими брендами.
Также авторы The Bell выпустили материал о крышевании банков сотрудниками ФСБ с «Проектом»**, рассказали о бизнес-джете патриарха Кирилла за $43 млн совместно с другими СМИ приняли участие в работе над расследованием Ивана Голунова про бизнес ритуальных услуг и вместе с «Медузой», «Ведомостями» и Forbes выяснили, как компания «Роснефть» поставила под контроль владельца газеты «Ведомости» и что из этого вышло.
Интернет-издание The Bell в 2017 году основала Елизавета Осетинская, бывший шеф-редактор РБК, бывший главред «Ведомостей» и российской версии Forbes. Изначально проект представлял собой тестовую e-mail-рассылку и был создан как стартап в рамках Стэндфордской программы. **Генпрокуратура внесла в список нежелательных.