Минная инициатива: кто и зачем терроризирует российские школы
По данным следствия, действия 14 участников закрытых сообществ, которые занимались массовым лжеминированием школ и других социальных объектов, координировались с территории Украины. О громкой спецоперации ФСБ по задержанию подозреваемых в причастности к информационным атакам стало известно 10 февраля. Стоит отметить, что схожую версию происхождения очередной волны ложных сообщений о терактах ранее уже высказывали «Известия». При этом новое совместное расследование нашей редакции и специалистов по информационной безопасности показывает, что среди организаторов так называемых сваттинговых интернет-сообществ становится всё больше россиян. В большинстве случаев это подростки. Например, одному из них всего 14 лет — по крайней мере так он заявил во время беседы с корреспондентом «Известий». Как подростков втягивают в информационный терроризм, кто за этим стоит и какие деньги это приносит организаторам, читайте в нашем расследовании.
В поисках признания
ФСБ России 10 февраля заявила о раскрытии сети сваттинговых интернет-сообществ, которые занимались ложными минированиями на территории России, Белоруссии и других стран. Волна информационного терроризма не затихает с начала этого года. Только за несколько дней были «заминированы» все школы Саратова, 20 школ в Магадане и 17 в Подмосковье, Останкинская телебашня, терминал Б аэропорта Шереметьево, все районные суды Москвы, мэрия Хабаровска и другие объекты. По данным силовиков, организатором и администратором сети сообществ, причастных к лжеминированию, является 18-летний гражданин Украины Антон Осипчук, студент факультета информационной безопасности Национального технического университета Украины.
Россия не первый раз сталкивается с серийными ложными минированиями. Не первый раз их связывают и с Украиной. Во второй половине 2019 года страну накрыла крупная волна виртуальных минирований. Тогда злоумышленник быстро вышел из тени и объяснил свои мотивы. Он выдавал себя за пользователя криптобиржи WEX, который понес убытки из-за закрытия платформы, и требовал от ее предполагаемого совладельца вернуть 120 биткоинов.
Более глубокое расследование специалистов по информационной безопасности показало, что история с WEX была лишь хорошей легендой. На самом деле за минированиями стояла группа злоумышленников, следы которых вели в Центр информационно-психологических операций (ЦИПсО) Украины. Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров предполагает, что серия минирований от имени пострадавшего пользователя WEX была спланированной кампанией спецслужб соседней страны. Нынешняя же волна преступлений, по его словам, намного масштабнее. Она разворачивается по несколько иному сценарию и характеризуется тем, что многие администраторы сваттинговых интернет-сообществ — россияне.
— На первый взгляд ситуации 2019 и 2022 годов похожи: по электронной почте массово рассылаются сообщения о минировании зданий, проводятся эвакуации. Однако в этот раз тексты злоумышленников зачастую не содержат требований денег за прекращение атак. А если и содержат, то запрашиваемые суммы, как правило, абсурдные, — отметил он.
Основной мотив тех, кто организовал новую волну лжеминирований, — признание. Для них сваттинг (тактика ложных сообщений о серьезных преступлениях с целью введения полиции в заблуждение. — «Известия») — своеобразная ролевая игра, в ней можно стать неуловимой личностью, которая безнаказанно совершает злодеяния, подчеркивает эксперт.
В распоряжении «Известий» оказалось несколько примеров таких сообщений. Вот одно из них. Отправлено на адреса электронной почты ФСБ и МВД.
«Добрый день. Я — русский террорист terror_kronos. Я заложил тротил, аммонит во все торговые центры города Подольск. Сегодня я взорву вас. Люди будут умирать очень быстро. Но вы можете меня задобрить, скинув мне 450 тысяч рублей на карту. Мо карта сбер — [16 цифр]. Время пошло. Тик-так…» [пунктуация и орфография оригинала сохранены].
Тексты остальных писем написаны в подобном же стиле. Используются вычурные экспрессивные формулировки, типовые фразы и слова «я взорву», «вы все умрете», «тратил» «по всему городу». Изучая их, кажется, все они неумело списаны с одного примера, как сочинение двоечником у соседа по парте. Иронично, но, согласно материалам расследования компании T.Hunter, почти так оно и есть.
Дурной пример
Довольно быстро выяснилось, что злоумышленники координируют свои действия в закрытых сообществах в Telegram. Значительная часть каналов и чатов появилась в декабре 2021 года. На данный момент обнаружено более 30 таких объединений, в них состоит от сотни до нескольких тысяч человек.
— Не каждый участник — это преступник. Среди аккаунтов довольно много фейков. Администраторы некоторых чатов порой создают несколько аккаунтов и общаются сами с собой, имитируя бурную деятельность. Чем активнее твои поступки обсуждают в СМИ, чем больше у тебя поклонников, тем ты успешнее, — объяснил Бедеров.
Специалисты T.Hunter определили четырех человек, которые администрируют большую часть обнаруженных сообществ, развивают их и чаще остальных занимаются лжеминированием.
— Двум из них по 14 лет. Один проживает в Белоруссии, другой — в России, в Люберцах. Третьего на данный момент, скорее всего, уже задержали — с 21 января он не проявляет активность. Последний — тоже подросток — проживает на территории России. Самому младшему участнику, которого мы находили, было всего 10 лет. Вся информация об этих лицах передана в правоохранительные органы, — продолжил собеседник «Известий».
Между лжеминерами, очевидно, существует иерархия. А многих новичков используют исключительно для получения выгоды. Тактика простая — втянуть в обсуждение преступных действий, а потом пригрозить раскрытием его личности.
— Нередко лжеминеры шантажируют новичков и требуют у них деньги за то, чтобы в очередной рассылке о минировании не указывались их личные данные, — говорит Бедеров.
Сами же «главари» упиваются славой. Школьники посвящают группировкам и их главарям видео в TikTok, сигны (фотографии с именем знаменитости на теле или листке бумаги. — «Известия»), пишут сообщения со словами благодарности за сорванные уроки. Всем этим администраторы групп охотно делятся в своих Telegram-каналах.
Без детства
Администратор одного из таких сообществ (название сообщества и никнеймы собеседника известны редакции) рассказал «Известиям», что он и его команда начали заниматься рассылкой сообщений о минировании около полугода назад. Утверждает, что именно он и его друг, администратор еще одного подобного сообщества, начали волну лжеминирований 2022 года. Лично он разослал около 50–70 писем, его подельники — в разы больше. Уверяет, что живет в Латвии, а потому не боится российскую полицию. Старшеклассник. О кураторах с Украины ему якобы неизвестно.
— Потерял близких людей — появилось желание делать что-то плохое. Мне было плохо — я захотел внимания. Поэтому ушел в это [сваттинг]. Мной стали восхищаться — стало легче. Но теперь я понял, какой мир гнилой и не ценит человека просто за то, что он есть, — объясняет свою мотивацию собеседник «Известий».
Сообщения рассылались как в России, так и на Украине (с начала 2022 года там действительно зафиксировано много случаев ложного минирования. — «Известия»). Глобальная цель кампании заключалась в том, чтобы устроить войну между странами, не без налета мании величия сообщил наш собеседник. Однако довольно быстро злоумышленник от этой идеи отказался. На момент разговора лжеминер признался, что ему стало скучно заниматься рассылкой сообщений и он хочет выйти из движения. Но прежде он считает своим долгом разоблачить всех остальных сваттеров и террористов.
Наш собеседник утверждает, что таких как он, координаторов нынешней волны информационного терроризма в Telegram, не меньше десяти. Все они общаются и поддерживают друг друга в закрытом чате. Каждый — подросток с непростой судьбой: у кого-то неполная семья, кто-то потерял близких. Активное ядро сообщества насчитывает около сотни человек. Лжеминер заявил, что через 2–4 месяца, как только он поможет разоблачить всех сваттеров, не входящих в его группировку, он уйдет в тень и электронные угрозы прекратятся.
Смотри и учись
Помимо шантажа новичков и выполнения заказов на ту или иную школу сваттеры зарабатывают «репетиторством». Руководитель одного из закрытых чатов сообщил «Известиям», что за «занятие» берет 2500 рублей — это самый дорогой лот в его прейскуранте. Заказное минирование обычно стоит не дороже 1000 рублей. В курс обучения входит всё: от того, как писать сообщения, до установки и настройки программного обеспечения, говорит Бедеров. Отсюда становится понятно, почему лжеминеры новой волны действуют по одному сценарию и пишут однотипные сообщения.
— Как правило, набор инструментов, которыми пользуются лжеминеры, примитивный. В него входит виртуальный номер телефона, какой-нибудь VPN и почтовый клиент с шифрованием трафика вроде ProtonMail. Всё это легально и доступно любому пользователю, — объяснил представитель T.Hunter.
В свою очередь, наш собеседник из числа администраторов закрытых сообществ уверяет, что продажа курсов — это способ рекрутерства в команду. При этом каждого нового «солдата» держат под контролем. Как только новоиспеченный сваттер допускает ошибку, его деанонимизируют.
— Был у нас один, кто пытался нас сдать. В итоге его арестовали, — рассказывает он.
Бедеров отмечает, что такая принципиальность сваттеров порой даже упрощает работу представителей правоохранительных органов. Поскольку все они, как и специалисты по кибербезопасности, являются аудиторией подобных сообществ.
Ловля на никнейм
В открытых источниках можно найти данные о трех недавних операциях по борьбе со сваттерами: 17 января был задержан 15-летний учащийся одного из лицеев города Камышлов, 21 января СКР объявил о поимке двух 17-летних парней в Красноярске, а 8 февраля полиция Екатеринбурга сообщила о задержании 14-летнего гимназиста. Все они подозреваются в массовой рассылке сообщений о минировании образовательных учреждений. Правда, в первом случае задержанный подозревается в действиях, совершенных с января по сентябрь 2021 года.
Специалисты по кибербезопасности в настоящий момент готовят методические материалы для Академии управления МВД РФ, которые позволят эффективнее выявлять лжеминеров. Начальник кафедры управления органами расследования преступлений Академии управления МВД РФ Юрий Гаврилин подтвердил «Известиям» эту информацию.
— Разрабатываем методологические рекомендации по идентификации так называемых лжеминеров, использующих средства анонимизации. Завершение работы запланировано на июнь 2022 года. Далее рекомендации будут рассмотрены в научно-методической секции следственного департамента МВД России и направлены во все территориальные органы МВД России для применения в практической работе, — рассказал Гаврилин.
Материалы в первую очередь будут полезны следователям, сотрудникам оперативных и оперативно-технических подразделений, добавил он.
— В этих материалах мы описываем разные методы идентификации лжеминеров. Начиная от разведки по открытым данным, в рамках которой анализируется вся доступная информация вроде аватарок и никнеймов, и заканчивая логированием. В рамках последней процедуры на адреса электронных почт, с которых приходят сообщения о минировании, отправляются файлы, передающие данные с компьютера получателя, — отмечает Бедеров.
В Роскомнадзоре, в свою очередь, стараются повлиять на ситуацию, ограничивая работу Telegram-каналов и чатов, в которых общаются злоумышленники. В ведомстве сообщили, что на данный момент по их инициативе Telegram удалил по меньшей мере три канала, посвященных сваттингу.
— Всего за 2021 год в единый реестр запрещенной информации было внесено более 48 тыс. ссылок на материалы (или каналы) в мессенджере Telegram, содержащие запрещенные материалы. Из них удалено свыше 46 тыс. ссылок, что составляет 96,5%. За неудаление в установленный законом срок запрещенного контента по ст. 13.41 КоАП РФ с начала 2021 года Telegram был оштрафован на общую сумму 49 млн рублей, — отметили в пресс-службе Роскомнадзора.
Telegram на момент публикации материала на запрос «Известий» не ответил.
Руководитель юридической фирмы DRC Владимир Ожерельев напомнил, что сваттинг подпадает под 207-ю статью УК РФ «Заведомо ложное сообщение об акте терроризма», которая не освобождает от ответственности даже несовершеннолетних.
— Ст. 207 УК РФ предусматривает различные меры ответственности — от штрафа до лишения свободы — в зависимости от тяжести нарушения. Причем ответственности за преступление по этой статье подлежат лица, достигшие 14 лет, — отмечает он.
Суд вправе назначить несовершеннолетнему наказание в виде лишения свободы только в случае признания невозможности его исправления без изоляции от общества, подчеркивает юрист. В том случае, если несовершеннолетнему будет назначено наказание в виде лишения свободы, осужденный будет отбывать его в воспитательной колонии.