Отставка Якунина: что это было на самом деле?
Расследование по факту рассылки сообщения о мнимой отставке главы РЖД Владимира Якунина не дало результатов. Спецслужбы, проводившие проверку, известили аппарат правительства, что определить конечного отправителя фальшивого сообщения не представляется им возможным, рассказал Forbes источник в Белом доме. По информации спецслужб, отследить трафик не вышло, поскольку использовался защищенный канал связи, проходивший через третьи страны, следы отправителя теряются где-то в Голландии.
ФСО от комментариев отказалась. В ФСБ на запрос Forbes не ответили. Пресс-секретарь Дмитрия Медведева Наталья Тимакова сообщила Forbes, что пока никаких «официальных результатов расследования ни ей, ни руководителю аппарата правительства Сергею Приходько из ФСБ не поступало», когда это произойдет, ей неизвестно.
Сам Якунин сказал Forbes, что за промежуточными этапами расследования не следит, зато «кое-что выяснял своими методами». Делиться итогами своего расследования Якунин не стал, пояснив, что окончательное определение источника «этой глупости» в компетенции правительства и государства, поскольку распространенная информация «компрометирует не столько господина Якунина, сколько систему власти».
«Отставка» Якунина произошла вечером 19 июня, в тот момент, когда глава РЖД доедал глухаря на ужине с президентом Владимиром Путиным. Происходило это так. В 20:02 российским информагентствам якобы с почтового ящика пресс-службы правительства duty_press@aprf.gov.ru было разослано срочное сообщение: Медведев освободил Якунина от должности и назначил на его место Александра Мишарина. Сообщение как две капли воды напоминало стандартные пресс-релизы Белого дома.
Как увольняли Якунина
Домен aprf-gov.ru, с которого было отправлено ложное сообщение, по информации сайта http://who.ru, был зарегистрирован 16 июня 2013 года через регистратора R01 — он входит в группу компаний Hosting Community.
Представители R01 сказали Forbes, что получали от ФСБ запрос с просьбой предоставить данные о владельце доменного имени. «Данные, которые получил регистратор R01 [от клиента] были недостоверны, а потому утверждать с точностью, кто владел доменом, мы не можем», — рассказали в R01.
По данным IT-службы РИА «Новости», IP-адрес отправителя фальшивки — 92.63.104.234. В базе http://whoer.net этот IP принадлежит хостинговой компании ЗАО «Первый». Она специализируется на сдаче в аренду серверов, расположена в Иркутске, а ее серверы в московском дата-центре.
«Сервер нужен, чтобы развернуть там свое программное обеспечение, в час Х совершить черное дело, а потом затереть его в ноль — уничтожить все логи», — объясняет директор компании Peak Systems Максим Эмм. По его мнению, работа с сервером могла идти через удаленные ip-адреса, а само сообщение пройти через защищенные vpn-каналы через третьи страны — установить, откуда соединялся человек, в таких условиях не представляется возможным.
В «Первом» сообщили, что передали всю необходимую информацию спецслужбам, но установить реального арендодателя не смогли — данные покупателя оказались вымышленными.
После РИА «Новости», «Интерфакса» и ИТАР-ТАССа, новость подхватили интернет-издания и телеканалы. Через полчаса неразберихи и замешательства РЖД и Белый дом разразились опровержениями. Тимакова заявила тогда, что сообщение об отставке — фальшивка.
«Это провокация такого масштаба, что ей должны заниматься соответствующие органы»,— заявил после случившегося Якунин. К расследованию подключились ФСО и 8-й центр ФСБ, занимающийся киберзащитой государственных интернет-ресурсов. Главред РИА «Новости» Светлана Миронюк сказала, что в спецслужбы была передана вся имеющаяся информация — текст сообщения и его логи.
21 июня вроде бы появились первые результаты расследования. «Сегодня специалисты ФСБ и ФСО получили первые результаты: ими установлены провайдер, IP-адрес компьютера и его местонахождение. Выяснилось, в частности, что сервер находился в Москве», — сказала тогда Тимакова. С тех пор новостей о расследовании не было.
Если представить, что отставка Якунина действительно была вбросом посторонних «хакеров», говорит редактор сайта «Агентура.ру» Андрей Солдатов, то аргумент спецслужб о том, что они не смогли технически отследить отправителя, выглядит вполне правдоподобно. «Судя по имеющейся информации (см. врез), люди подошли серьезно к тому, чтобы запутать следы — использовали несколько прокси-серверов, защищенные vpn-каналы практически не вскрываются, — из-за этого установить конечного человека, который все это положил на том конце, очень тяжело». К тому же подобную операцию можно проделать за небольшие деньги. Регистрация домена в R01 стоит 590 рублей. Аренда сервера у ЗАО «Первый» в минимальной конфигурации (2 Гб) обойдется в 1350 рублей в месяц. Эксперты IT-компании Group-IB подсчитали для Forbes, что вся операция могла уложиться в $100.
Но есть и другая версия случившегося. К появлению новости об увольнении Якунина, если таковая не случилась в действительности, причастны люди в органах власти. «Какая-то тень в правительстве тут точно была», — говорит сотрудник Белого дома. С такой возможностью соглашается и высокопоставленный собеседник в Кремле. «Кажется, все это делали люди, точно знающие, как работает система, — люди с высоким уровнем доступа, не исключено, что из госведомств, — полагает Солдатов. — Даже если это сообщение и проходило по зарубежным каналам — это местная история, она внутри аппарата».
В истории с самого начала были факты, которые указывают на то, что если отставки и не было на самом деле, то «хакерскую» операцию осуществили люди, обладающие инсайдерской информацией, знающие многие детали работы правительства.
Во-первых, домен, с которого было отправлено ложное сообщение — aprf.gov.ru, отличался от правительственного aprf-gov.ru лишь на один символ. Высокопоставленный собеседник в Кремле со ссылкой на итоги расследования утверждает, что авторы фейка на протяжении двух недель до «увольнения» Якунина рассылали в информагентства с того же поддельного адреса настоящие сообщения пресс-службы — «чтобы проверить, проходят ли» (представитель РИА «Новости» настаивает, что такого не было). Интересно, откуда эти «хакеры», если они не связаны с органами власти, получали настоящие сообщения пресс-службы, чтобы одновременно дублировать их в агентства, улыбается сотрудник аппарата правительства.
Во-вторых, сервер арендовался у российского хостинга из Иркутска в тот момент, когда в этом городе с визитом находился премьер Медеведев. Само сообщение было выпущено ровно в тот момент, когда Якунин встречался с Путиным в кулуарах Петербургского экономического форума. В-третьих, сообщение об отставке отправил человек, знакомый с тем, как выглядят официальные сообщения — с их стилистикой и оформлением.
Наконец, отправитель письма знал главное — об обострившемся конфликте Медведева и Якунина. Собеседник Forbes, близкий к руководству РЖД, говорит, что разговоры о возможности отставки Якунина начались в монополии накануне Петербургского форума.
«Расследование сворачивают, чтобы не вспоминать «историю, некрасивую для всех», — говорит собеседник Forbes в Белом доме. Медведев и Якунин встретились один на один неделю назад, встречу собеседник называет «примирительной». Якунин подтвердил Forbes, что встреча с премьером была. Однако, утверждает глава РЖД, тема его фиктивного увольнения на этой встрече не обсуждалась: «Я не считал вежливым и возможным премьер-министра отвлекать на подобные вещи, мне казалось, что если бы я такое сделал, то он воспринял бы это как демонстрацию уязвленного самолюбия, а такого не было».