Мошенники

Владелец «Цитадели» Антон Черепенников выложил в открытый доступ данные СОРМ

Друг Тины Канделаки и владелец холдинга «Цитадель» Антон Черепенников — человек, слабо разбирающийся в IT, однако имеющий влиятельные связи. Ранее агентство уже писало о том, что финансируя стартапы сына начальника СЭБ ФСБ Сергея Королева, ему удалось получить подряды на развитие системы технических средств для обеспечения функций оперативно-розыскных мероприятий .  Однако из-за дилетантизма Черепенникова система получилась крайне уязимой, ее данные могут использовать посторонние лица, в том числе — сотрудники разведок иностранных государств.

Как пишет , 25 августа российский программист Леонид Евдокимов выступил на IT-конференции Chaos Constructions в Санкт-Петербурге. Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей.
Как рассказал Евдокимов участникам конференции, в апреле 2018 года знакомый обратил его внимание на IP-адрес в сети , на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес так называемого сниффера, который пытается отследить способы обхода мессенджером Telegram блокировок . 

Однако прямых доказательств причастности оборудования к слежке за трафиком телеграма Евдокимов так и не обнаружил. Зато по характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера Zmap программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров.

На IP-адресах этих устройств Евдокимов обнаружил открытые FTP-серверы, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты, очевидно переданные недостаточно защищенными смартфонами с устаревшими прошивками. «Все эти данные предоставляют возможность определить, чей именно это трафик, что это за клиенты [провайдеров]», — заключил Евдокимов.

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика СОРМ и системы „Ревизор“», — продолжил презентацию Евдокимов. Он показал зрителям фрагмент интернет-переписки с неназванным сотрудником одного из провайдеров. Собеседник программиста прямо указал, что речь идет о технике — одного из крупнейших российских поставщиков оборудования СОРМ. Это произошло в мае 2018 года, то есть после того, как компания перешла в холдинг Антона Черепенникова, уточнил Евдокимов.

При этом сотрудник самой «МФИ Софт» в переписке с программистом отказался поверить, что утечки идут из оборудования его компании, предположив, что проблема в «корпоративных системах информационной безопасности» у клиентов провайдера. Однако «МФИ Софт» явным образом упоминалась в опубликованных оборудованием программных пакетах данных на двух адресах из 30, констатировал Евдокимов.

Фрагмент из презентации Евдокимова со скриншотом переписки с сотрудником провайдера

 

«На этих адресах располагались FTP-серверы с публично доступными копиями некоторого комплекса компьютерных программ. Они были маркированы как программы от данного вендора [„МФИ Софт“]», — добавил он. Что касается остальных 28 адресов, то там производитель оборудования явно не упоминался, однако на них были доступны «довольно характерные шаблоны страниц статистики», отметил Евдокимов. Такие страницы не являются стандартизированными и поэтому несут почерк производителя оборудования, хотя «строгим доказательством это, конечно же, не является», добавил он. Евдокимов допустил, что теоретически это может быть оборудование «МФИ Софт» для сбора «какой-нибудь маркетинговой информации», однако он никогда не слышал, чтобы разработчик СОРМ создавал такое оборудование.

На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельского. Были опубликованы даже данные жителей .

Другое устройство, расположенное в Москве, показывало всем желающим десятки номеров ICQ, несколько сотен IMEI телефонов и самих мобильных номеров. Скорее всего, это данные частных, а не корпоративных пользователей, поскольку в выходные и праздники открытая база продолжала пополняться так же активно, как и в будние дни, подчеркнул Евдокимов. Более того, в некоторых логах он обнаружил «что-то очень похожее на имена пользователей» провайдеров.

В логах московского оборудования Евдокимов также нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». А опубликованные оборудованием номера телефонов «порой появлялись в объявлениях газеты „Колючий Саров“ — „продам платье“, „куплю машину“ и все такое», добавил Евдокимов на презентации под хохот аудитории.

Фрагмент из презентации Евдокимова с картой Сарова, на которую нанесены координаты пользователей

 

Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова. Обнаруженные Евдокимовым уязвимости не могли закрыть больше года

В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года, незакрытыми оставались шесть IP-адресов, подчеркнул он. Закрыли их только 26 августа — после того как телеграм-канал unkn0wnerror опубликовал презентацию c конференции Chaos Constructions.
Группа компаний «Цитадель» в последние годы активно поглощает другие компании-разработчики СОРМ. В феврале 2017 года структура Антона Черепенникова приобрела 100% крупнейшей на рынке компании «МФИ-софт», в июне 2018 года — 70% компании «Техаргос», в сентябре 2018 — 90% компании «Сигнатек». В итоге «Цитадель» занимает от 60 до 80% на рынке СОРМ — по оценке ее крупнейшего конкурента, компании «Норси-Транс». Кроме Черепенникова, которому принадлежит 75% акций компании, совладельцами экс-руководитель представительства администрации Волгоградской области при правительстве России Валерий Битаев (23%), еще 1,16% принадлежат двум частным лицам — Алексею Хренову и Дмитрию Золотухину — это партнеры Антона Черепенникова в киберспортивных проектах.

При этом именно «МФИ Софт» в 2018 году показала самый динамичный рост среди всех поставщиков СОРМ: ее выручка выросла на 294%, до 10,3 миллиарда рублей; а прибыль — на 298%, до 2,07 миллиарда. Высокие показатели объясняются тем, что к концу 2018 года «Цитадель» контролировала 60% рынка и 5 из 7 компаний, которые Минкомсвязи рекомендовало операторам для исполнения требований , вступившего в силу 1 июля 2018 года. Таким образом, своим успехом компания обязана обширным лоббистским связам Антона Черепенникова в спецслужбах, которые зачастую оборачиваются угрозами для информационной безопасности государства.