Уважаемые читатели, злопыхатели, фанаты и PR-агенты просим продублировать все обращения за последние три дня на почту [email protected] . Предыдущая редакционная почта утонула в пучине безумия. Заранее спасибо, Макс

ФСБ, СМИ и интернет

11.06.2020 15:44
 
 

ФСБ, СМИ и интернет

На протяжении всего своего существования спецслужбы уделяли особое внимание СМИ, мотивируя это тем, что они могут являться эффективным инструментом влияния и пропаганды противника. Одновременно с этим средства массовой информации важны для внутреннего воздействия на население — создания и регулирования общественной повестки, а также защиты интересов и репутации самой спецслужбы.

 

КГБ и СМИ

В советское время пятое управление КГБ курировало интеллигенцию, и в том числе журналистов. Основной обязанностью спецслужбы в этой сфере были идеологический контроль и защита коммунистического режима.

Надзор за СМИ в тот период был относительно простой задачей, поскольку все основные средства массовой информации финансировались и контролировались государством. Содержание статей и эфиров предварительно согласовывалось. Таким образом, партия имела полную власть над фактически централизованным источником информации.

 

Вручение награды Юрию Андропову. Время. Эфир 24.08.1979.
Источник: YouTube/Советское телевидение. ГОСТЕЛЕРАДИОФОНД России

КГБ держал СМИ под контролем, привлекая агентов, осведомителей и прикомандированных сотрудников. Кроме того, КГБ использовал журналистику в качестве прикрытия для разведывательной деятельности и распространения информации и дезинформации как в СССР, так и за рубежом.

В эпоху Горбачева и политики «гласности» влияние государства на СМИ слегка ослабилось, были сняты некоторые запреты. В конце 80-х — начале 90-х значительно возросли популярность и разнообразие газет, телевидения и радио. Ярким примером усилившейся независимости СМИ может служить поведениежурналистов во время августовского путча 1991 года. Важной задачей для ГКЧП было установление контроля над СМИ, однако, несмотря на действия ОМОНа и «Альфы», полностью заблокировать распространение информации не удалось.

 
Попытка государственного переворота в СССР. Съемки 19−22 августа 1991 года.
Источник: YouTube/Архив РИА-Новости
 

Спецслужбы и СМИ после 1991 года

После распада СССР значительно снизилась централизованность СМИ, при этом их численность возросла в десятки раз. Сохранять влияние на средства массовой информации стало в разы сложнее.

В условиях частной собственности одним из наиболее действенных инструментов контроля за СМИ оказалась смена владельцев на более лояльных власти. При этом «традиционные» методы контроля за СМИ, такие как использование агентов и прикомандированных сотрудников, не утратили актуальность.

Первой в новейшей истории России знаковой попыткой вернуть СМИ под контроль государства с привлечением силовиков стал захват телеканала «НТВ», принадлежавшего Владимиру Гусинскому. Похожая ситуация сложилась и с ОРТ (Первым каналом).

По утверждению Бориса Березовского, в 2000 году, когда он находился в Лондоне, к нему стали поступать предложения от «посредников из Кремля» о выкупе его доли в ОРТ и других компаниях.

По свидетельству адвокатов Березовского, в августе 2000 года его вызывали на встречу с Александром Волошиным, а затем с Владимиром Путиным. В случае неисполнения требований по передаче пакета акций компании в другие руки, Березовскому грозили тюрьмой. Сам Волошин категорически отрицает факт угроз, однако подтверждает, что Березовскому было дано указание прекратить вмешательство в работу канала.

Партнера Березовского, Бадри Патаркацишвили, также вызывали «на разговор» — сначала с главой ФСБ Николаем Патрушевым, а затем с президентом.

 

Фрагмент программы «В гостях у Дмитрия Гордона» с Борисом Березовским, 2007 год.
Источник: YouTube/В гостях у Гордона

Предположительно, одной из основных причин последующего усиления давления на владельцев ОРТ, как и в случае с НТВ, было невыгодное власти освещение телеканалом трагедии подлодки «Курск».

Осенью 2000 года Березовский заявил о намерении передать свои акции (49%) «в управление журналистам и другим представителям творческой интеллигенции». Тем не менее в 2001 году его пакет перешел «на временное управление» к Роману Абрамовичу, который предварительно проконсультировался с Волошиным о целесообразности инвестиции.

Утверждалось, что акции были проданы Абрамовичу по заниженной цене (за 150 или, по другим сведениям, 175 миллионов долларов, в то время как продавцы просили в два раза больше). В рамках лондонского процесса между Абрамовичем и Березовским последний заявил, что цена продажи составилавсего 10 миллионов долларов.

 

ФСБ и журналисты

В настоящее время за непосредственные контакты ФСБ с представителями СМИ отвечает пресс-служба ведомства — Центр общественных связей. В то же время курирует журналистов, предположительно, преемница пятого управления КГБ — вторая служба ФСБ, которая, помимо прочего, отвечает за культурную и социальные сферы. Первый руководитель службы Геннадий Зотов описал «кураторство» СМИ в интервью «Независимой газете» в ноябре 1998 года:
«— Как вы относитесь к заявлениям о том, что создание в рамках вашего управления отдела, который будет „курировать СМИ“, является возобновлением традиций „политического сыска“? — Проблема взаимодействия спецслужб и СМИ всегда оставалась одной из важнейших. Появление в России системы независимых средств массовой информации стало одним из наиболее серьезных достижений последних лет. Для нас независимые СМИ так же важны, как и для других граждан России, ибо они являются одной из гарантий того, что кто-либо из власть предержащих не будет использовать правоохранительные органы при отстаивании собственных интересов. Вместе с тем мы не можем оставаться безучастными к попыткам различных сил использовать СМИ для ведения антигосударственной, антиконституционной пропаганды. Особенно тревожной тенденцией в последнее время стало активное проникновение организованной преступности в данную сферу. Мы видим свою задачу в том, чтобы ограждать СМИ от незаконного вмешательства в их деятельность со стороны криминальных структур, политических экстремистов различного толка и так далее. За последнее время от рук наемных убийц погибло немало честных и порядочных журналистов. Руководство ФСБ России видит свой долг в защите работника СМИ, который имеет на это право, как и любой другой гражданин России. Важно, чтобы все журналисты поняли — мы появляемся лишь там и тогда, где и когда имеют место попытки нарушения закона. Всякое другое вмешательство любых правоохранительных органов в деятельность СМИ незаконно. По нашему мнению, без создания системы конструктивного взаимодействия между государственными и общественными структурами нельзя говорить об обеспечении стабильного и устойчивого развития политической системы России».

Служба по защите конституционного строя и борьбе с терроризмом (Вторая служба)

ЧИТАТЬ ПОДРОБНЕЕ

Информация о прямой связи между ФСБ и средствами массовой информации и/или их представителями практически отсутствует в открытом доступе.

Тем не менее существует ряд косвенных подтверждений непосредственного участия спецслужбы в преследовании журналистов.

Один из недавних примеров — арест корреспондента «Медузы» Ивана Голунова, который занимался расследованием связи ФСБ с похоронным рынком Москвы и Московской области (подробнее про дело Голунова). В последнее время ряд журналистов был вынуждены покинуть страну из-за давления спецслужбы. Например, журналист Сергей Канев уехал из России в 2018 году, после того как его предупредили о возможной провокации со стороны ФСБ. Канева собирались обвинить в слежке за президентским конвоем. Угрозы журналисту стали поступать после того, как он опубликовал расследование о главе Управления «К» СЭБ ФСБ Иване Ткачеве, включив в него интервью с матерью генерала и эксклюзивными архивными фотографиями.

ФСБ оказывает давление не только на отдельных журналистов, но и на редакции в целом. Так, после публикации статьи о незадекларированной недвижимости главы ФСБ Александра Бортникова на портале Russiangate сайт был заблокирован, а инвестор прекратил финансирование ресурса и уволил главного редактора Александрину Елагину.

Известно, что, как и КГБ, ФСБ использует свои «знакомства» в журналистской среде не только для получения информации или оказания давления, но и с целью дезинформации или намеренных сливов в рамках межведомственной или межклановой конкуренции. Примером может являться дело полковника ФСБ Сергея Михайлова, сотрудничавшего с хакерским проектом «Шалтай-Болтай». Существует версия, что ФСБ контролировала группировку и использовала полученную в результате взломов информацию в своих целях, в том числе для публичной дискредитации оппонентов (подробнее о деле Михайлова).

Кроме того, ФСБ обвиняли в «организации утечек информации» из ГРУ в рамках межведомственного конфликта:

«В последние годы российская разведка терпит один провал за другим. 4 года назад в открытом доступе появился список 79 ее сотрудников, работающих под прикрытием в разных странах. Комические проколы горе-шпионов, которые хранят квитанции от таксистов, везших их от штаб-квартиры ГУ до московского аэропорта, и выкладывают свои служебные фотографии на сайты знакомств, удивляют профессионалов, а безрассудная попытка отравить Сергея Скрипаля стала предметом международного расследования и навлекла на Россию новые санкции.

Эти и другие неудачи ГРУ в самом ведомстве связывают не только с некомпетентностью руководства, но и с безжалостной конкуренцией со стороны ФСБ, организующей утечки конфиденциальной информации» (Радио Свобода).

 

Доступ к системам связи

В 2000 году вышел приказ Министерства Российской Федерации по связи и информатизации о внедрении систем оперативно-разыскных мероприятий (СОРМ) в сетях связи и интернет-провайдерах (в 2014 году закон был распространен и на соцсети). В 2006 году журналист Роман Захаров обратился с жалобой на использование системы в ЕСПЧ. Захаров выдвигает следующие основные претензии к СОРМ:
«Во-первых: не существует четкой регламентации, когда и кого следует прослушивать. Далее: судебная процедура прослушивания не имеет взвешенного характера, то есть, суды просто автоматически выдают разрешения на прослушивание. Третье: сами технические нормативы, позволяющие прослушивать, не дают возможность соблюдать Закон о связи и Конституцию РФ, потому что никто, кроме российских спецслужб не имеет физической возможности контролировать эту „прослушку“…не существует эффективного контроля над работой СОРМ».
В 2015 году ЕСПЧ вынес решение, согласно которому, «поскольку российское законодательство не гарантирует эффективных средств обжалования человеку, который подозревает факт прослушивания своих телефонных переговоров, то само существование спорного законодательства уже представляет собой нарушение прав заявителя по статье № 8 Конвенции („Право на уважение частной и семейной жизни“)». Решение предусматривало внесение поправок в законы, контролирующие применение технологии.
«Суд пришел к выводу, что российское законодательство недостаточно четко определяет ситуации, в которых правоохранительные органы имеют право использовать негласные оперативно-розыскные мероприятия (например, прослушивание телефонных переговоров), и ситуации, в которых данные мероприятия должны быть прекращены, а собранные данные уничтожены. Процедура выдачи разрешений на прослушивание не гарантирует, что прослушивание проводится только в тех случаях, когда это оправданно и необходимо. Надзор за законностью проведения негласных оперативно-розыскных мероприятий неэффективен; отсутствуют эффективные средства обжалования» (Ведомости).
«Россия в своем отчете сообщила Комитету министров СЕ о мерах, принятых для устранения указанных нарушений и предотвращения их в будущем», — передавало РАПСИ. Тем не менее в конце 2018 года мессенджер Telegram и Объединение альтернативных операторов связи отправили в Комитет министров Совета Европы меморандум, в котором утверждается, что Россия не только не приняла мер по устранению недостатков, описанных в решении ЕСПЧ, но и разрабатывает и внедряет законодательство, ухудшающее ситуацию.
 

Мессенджеры, связь и интернет

ФСБ все активнее пытается следить за соцсетями, мессенджерами и интернетом в целом. Усилия по цензуре электронных средств коммуникации официально объясняются в основном борьбой с терроризмом и шпионажем. Однако на практике, вместо того чтобы каждый раз отдельно в судебном порядке получать разрешение на доступ к информации о том или ином подозреваемом, ФСБ пытается обеспечить себе неограниченный доступ к личным данным всех пользователей интернета. Несмотря на то что на международном уровне такая практика считается грубым нарушением прав человека, ФСБ лоббирует принятие законов, теоретически позволяющих отслеживать любые коммуникации россиян. При этом такие социальные сети, как «ВКонтакте», охотно отвечают на запросы силовиков даже тогда, когда они не подкреплены реальными обоснованиями.

В последние несколько лет были приняты сразу несколько законов, существенно облегчающих получение спецслужбой доступа к персональным данным. Основным из них является пакет «антитеррористических» законов депутата Госдумы Ирины Яровой, который вступил в силу летом 2018 года. Закон обязал операторов связи хранить записи разговоров и переписки, а также интернет-трафика в течение шести месяцев (в связи с техническими трудностями реализации подобного решения емкость хранилищ наращивается поэтапно). Кроме того, закон предписывает использующим шифрование сервисам передать «ключи» шифрования силовикам.

Одним из первых сервисов, к которому ФСБ предъявила такие требования, стал мессенджер Telegram. Основателя сервиса Павла Дурова с ФСБ связывают давние взаимоотношения. Так, Дуров утверждал, что в 2013 году из-за давления спецслужбы ему пришлось продать долю в основанной им социальной сети «ВКонтакте». Причиной конфликта с ФСБ Дуров назвал свой отказ выдать личные данные украинских организаторов групп активистов Евромайдана. Он также заявлял о нескольких попытках осуществления цензуры в соцсети.

В 2018 году начался новый виток конфликта Павла Дурова с ФСБ. Сотрудники Центра специальной техники ФСБ (также известного как 12-й центр) потребовали предоставить ключи для дешифровки переписки пользователей Telegram, на что руководство мессенджера ответило отказом. В результате доступ к Telegram на территории России был ограничен, что, впрочем, не помешало большинству пользователей продолжать им пользоваться. Добиваться полной технической блокировки мессенджера правоохранительные органы не стали.

Согласно письму сотрудника 12-го центра Романа Антипкина, опубликованному на РБК, мессенджер был заблокирован, среди прочего, в связи с планами Дурова запустить платежную систему на основе Telegram («неконтролируемую финансовую систему», по словам Антипкина). В августе 2018 года Telegram обновил политику конфиденциальности мессенджера, добавив туда пункт о том, что сервис может предоставлять данные пользователей, обвиняемых в терроризме, на основании решения суда. При этом информацию об удовлетворенных запросах со стороны правоохранительных органов Павел Дуров пообещал публиковать на специальном ресурсе. Хотя формально блокировка Telegram отменена не была, на сегодняшний день сервис доступен практически у всех российских пользователей, а чиновники заводят там официальные каналы.

«Пакет Яровой» затронул и другие интернет-сервисы. Так, летом 2019 года ФСБ потребовала от десятка российских сайтов, в том числе Avito, Habrahabr и Rutube, «организовать круглосуточный удаленный доступ к информационной системе организации» через Системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ).

После принятия «пакета Яровой» одним из крупнейших игроков на рынке технического оборудования для СОРМ, которое обязаны устанавливать все лицензированные операторы связи, стала группа компаний «Цитадель», связанная с Алишером Усмановым. По оценкам РБК, «Цитадель» контролирует от 60 до 80% этого рынка. При этом группа компаний ведет совместный бизнес с сыном Сергея Королева, руководителя Службы экономической безопасности ФСБ. В 2018 году «Цитадель» приобрела контрольный пакет фирмы «Бастион», которую основал и возглавляет 23-летний Борис Сергеевич Королев (в настоящее время владеет долей в 25%). Следует отметить, что эта сделка могла носить коррупционный характер: как пишет журналист «Росбалта» Александр Шварев, ее бенефициаром мог быть депутат Госдумы Андрей Скоч, который фигурировал в прослушках по делу высокопоставленных офицеров Следственного комитета, которых обвиняли в получении взятки в обмен на освобождение подручных вора в законе Захария Калашова (Шакро Молодого). В записанных разговорах следователи упоминали, что именно Скоч выделил деньги на одну из полученных ими взяток. Журналист Шварев отмечает, что после покупки «Цитаделью» доли в стартапе сына главы СЭБ Сергея Королева, который лично курировал дело, интерес следователей к фигуре Скоча угас.

Так или иначе, принятие «пакета Яровой» позволило ФСБ получить доступ к личным данным и перепискам россиян, а для отдельных высокопоставленных офицеров спецслужбы послужило также и бизнес-возможностью.

Еще одним недавним законом, расширяющим полномочия ФСБ в области связи, стал так называемый закон о «суверенном интернете», вступивший в силу 1 ноября 2019 года. Закон обязывает перестроить маршрутизацию трафика таким образом, чтобы сократить объем данных, уходящих за рубеж. Как отмечают эксперты, это нововведение направлено на централизацию трафика для его потенциального контроля и фильтрации спецслужбами.

 

Интернет-проекты ФСБ

Добиваясь права получать доступ к данным россиян на законодательном уровне, ФСБ также стремится обеспечить себе соответствующие технические возможности. В СМИ неоднократно появлялась информация о попытках ФСБ контролировать интернет. Так, в декабре 2018 года хакерская группировка Digital Revolution взломала серверы закрытого НИИ «Квант», находящегося в ведении ФСБ. Среди документов, обнародованных хакерами, было описание проекта «Авенир», позволяющего спецслужбам автоматически анализировать посты в социальных сетях при помощи самообучаемых нейронных сетей. Основными целями проекта назывались выявление протестных настроений и борьба с «информационными вбросами».
«Согласно документу, сотрудникам „Кванта“ якобы удалось научить нейросеть анализировать посты с такими фразами, как „варварство застройщиков“, „беспредел“ и „путинско-сечинский застой“ — и даже лозунгами типа „Хватит хуснуллить Москву“» (Би-би-си).
По сведениям Би-би-си, похожую систему «Квант» разработал и внедрил в Казахстане. В апреле 2019 года хакеры из Digital Revolution выложили часть переписки компании 0day technologies, принадлежащей руководителю лаборатории математических проблем компьютерной безопасности при МГУ Руслану Гилязову. Из опубликованных документов следует, что Центр специальной техники и Центр информационной безопасности ФСБ «поддерживали» компанию и «завели» ее на тендер Роскомнадзора по блокировке Telegram. В сообщениях описаны и другие проекты 0day technologies:
«Во взломанных документах есть и презентация компании, из которой можно узнать, что программное обеспечение 0day для СОРМ-2 „Метка“ может ставить на контроль абонентов, использующих средства анонимизации, анализировать протоколы игровых платформ для выявления текстовых и голосовых пакетов, анализировать перемещения абонентов мобильной сети, фильтровать данные с использованием DPI, в том числе по ключевым словам, и даже формировать поведенческие модели и социальные связи» (The Insider).
В июле того же года произошел взлом IT-компании «Сайтэк», которой руководит Денис Краюшкин — сын научного консультанта подведомственного ФСБ НИИ «Квант» Вячеслава Краюшкина. «Сайтек» выполняла заказы НИИ «Квант» и войсковой части № 71 330, которую опрошенные Би-би-си эксперты связывают с 16-м управлением ФСБ (радиоэлектронная разведка). По заказу «Кванта» «Сайтек» разработала проект «Наутилус-С», направленный на деанонимизацию пользователей браузера Tor:
«Программный комплекс <…> включает в себя „выходной“ узел Tor — сервер, через который отправляются запросы на сайты. Обычно такие узлы поддерживаются энтузиастами на добровольной основе. Но не в случае с „Сайтэком“: зная, в какой момент конкретный пользователь отправляет запросы через Tor (например, от интернет-провайдера), операторы программы могли при определенном везении сопоставить их по времени с заходами на сайты через подконтрольный узел. В „Сайтэке“ также планировали подменять трафик пользователям, попавшим в специально созданный узел. Сайты для таких пользователей могли выглядеть иначе, чем на самом деле. Аналогичную схему хакерских атак на пользователей Tor обнаружили в 2014 году эксперты Университета Карлстада в Швеции. Они описали 19 связанных между собой враждебных „выходных“ узлов Tor, 18 из которых управлялись напрямую из России. На то, что эти узлы связаны, указывала также общая для них версия браузера Tor — 0.2.2.37. Такая же версия указана в „руководстве оператора“ „Наутилус-С“» (Би-Би-Си).
По заказу войсковой части № 71 330 «Сайтек» разрабатывала сразу несколько проектов по мониторингу интернета и личных данных. Так, в 2013—2014 годах был проведен проект «Наставник», в рамках которого должны были осуществляться взлом и мониторинг электронных почт интересующих заказчика респондентов. В этот же период разрабатывался проект «Надежда», накапливающий и визуализирующий информацию о связи российского интернета с глобальной сетью. В 2015 году «Сайтек» пыталась создать программу, позволяющую анонимно искать и собирать информационные материалы в интернете. В марте 2020 года хакерская группировка Digital Revolution опубликовала техническую документацию на «кибероружие» — программы «Фронтон», которую по заказу Центра информационной безопасности ФСБ разрабатывали ЗАО «ИнформИнвестГрупп» и 0day technologies. Если верить документам, задача программы состоит в том, чтобы взламывать «умные» устройства (например, голосовых помощников и системы «умный дом»), объединять их в сеть и использовать их для DDoS-атак на крупные сервисы и государственные сайты, а также для заражения новых устройств. Особый интерес для ФСБ представляли домашние камеры видеонаблюдения: как передавала Би-би-си, взломанные видеокамеры должны были составлять 95% созданного в результате атак ботнета.
«Мощная атака нескольких сотен тысяч машин способна сделать сайты социальных сетей, файлообменников недоступными в течение нескольких часов. Атака на национальные DNS-сервера может сделать недоступным интернет в течение нескольких часов в небольшой стране», — цитирует опубликованные документы Би-би-си.
 

Сеть ФСБ

Известно также, что сотрудники ФСБ вместе с другими силовиками активно редактируют Википедию. Например, с одного из IP-адресов ФСБ были внесены правки в статьи про Пограничную службу ФСБ, Академию ФСБ, руководителя Службы по защите конституционного строя и борьбе с терроризмом Алексея Седова, а также статьи под названиями «сметана»  , «ведьма», «адский вампир», а также «иудаизм и гомосексуальность» (в последней предполагаемый сотрудник ФСБ 41 раз изменил слова «гомосексуал» и «гей» на «гомосексуалист»).

17 июля 2014 года с IP-адреса 213.24.76.22 была отредактирована статья в Википедии, посвященная Поляковой Ольге Юрьевне. Из статьи было удалено упоминание о том, что отец Поляковой был послом СССР на Кубе.

С данного IP-адреса были также внесены некоторые другие интересные правки.

В статье «Беляков, Сергей Юрьевич» графа образования была исправлена с «Академия Федеральной службы безопасности России» на «Академия Академий».

Ознакомиться с полным списком правок с данного IP можно здесь.

Кроме того, сотрудников ФСБ уличали в скачивании пиратского контента: с IP-адреса Центра специальной связи и информации ФСБ скачивали фильмы «Тайная жизнь домашних животных», «Мир юрского периода», «Шпионский мост», «Иллюзия обмана-2», «Бэтмен против Супермена» и другие.

8 марта 2020 года с одного из адресов подсети ФСБ было осуществлено скачивание mp4-файла из p2p-сети. Данные об этом получены с помощью API сервиса iknowwhatyoudownload.com, который осуществляет сканирование сети DHT. Видеофайл оказался записью порнографического содержания, созданной порностудией в Японии. Данные о скачивании удалось подтвердить с помощью администрации сервиса btdig.com.

Интерес также представляет и структура компьютерной сети ФСБ. Краткая структура показана на схеме ниже.

Основной сетевой блок сети ФСБ — это 213.24.76.0/23. Действительно, ответ сервиса whois при попытке получить информацию об этой подсети выглядит следующим образом.

 

Одним из контактных лиц указан Дмитрий Правиков, получивший в 2017 году условный срок за злоупотребление полномочиями.

Для начала исследуем все DNS-записи домена fsb.ru.

В NS-записях видно два собственных DNS-сервера (ns1.fsb.ru и ns2.fsb.ru), а в MX-записях — два почтовых сервера (mail2.fsb.ru и mail10.fsb.ru). Теперь попытаемся определить все релевантные имена хостов.

Видно, что сетевые ресурсы ФСБ относятся как минимум к двум сетевым блокам: 213.24.76.0/24, и 95.173.148.0/24. С помощью сервиса whois определяем подсети целиком — это 213.24.76.0/23 (Federal Security Service of Russian Federation, собственно, подсеть ФСБ), и 95.173.144.0/20 (RUSSIAN STATE INTERNET NETWORK, Federal Guard Service of the Russian Federation).

RTC может означать «Real Time Clock», то есть часы реального времени.

Действительно, у ФСБ есть свой сервер реального времени, с которым может синхронизироваться любой желающий.

Далее с помощью amass получаем более полный список поддоменов (сразу поставим в соответствие ip-адреса).

  • ps.fsb.ru 213.24.76.20
  • mail10.fsb.ru 213.24.76.27
  • www.fsb.ru 213.24.76.23
  • ns1.fsb.ru 213.24.76.2
  • clsz.fsb.ru 213.24.76.20
  • ibo.fsb.ru 213.24.76.20
  • i.fsb.ru 213.24.76.12
  • amur.fsb.ru 213.24.76.14
  • tz.fsb.ru 213.24.76.14
  • penza.fsb.ru 213.24.76.14
  • karelia.fsb.ru 213.24.76.14
  • localhost.fsb.ru 127.0.0.1
  • cooi.fsb.ru 192.168.32.17
  • mail1.fsb.ru 213.24.76.26
  • ooi.fsb.ru 213.24.76.8
  • rostov-don.fsb.ru 213.24.76.14
  • volgograd.fsb.ru 213.24.76.14
  • uioord.fsb.ru 213.24.76.12
  • mordoviya.fsb.ru 213.24.76.14
  • tob.fsb.ru 213.24.76.11
  • ppkvk.fsb.ru 213.24.76.20
  • wbr.fsb.ru 213.24.76.21
  • nf.fsb.ru 213.24.76.26
  • mpi.fsb.ru 213.24.76.20
  • sverdlovsk.fsb.ru 213.24.76.14
  • yaroslavl.fsb.ru 213.24.76.14
  • ispb.fsb.ru 213.24.76.20
  • tst.fsb.ru 213.24.76.3
  • i-nsk.fsb.ru 213.24.76.20
  • kpi.fsb.ru 213.24.76.20
  • alfa.fsb.ru 213.24.76.2
  • rtc-fsb.fsb.ru 213.24.76.1
  • khpi.fsb.ru 213.24.76.20
  • kgnpi.fsb.ru 213.24.76.20
  • epsilon.fsb.ru 213.24.76.6
  • minit.fsb.ru 213.24.76.20
  • stats.fsb.ru 213.24.76.15
  • inn.fsb.ru 213.24.76.20
  • search.fsb.ru 213.24.76.24
  • mail2.fsb.ru 95.173.148.67
  • ns2.fsb.ru 95.173.148.66
  • ns.fsb.ru 95.173.148.66
  • academy.fsb.ru 95.173.147.194
  • gpi.fsb.ru 213.24.76.20
  • www.yaroslavl.fsb.ru 213.24.76.14
  • www.ps.fsb.ru 213.24.76.20
  • www.mordoviya.fsb.ru 213.24.76.14
  • www.volgograd.fsb.ru 213.24.76.14
  • npkc1.ps.fsb.ru 95.173.148.69
  • www.uioord.fsb.ru 213.24.76.12
  • www.novosibirsk.fsb.ru 213.24.76.14
  • npkc.ps.fsb.ru 95.173.148.70
  • www.amur.fsb.ru 213.24.76.14
  • npkcs.ps.fsb.ru 95.173.148.70
  • www.sverdlovsk.fsb.ru 213.24.76.14
  • www.karelia.fsb.ru 213.24.76.14
  • www.rostov-don.fsb.ru 213.24.76.14
  • www.penza.fsb.ru 213.24.76.14
  • post.academy.fsb.ru 95.173.147.195
  • ns2.academy.fsb.ru 95.173.147.199
  • ns1.academy.fsb.ru 95.173.147.196
  • www.academy.fsb.ru 95.173.147.194
  • www2.academy.fsb.ru 95.173.147.197
  • afclient.cooi.fsb.ru 213.24.76.30
  • zakon.cooi.fsb.ru 213.24.76.30
  • afsearch.cooi.fsb.ru 213.24.76.30
  • tyumen.fsb.ru 217.195.210.165
  • www.tyumen.fsb.ru 217.195.210.165

Оказывается, собственные DNS-серверы есть не только у домена fsb.ru, но и у academy.fsb.ru. Стоит отметить, что серверы Академии ФСБ находятся вне основной сети 213.24.76.0/23. Помимо перечисленных выше доменных имен, был также выявлен список кириллических доменов.

  • фсб.рф
  • фсб-россии.рф
  • пограничнаяслужба.рф
  • федеральнаяслужбабезопасности.рф
  • руфсб.рф
  • погранслужба.рф
  • фсброссии.рф

На рисунке выше схематично отражена упрощенная структура сети ФСБ. Среди доменных имен можно заметить несколько интересных. Так, например, существует доменное имя search.fsb.ru с открытым HTTP-портом (80). При попытке обратиться к нему через браузер, сервер отдает ошибку 404 (ресурс не найден). Однако, с помощью простого поиска в Google можно обнаружить, что сервер позволяет выполнять поиск по сайту www.fsb.ru. Для этого необходимо обратиться к скрипту fsb. htm с указанием поискового запроса, например, http://search.fsb.ru/fsb.htm?query=123. В HTML-коде присутствует ссылка на http://www.ashmanov.com/search/1.0/, а это говорит о том, что создатели сайта используют сервис, предоставляемый компанией «Ашманов и партнеры». Из отчета HTML-валидатора следует, что система поиска, по всей видимости, была разработана достаточно давно.

Можно также посмотреть на домен wbr.fsb.ru. При попытке зайти на http://wbr.fsb.ru пользователю предлагается скачать некое приложение для генерации случайного числа.

После дизассемблирования и анализа шестнадцатеричного кода приложения, была обнаружена строка следующего содержания: «Программный продукт для организации защищенного канала связи с веб-порталом. Разработчик: ООО «С-Терра СиЭсПи»». Возможно, эта утилита создана для безопасной связи с сайтом. Можно найти подтверждение, что компания «С-Терра» действительно занимается разработкой продуктов информационной безопасности. Судя по найденным полям GOST_28 14789_CRYPTOPRO_A и GOST_R3411_2012512, приложение использует устаревший криптографический алгоритм, описанный ГОСТ 28 147–89, при этом используемая хеш-функция описана ГОСТ Р 34.11−2012. Также, судя по тому, что в бинарном файле найдены строки вида «NIST/SECG curve over a 521 bit prime field», можно предположить, что приложение также каким-то образом использует алгоритмы шифрования на основе эллиптических кривых. Здесь NIST — это Национальный институт стандартов и технологий США. Возможно, эти алгоритмы существуют лишь как часть библиотеки алгоритмов, использованной при разработке конкретного приложения. Наконец, в бинарном файле присутствуют следующие поля данных:

OBMEN_SERVER_IP=213.24.76.29

RND_SEED=BC7807F2E3D5B5071222CD3F901D4C2592C4F8F94FC2E8274C165A331CB292AB

pubkey=620 000 0232E00004D41473100020000301306072A85030202230106082A850307010102021B5DC48E367B66921DAFE8B2CB6B6374FA869D191FAB647B48ADF9824AE0AB1E9295451B472D291A9E98C61D43B2F0CF8CB63733BA33C4B737DB88265A54D8AD

!RECREATE_AUTH_KEY = 86 400

Таким образом, приложение соединяется с сервером по адресу 213.24.76.29 (адрес оригинального wbr.fsb.ru — 213.24.76.21), на котором открыты порты 80 (HTTP) и 443 (HTTPS), но который, однако, отклоняет попытки соединения. Реверс-инжиниринг показал, что приложение обменивается данными с сервисами 213.24.76.29:80/req и 213.24.76.29:80/encr, осуществляя обмен ключами.

Как оказалось, доменное имя cooi.fsb.ru ссылается на адрес 192.168.32.17, который находится внутри локальной сети (пространство адресов 192.168.0.0/16 выделено для частных сетей, и недоступно извне). Однако, существуют домены верхнего уровня afsearch.cooi.fsb.ru, afclient.cooi.fsb.ru, и zakon.cooi.fsb.ru, которые ссылаются на 213.24.76.30, на котором работает веб-сервер Microsoft IIS версии 7.0 (текущая стабильная версия — 10.0). С помощью поиска в Google были найдены форма входа, а также справочное руководство по работе с поисковой системой «ИПС Артефакт».