Хакеры «уволили» главу РЖД

Российские киберпреступники «отправили» в отставку главу ОАО «Российские железные дороги» Владимира Якунина. Ряд средств массовой информации, в частности ведущие федеральные информационные агентства, получили с электронного почтового ящика пресс-службы правительства РФ сообщения об отставке главы РЖД. Эта информация оказалась ложной.

Вечером 19 июня неизвестные разослали от имени пресс-службы кабинета министров сообщение об отставке Владимира Якунина. Из текста следовало, что вместо него на должность главы РЖД назначен Александр Мишарин. Информагентства поспешили опубликовать новость, однако следом начались опровержения, поскольку выяснилось, что никакого увольнения не было.

С опровержением отставки Владимира Якунина выступили пресс-секретарь президента России Дмитрий Песков, пресс-секретарь премьер-министра Наталья Тимакова, а также пресс-служба РЖД. Тимакова сообщила также, что ФСО и ФСБ уже начали проверку в связи с рассылкой сообщения.

Чуть позже РИА «Новости» сообщило, что фальшивое письмо пришло с IP-адреса, не совпадающего с адресом пресс-службы правительства. «Проведенный анализ показал, что подстановка служебной информации о прохождении данного почтового сообщения через якобы официальные почтовые сервера аппарата правительства исполнена достаточно профессионально, с полной имитацией исходных данных и по всем правилам социального инжиниринга», – сообщил представитель IT-службы информационного агентства.

Сам Владимир Якунин назвал сообщения о своей отставке «спланированной акцией по явной компрометации». В его блоге также появилось сообщение, в котором глава РЖД благодарит всех, кто его поддержал после появления информации об увольнении. «Никогда в жизни я не получал такого количества звонков и СМС со словами сначала симпатии и поддержки, а потом возмущения наглой провокацией по поводу якобы моей отставки», – отметил Якунин.

Глава РЖД также рассказал в беседе с журналистом Forbes, что новость о мнимой отставке застала его на ужине, который президент Владимир Путин проводил с бизнесменами. По его словам, глава государства отнесся к этому с юмором и сказал: «Какое счастье тебе привалило».

ИТАР-ТАСС пишет, что IP-адрес, с которого было отправлено сообщение, принадлежит одному из популярных российских хостингов, а провайдер, обслуживающий этот айпишник, принадлежит ЗАО «Первый» и зарегистрирован в Иркутске. Наталья Тимакова отметила, что почтовые ящики правительства никто не взламывал.

Эксперты по информационной безопасности отмечают, что подобные рассылки – дело относительно нехитрое в техническом плане. «Явление пока не распространено именно для вброса ложной информации в СМИ, – комментирует генеральный директор компании «Доктор Веб» Борис Шаров. – Но оно не представляет никакой технической сложности. Фактически этим методом пользуются ежедневно тысячи спамеров и мошенников, использующих фишинг для хищения конфиденциальной информации, а также денежных средств с банковских счетов».

Представитель антивирусной компании не берется гадать, кто и с какой целью использовал этот метод в данной ситуации. «Возможных вариантов можно придумать очень много, но если не изучать детально, чем сейчас как раз занимаются правоохранительные органы, ничего конкретного сказать нельзя. Хороший урок для доверчивых СМИ, которые не потрудились проверить, действительно ли пришедшая к ним горячая информация отправлена оттуда, откуда им показалось», – отметил он.

«Для совершения атаки хакеры купили услугу хостинга у российского провайдера FirstDVS, – рассказывает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. – Кстати, именно отсюда и растут ноги у ложных заявлений о том, что письмо было отправлено из Иркутска. В Иркутске находится всего лишь юридический адрес ЗАО «Первый». Сами сервера клиентов находятся в различных дата-центрах в Москве. Купить хостинг стоит 149 рублей в месяц. Сделать это можно полностью анонимно, оплатив хостинг при помощи терминала платежей в подземном переходе, электронными деньгами или через SMS».

По словам Гостева, хакеры установили на сервер почтовую программу и с ее помощью, вручную подменив адрес отправителя на адрес администрации правительства, разослали письмо по информационным агентствам. «Никакой сложности в получении этих адресов тоже нет, они элементарно находятся через поисковые системы», – добавил он.

Обычным пользователям обнаружить, что письмо поддельное, достаточно сложно, отмечают эксперты. Фальсификации подобного уровня уже случались. Одной из первых громких подобных историй была рассылка ложного пресс-релиза Сургутнефтегаза в 2007 году об аресте генерального директора.