Владимира Якунина уволили не с того IP-адреса

Материал из CompromatWiki
Перейти к: навигация, поиск


Оригинал этого материала
© "Коммерсант", origindate::20.06.2013, Фото: "Коммерсант"

Владимира Якунина уволили не с того IP-адреса

Главу РЖД считали отправленным в отставку 30 минут

Илья Барабанов, Евгений Тимошинов, Сергей Горяшко, Владислав Новый

Compromat.Ru

Владимир Якунин

Вчера вечером на ленты информационных агентств поступило сообщение о том, что глава РАО РЖД Владимир Якунин отправлен в отставку и на его место назначен первый вице-президент РЖД Александр Мишарин. Через полчаса эта новость была опровергнута. Пресс-секретарь президента Дмитрий Песков назвал рассылку с новостью об увольнении господина Якунина "актом киберпреступности". Аппарат Белого дома проверяет, не был ли взломан e-mail пресс-службы правительства.

Сообщение об увольнении президента ОАО РЖД Владимира Якунина и назначении на этот пост первого вице-президента РЖД Александра Мишарина синхронно появилось на новостных лентах информационных агентств в 20:07 по московскому времени. Об отставке одновременно сообщили агентства "Прайм", "РИА Новости" и "Интерфакс". Как сообщили "Ъ" сотрудники двух агентств, им пришла стандартная рассылка от пресс-службы Белого дома, после чего новость и появилась на лентах новостей.

Через 30 минут новость о рассылке правительством такого сообщения была опровергнута. Сначала в 20:36 "Прайм", а за ними и "РИА Новости" в 20:37 сообщили, что правительство не подтверждает факт отставки господина Якунина. А в 21:11 помощник президента РЖД Александр Пирков заявил "Интерфаксу": "Могу официально сказать, что Владимир Якунин не подавал в отставку с поста президента РЖД".

Объект киберпреступления

"РИА Новости" сообщило, что, по данным их IT-службы, сообщение об отставке главы РЖД пришло с IP-адреса, не совпадающего с адресом пресс-службы правительства. Источник "Ъ" в правительстве говорит, что была даже внутренняя рассылка документа, его получили сотрудники аппарата. "Но, честно говоря, он сразу вызвал подозрение. Если снять главу ОАО РЖД и можно в одночасье, то сразу назначить нового, без каких-либо консультаций,— это как минимум странно",— отметил источник "Ъ".

Собеседники "Ъ" в аппарате Белого дома утверждают, что сообщение об увольнении господина Якунина пресс-служба правительства не рассылала даже по ошибке. "Сейчас всех подняли на уши, специалисты проверяют, не было ли взлома",— сообщил "Ъ" источник в Белом доме. "Распространенная информация об отставке Якунина, оформленная как якобы официальное сообщение пресс-службы правительства, содержала в себе грамматические ошибки и была отправлена с электронного адреса, подделанного под официальную рассылку пресс-службы правительства",— заявила, в свою очередь, пресс-секретарь правительства Наталья Тимакова, находящаяся сейчас на Петербургском экономическом форуме. Госпожа Тимакова сообщила "Ъ", что к расследованию инцидента подключились эксперты ФСБ и ФСО. Также она уточнила, что увольнение главы РЖД не входит в компетенцию премьер-министра — это можно сделать только президентским указом. В свою очередь, пресс-секретарь президента Дмитрий Песков заявил "Ъ": "Это акт киберпреступности. Мы призываем СМИ перепроверять информацию по IP-адресам и в случае появления каких-то подозрений уточнять по телефонам у пресс-службы Кремля".

"Это провокация такого масштаба, что ей должны заниматься соответствующие органы,— заявил сам Владимир Якунин Reuters.— Они этим и занимаются". "Это не проявление киберпреступности, а проявление халатности и незнания основ электронной почты,— считает гендиректор Group-IB Илья Сачков.— Сейчас, если письмо не содержит электронную цифровую подпись, оно фактически не значит ничего. Подделать технический заголовок письма — задача на пять минут для студента первого курса любого технического университета. С адреса putin@kremlin.ru можно отправить письмо, но это не означает, что его отправил Владимир Путин". По его словам, рассылка поддельных писем электронной почты "встречается повсеместно". "Это используется в банковских мошенничествах, когда от имени банка отправляется какое-то письмо. Это используется в социальной инженерии, когда от имени руководителя приходит просьба выслать на внешний адрес электронной почты какой-то отчет. Именно e-mail, то есть текстовое обозначение электронного ящика, может быть каким угодно,— говорит эксперт.— Но если любой технический специалист посмотрит детали этого письма, то он увидит, что письмо отправлено с совершенно другого сервера и адрес — просто текстовое обозначение. Без цифровой подписи — это криптографический алгоритм, который позволяет удостовериться, что адресат, который указан в поле "от", и то, что письмо от первого до последнего символа не изменено,— никогда в жизни не стоит верить тому, что написано".

Почему никто не удивился

Трехлетний контракт Владимира Якунина действует до июня 2014 года. Именно тогда и ждало его отставки подавляющее большинство участников рынка. "А кто за олимпийские объекты будет отвечать? Считалось, что вот пройдут Игры, тогда и можно уходить Владимиру Ивановичу на заслуженный отдых",— говорит совладелец одного из крупнейших железнодорожных операторов. "Против Якунина кампания, это всем на рынке понятно. Вопрос теперь лишь, сумеет он выстоять или нет",— отметил один из источников "Ъ". "Уже год ходили слухи, что его уволят",— заявил "Ъ" политолог Владимир Прибыловский.

Вброс релиза произошел как раз в тот момент, когда многие участники отрасли ехали на Петербургский экономический форум. Сегодня там у ОАО РЖД запланирован целый ряд мероприятий, в том числе подписание соглашения о создании Объединенной транспортно-логистической компании с Белоруссией и Казахстаном. "Это было бы очень некрасиво по отношению к Владимиру Ивановичу — отправить его в отставку вот так накануне форума и без всякого повода. Таких руководителей одним росчерком не снимают. Тем более решение по Якунину наверняка должно быть при участии Владимира Путина",— говорит один из источников в отрасли.

В то же время комментарии, которые появились в течение 20 минут между сообщением об отставке и сообщением о том, что сообщения не было, свидетельствуют о том, что уход господина Якунина выглядит вполне вероятным. Участники рынка сразу оказались готовы официально комментировать причины отставки главы ОАО РЖД, хотя потом и попросили ничего не писать от их имени. В исходных комментариях они связали отставку с тем, что топ-менеджмент ОАО РЖД по многим вопросам расходится с членами правительства во взглядах на развитие отрасли, а сам Владимир Якунин занимает слишком консервативную позицию. "Он против дальнейшей приватизации "Трансконтейнера", категорически против приватизации ОАО РЖД, против либерализации локомотивной тяги. Компромиссы между правительством, ОАО РЖД и участниками рынка ищутся долго, как, например, с поправками к закону о железнодорожном транспорте. Отставка — это как попытка разрубить, а не распутать этот узел",— говорили операторы.

О реакции Александра Мишарина на его возможное назначение сведения поступали противоречивые. Один из источников рассказал "Ъ", что дозвонился до топ-менеджера поздравить с назначением и "тот отнекиваться сразу не стал, но попросил подождать, потому что сам еще не разобрался в ситуации". Официально помощник господина Мишарина заявил, что комментировать пока нечего. Сайт "Уралполит.ру" сообщил даже, что успел дозвониться Александру Мишарину. "Да, можете меня поздравить. Извините, я сейчас еду в поезде, связь может оборваться",— якобы заявил господин Мишарин.

["Известия", origindate::20.06.2013, "Открытое правительство": Минимальная осторожность предписывала бы ему ограничиться лишь последней фразой, а от первой — доколе он не получил безусловно верной информации о новом назначении — воздержаться. Либо А. С. Мишарин отличается большой легковерностью, либо действительно причина не в подложном IP, откуда прислали липу, а в том, что дело было уже на мази, он был в курсе, что назначение одобрено одним высокопоставленным лицом, но затем в кадровый процесс вмешалось второе, еще более высокоставленное лицо, и покуда А. С. Мишарин продолжал ехать в поезде, перестановку отыграли назад. После чего спешно придумали историю с идеологической диверсией, подложным IP, доверчивым правительственным информагентством etc. — чтобы выгородить первое высокопоставленное лицо, предпринявшее недостаточно эшелонированную кадровую операцию, закончившуюся полным провалом. — Врезка К.ру]

Слухи о возможной отставке господина Якунина ходят уже давно, при этом именно кандидатура Александра Мишарина называется как одна из наиболее вероятных. Он давно в отрасли, был замминистра путей сообщения, губернатором Свердловской области. В 2012 году пришел в ОАО РЖД на должность первого вице-президента, специально созданную под него, и стал курировать проект по развитию высокоскоростного движения в России.


***

От фейка до отставки один знак

Оригинал этого материала
© РИА "Новости", origindate::20.06.2013, Домен для фальшивки про Якунина создан в воскресенье, заявили эксперты, Иллюстрации: via РИА "Новости"

[..] Анализ заголовков письма, проведенный экспертами Digit.ru, показал, что истинным отправителем подделки был домен aprf-gov.ru. Он отличается от настоящего всего на 1 символ — вместо дефиса у настоящего домена пресс-службы правительства стоит точка — aprf.gov.ru. Домен aprf-gov.ru был зарегистрирован 16 июня 2013 года через регистратора доменов R01.

"Проведенный анализ показал, что подстановка служебной информации о прохождении данного почтового сообщения через якобы официальные почтовые сервера аппарата правительства исполнена достаточно профессионально, с полной имитацией исходных данных и по всем правилам социального инжиниринга", — сообщил представитель IT-службы РИА Новости.

Точное копирование стиля, ухищрения по подделке исходного адреса, схожий домен — все это говорит о долгой подготовке акции, участии в ней профессиональных хакеров.

По словам главного редактора РИА Новости Светланы Миронюк, агентство уже обратилось в 8-й Центр ФСБ, осуществляющий киберзащиту государственных интернет-ресурсов, с просьбой установить источник фальшивого сообщения. По ее словам, в ФСБ уже передана вся имеющаяся информация, включая логи сообщения. [...]

Compromat.Ru

Примеры писем

Compromat.Ru

Скриншот письма


***

Оригинал этого материала
© "Коммерсант", origindate::20.06.2013

Как не подтверждались "официальные сообщения"

История вопроса

13 апреля 1998 года латвийские СМИ, в том числе телеканалы, сообщили о роспуске парламента, получив соответствующее заявление по факсу "на официальном бланке пресс-службы президента". Провокацию организовал местный журналист, который "хотел проверить реакцию коллег".

29 августа 2008 года Bloomberg по ошибке опубликовал некролог на основателя компании Apple Стива Джобса. Агентство быстро исправило ошибку и извинилось, но ряд СМИ успели перепечатать публикацию.

16 августа 2012 года неизвестные получили доступ к сайту агентства Reuters и написали в блоге одного из журналистов о смерти министра иностранных дел Саудовской Аравии принца Фейсала бен Фахда ас-Сауда.

14 ноября 2012 года СМИ Пермского края получили сообщение от имени пресс-службы полпреда президента в ПФО Михаила Бабича о его грядущей поездке в Пермь для участия в антикоррупционном совещании. В сообщении перечислялись якобы факты коррупции и говорилось о возможных отставках чиновников. Через два часа "пресс-релиз" был объявлен провокацией.

18 февраля 2013 года хакеры взломали сайт Министерства информации Малайзии и разместили на нем ложное сообщение об отставке премьер-министра страны Наджиба Разака. До того как министерство выступило с опровержением, "новость" растиражировали СМИ и пользователи соцсетей.

10 апреля 2013 года в Twitter мэрии японского города Иокогама появилось сообщение о запуске ракеты из КНДР. Оно провисело 20 минут и успело вызвать панику среди местных жителей. Выяснилось, что подготовленное на случай ЧП стандартное сообщение было опубликовано случайно.

23 апреля 2013 года хакеры взломали аккаунт агентства Associated Press в Twitter и разместили там сообщение о теракте в Вашингтоне и ранении президента Барака Обамы. Белый дом оперативно опроверг информацию, но она успела попасть в новостные ленты по всему миру и вызвала падение индекса Dow Jones. Ответственность за акцию взяла на себя "Сирийская электронная армия".