В ночь на 29 апреля были взломаны Telegram-мессенджеры двух оппозиционных активистов: главы отдела расследований Фонда борьбы с коррупцией Георгия Албурова и директора некоммерческого центра "Образ будущего" Олега Козловского. Оппозиционеры не сомневаются, что взлом был осуществлен при участии мобильного оператора и под давлением властей. "Мы утверждаем, что за атакой на Албурова и Козловского стоят российские спецслужбы", – заявляют пострадавшие от кибератаки на специально созданном сайте.
Причина такой уверенности заключается в том, что получить доступ к личной переписке активистов злоумышленникам удалось с помощью перехвата кодов активации, отправленных службой Telegram на мобильные номера МТС Албурова и Козловского.
Олег Козловский рассказал Радио Свобода о произошедшем и о том, почему версия участия во взломе сотрудников МТС кажется ему наиболее правдоподобной:
Компания либо сознательно пошла на соучастие во взломе наших аккаунтов, либо это сделали какие-то ее смелые сотрудники
– О взломе мы узнали узнали утром, когда получили уведомление от Telegram о том, что подключено новое устройство. Особенность этого мессенджера в том, что он такое уведомление присылает на все устройства, кроме вновь подключенного. Из-за этого злоумышленники не смогли замести следы. Мы стали разбираться с ситуацией, связались с Telegram, и те сообщили, что действительно было такое подключение, и SMS с кодом авторизации была отправлена на наши номера, но доставлена не была, поскольку пришел ответ от оператора, что у абонентов недоступен сервис приема SMS-сообщений. Я после этого связался с МТС, где мне подтвердили, что услуга приема текстовых сообщений отключалась в 2:25 ночи, за 15 минут до того, как начался взлом, и была обратно включена около 5 утра, видимо, когда все операции были закончены. Сотрудник экспертного управления МТС сказал мне, что это производилось отделом технологической безопасности компании. Мы стали выяснять новые подробности, мы опубликовали эту информацию в надежде, что МТС как-то отреагирует, начнет разбираться, свяжется с нами, но вместо этого компания МТС стала все отрицать.
Мы стали разбираться дальше, собирать дополнительную информацию, и, к сожалению, все наши опасения подтвердились. Мы выяснили, что МТС действительно отключала эти услуги, причем не только прием SMS, но и мобильный интернет, и они отключали уведомления о подключенных и отключенных услугах. То есть они сделали все для того, чтобы мы не могли ни узнать о взломе, ни как-то его предотвратить. И в дальнейшем МТС так и не дала никакого внятного ответа на те обвинения, которые нам пришлось озвучить в их адрес, и на те доказательства, которые мы опубликовали. Мы остаемся в уверенности, что компания либо сознательно пошла на соучастие во взломе наших аккаунтов, либо это сделали какие-то ее смелые сотрудники, но компания покрывает их деятельность и фактически становится соучастником этого, по сути, преступления.
– Рассматривали ли вы альтернативные версии? Можно ли было взломать ваши мессенджеры без участия оператора?
– После того как мы опубликовали информацию об этом взломе, было высказано довольно много разных версий, но все они либо противоречат фактам, либо не полностью их объясняют, либо просто являются избыточными. Например, была версия, что на самом деле текстовые сообщения МТС не получало, что их перехватили на этапе агрегатора, это такой посредник между Telegram и сотовым оператором. Но мы теперь знаем, и документально это у нас подтверждено, что МТС отключил текстовые сообщения, так что эта версия отпадает. Какой смысл вам взламывать еще и агрегатор, если у вас уже есть доступ к МТС? Понятно, что заниматься тем, что ограничивать, включать и выключать доступ к услугам пользователей МТС фактически может только сама компания МТС. Более того, поскольку сама эта компания, вернее, ее представители признали, что это дело рук их отдела безопасности, можно сделать очевидный вывод, что это не какие-то посторонние люди, которые смогли влезть в систему МТС, а дело рук их собственных сотрудников. Более того, мы видим, что реакция компании на произошедшее очень флегматичная, очень спокойная, то есть они сами с нами не связывались, не пытались у нас какие-то подробности узнать, они сами не считают, что эта ситуация является какой-то брешью в их безопасности. Ни одна из альтернативных версий не объясняет ни тех документов, которые мы опубликовали, ни той реакции, которую мы встретили со стороны оператора.
– Пока что тот факт, что отключение услуг было сделано самим оператором, вам подтвердил только один человек?
– Да. Это был сотрудник экспертного управления, запись разговора выложена на нашем сайте. Cпустя несколько часов после того, как мы разместили запись, компания МТС заняла официальную позицию, что никаких целенаправленных, по их выражению, действий они не производили. Как это интерпретировать, мне не очень понятно. Означает ли это, что они признают действия, но считают, что действия были какие-то бесцельные, или что они отрицают вообще какое-либо отключение услуг… Да, на данный момент у нас нет официального подтверждения или опровержения от МТС о том, что в этом участвовал их отдел безопасности. Мы подали несколько письменных заявлений, в которых просили именно эту информацию предоставить, но пока на них МТС никак не отреагировала. Но мы все еще надеемся на то, что компания МТС возьмет на себя ответственность за действия своих сотрудников, признает их и попытается как-то эту ситуацию исправить. В противном случае мы готовы и собираемся с ней судиться.
– У вас есть объяснение, почему именно ваши мессенджеры, ваш и Георгия Албурова, были взломаны?
Возможно, это был некий тест: могут ли они взломать Telegram таким образом, чтобы жертвы взлома ничего не узнали
– На самом деле, было еще несколько человек, например, Кира Ярмыш, пресс-секретарь Фонда борьбы с коррупцией, которая позже обнаружила, что у нее в то же самое время происходило отключение этих же услуг. Но Ярмыш использовала двухэтапную авторизацию, и видимо, она оказалась взломщикам не по зубам. Мы двухэтапную авторизацию, увы, не использовали. Почему кого-то заинтересовала моя скромная персона, я не очень понимаю. Я не являюсь сотрудником ФБК, не работаю с ними в каких-то совместных проектах, хотя знаком, конечно, но не более того. Возможно, у органов власти или органов безопасности есть какие-то конспирологические теории относительно моей персоны, иногда мне что-то доводилось читать на этот счет. Но если честно, я не очень понимаю, чем вызван именно такой выбор жертв этого взлома. Возможно, но это опять же догадка, это был некий тест новой технологии, они хотели посмотреть, могут ли они взломать Telegram таким образом, чтобы жертвы взлома ничего не узнали. Может быть, поэтому они выбрали наугад несколько человек, которые могут быть интересны, но которые не настолько известны и опасны в пиаровском плане, чтобы создать большие проблемы.
– Ожидаете ли вы, что ваша переписка может теперь где-то всплыть? И представляет ли это для вас какую-то опасность?
– Я вполне допускаю, что она может всплыть. Но когда я о чем-то переписываюсь или общаюсь с людьми, связанными с политикой, я исхожу из того, что все, что я пишу и говорю, может рано или поздно где-то всплыть. Поэтому я не думаю, что мне грозят какие-то серьезные проблемы. Ничего предосудительного или за что мне было бы стыдно, в этой переписке, я думаю, не будет. Если, конечно, ее кто-то не захочет отредактировать.
– Вы вместе с Георгием Албуровым открыли по мотивам произошедшего специальный сайт. У него много посетителей?
– Георгий вчера вечером опубликовал статистику, сайт на тот момент посетили около 50 тысяч человек. Где-то тысяч 6 из них нажали на кнопку перехода на другого оператора. Это, естественно, не означает, что все эти люди моментально совершили смену оператора, но точно так же и те, кто не нажал на эту кнопку, могут рано или поздно перейти. Для нас главное на данный момент, что эта информация распространяется, больше людей узнают и о поведении оператора МТС, и о том, как защитить свои данные, свои аккаунты от взлома.
– Ваш сайт выглядит как целенаправленная атака конкретно против оператора МТС. Из-за этого некоторые даже начинают выдвигать теории, что это какой-то коммерческий заказ против оператора. Вы считаете, что другие операторы чем-то лучше, что они в подобной ситуации не могут оказаться? В чем цель создания этого сайта в конечном итоге?
– Цель и этого сайта, и всей кампании в том, чтобы создать стимулы и одновременно некую цену, которую операторы мобильной связи или других видов связи должны будут заплатить за такое поведение по отношению к своим клиентам. Я не утверждаю, что остальные операторы прекрасные, честные и никогда не будут сотрудничать, передавать данные своих пользователей неизвестным людям, но на данный момент у нас есть факт, связанный с поведением компании МТС, факт доказанный, по сути, не оспариваемый никем, кроме самой компании. Мы хотим сделать так, чтобы компания за это поведение понесла определенные финансовые убытки, репутационные издержки, потеряла бы часть своих клиентов, потеряла бы уважение экспертов и так далее. И надеюсь, что проиграла бы в будущем какие-то суды.
Может быть, если теперь к ним придет очередной человек с корочкой, они лишний раз подумают
В общем, мы хотим осложнить ей жизнь, потому что как она себя повела, мы не хотим, чтобы так же себя вели в подобных ситуациях другие операторы. Может быть, если к ним придет очередной человек с корочкой или раздастся звонок по старой дружбе от одного эфэсбэшника другому бывшему эфэсбэшнику, они лишний раз подумают, стоит ли выполнять эти просьбы или не стоит, – говорит Олег Козловский.
Радио Свобода попросило аналитика издания "Телеком-Дейли" Илью Шатилова рассказать, есть ли принципиальные технические возможности осуществить подобный взлом без участия сотрудников оператора.
– В принципе, есть несколько способов для такого взлома. Первый – действительно, наличие в МТС "засланного казачка" в техотделе, который сначала отключает сервисы по чьему-то заказу извне, потом подключает обратно, а тем временем происходит взлом. Это, собственно, версия пострадавших. Вторая версия аналогичная, только засланный казачок находится на в МТС, а на стороне агрегатора, через который Telegram отправляет авторизационные SMS. Третья версия – система СОРМ, через которую наши внутренние органы прослушивают телефонные переговоры и читают любую SMS-переписку. Есть четвертая версия, которая не требует участия оператора или кого-то еще, это атака через уязвимость системы сигнализации ОКС-7, которая используется во всех сотовых сетях. Вероятно, именно с помощью этой дыры в безопасности были перехвачены, записаны и позже выложены телефонные разговоры Бориса Немцова.
– Как осуществляется такая атака?
– Система сигнализации нужна для управления сетями, она создавалась еще в 70-е годы, одновременно с первыми цифровыми телефонными станциями. И использовалась в проводной связи. Это был важный этап развития телефонной связи: если в аналоговых сетях система сигнализации работала прямо в голосовом канале и была доступна абоненту, и это могло быть использовано мошенниками, например, для междугородних звонков за чужой счет, то в новой системе сигнальный канал отделили от голосового, в итоге доступ к сигнализации имел только персонал телефонной станции, но этим защита и ограничилась: никакого шифрования сигналов нет, нет и никаких способов различить легитимные и нелегитимные сигналы, приходящие по этому каналу. В 90-е годы появились IP-каналы связи и была реализована спецификация передачи команд ОКС-7 через них, то есть, грубо говоря, через интернет. Но теперь по большому счету любой желающий, имеющий доступ к шлюзу оператора, может отправлять такие команды по своему желанию. А в некоторых странах приобрести лицензию оператора можно запросто и за смешные деньги. Установив шлюз, можно с помощью сигнальных каналов легко осуществлять разные атаки: прослушивать звонки, определять местоположение любого абонента из любой страны мира. Операторы не очень любят говорить об этой уязвимости, потому что защититься от нее крайне сложно. Если блокировать все сигнальные запросы извне, не будет работать роуминг и международная связь. Есть дорогостоящие и сложные системы защиты, которые требуют участия высококвалифицированных специалистов, но поскольку на бизнес операторов эта уязвимость не особенно влияет, то они и не особенно стараются защититься. Так что нельзя исключить, что атака на Албурова и Козловского была произведена именно таким способом. Наверное, можно гипотетически рассматривать и пятую версию, что Албуров и Козловский имитировали взлом для привлечения внимания к себе. Какая из версий правильная, наверное, сможет показать следствие, если оно, конечно, будет. Понятно, что, учитывая политический характер этой истории, вряд ли наши доблестные органы будут испытывать большое желание это все расследовать.
– Албуров и Козловский представили распечатки счетов за услуги, по которым видно, что перед взломом у них были отключены некоторые услуги, в частности, SMS-сообщения. Можно ли было добиться этого с помощью взлома без привлечения сотрудников оператора?
– Запросто, потому что пароль от личного кабинета пользователя можно получить по SMS, и эти сообщения перехватить. А через личный кабинет можно отключить все нужные сервисы и потом подключить их обратно. Не очень, правда, понятно, зачем это нужно делать, если можно сразу перехватить SMS от Telegram. Так что, учитывая наличие этих записей в биллинге, если, конечно, они не сфальсифицированы, версия с участием сотрудников оператора более правдоподобна. Впрочем, взломщики могли специально оставить записи в биллинге, чтобы подозрение упало на оператора.
– Но пострадавшие опубликовали список операций, сделанных в личном кабинете, – там не было отключения услуг.
– Да, неверное, это тоже говорит в пользу версии участия сотрудника оператора. Хотя, конечно, бывают разные истории. Например, у меня долго лежала на полке карта МТС. На ней каким-то образом подключилась услуга "Гудок", и за нее какое-то время списывалась абонентская плата, пока я это случайно не обнаружил. Меня убеждали, что услуга была подключена через личный кабинет, хотя в списке операций ничего не было. Бывают странности в работе биллинговой системы, но здесь, конечно, они произошли слишком избирательно.
– Если во взломе участвовал сотрудник МТС, должен ли он был обладать большими полномочиями?
– Нет, в сущности, это мог бы быть любой сотрудник технического отдела, возможно, даже сотрудник колл-центра. Учитывая все обстоятельства – биллинг и подтверждение со стороны сотрудника колл-центра, это самое вероятное объяснение. Знаете, в интернете есть много объявлений "пробьем абонента", "база телефонов". Понятно, что люди, которые имеют определенный доступ, иногда этим доступом приторговывают.
– Давайте обсудим еще одну версию, которая обсуждалась: клонирование сим-карты, способ, с помощью которого мошенники крадут деньги с банковских карточек, привязанных к телефонному номеру. Так не могли взломать мессенджеры Албурова и Козловского?
– Не думаю. Сим-карты клонируют либо техническим способом, либо с помощью социальной инженерии, получая сим-карту якобы взамен утерянной. Во втором случае оригинальная сим-карта автоматически блокируется, чего не произошло у Албурова и Козловского, в первом случае могут работать одновременно обе сим-карты, но это очень сложно и дорого, и у большинства операторов уже закрыта уязвимость, которая позволяла делать это без физического доступа к оригинальной сим-карте, – считает Илья Шатилов.
Как сообщил Радио Свобода Олег Козловский, сегодня, 6 мая, оба пострадавших от взлома активиста начали совместно с правозащитной ассоциацией "Агора" готовить документы для подачи иска против мобильного оператора МТС.