В начале осени 2022 года неизвестные хакеры получили доступ более чем к 1 млн документов структур Евгения Пригожина. В течение нескольких месяцев группа сохраняла доступ к сети, выкачивая оттуда все самое интересное. Часть файлов из архивов #Wagnerleaks оказалась в распоряжении журналистов изданий Die Welt, Центр «Досье», Insider, Paris Match и Arte.
Вот уже пять лет Центр «Досье» занимается расследованием убийства трех журналистов в ЦАР, которые пытались снять документальный фильм о ЧВК «Вагнера». Нам удалось изучить внутреннее устройство бизнес-империи Пригожина, включающей так называемую «Фабрику троллей» (проект «Лахта»), группу компаний «Конкорд», так называемую ЧВК «Вагнера» и другие бизнес-активности кремлевского повара: школьное питание, строительство, гостиничный бизнес, торговлю шоколадом, медиабизнес, добычу золота, алмазов, нефти и других полезных ископаемых, международный политический консалтинг, мясокомбинат в африканских джунглях, автомойку — и не только.
Многочисленные публикации в СМИ обычно фокусируются на каком-то одном аспекте его многогранной деятельности, хотя в реальности все они органически связаны: раненые бойцы «Вагнера» приходят в себя на базе отдыха в Геленджике, чиновники Минобороны получают скидочные карты в Елисеевский магазин, лахтинские «тролли» заседают в построенном компаниями Пригожина здании и продвигают оттуда услуги ЧВК на международную аудиторию. Сегодня юристы и финансисты рассматривают договоры на концессии в Санкт-Петербурге, а завтра — в Антананариву или Банги. То же самое происходит с выборами: одни и те же политтехнологи отрабатывают заказы в Санкт-Петербурге, Москве, Туле, Киеве, Триполи, Мапуту и Кейптауне. Сотрудников регулярно перекидывают с проекта на проект: те, кто вчера выбирал мебель для квартиры дочери Пригожина, сегодня покупают билеты в Тегеран или Португалию для матери Пригожина Виолетты (в девичестве Хохлова) через московскую турфирму Zelenski Corporate Travel Solutions, а завтра, может быть, будут проводить фильтрационные процедуры в захваченном украинском городе.
Именно из-за такой подвижной структуры санкции против проектов Пригожина плохо работают. Но при всей внешней независимости и рассогласованности действий отдельных частей пригожинскую грибницу объединяют централизованные информационные системы — сегодня мы расскажем о некоторых из них.
Айтишники
Непосредственно в ЧВК «Вагнера» IT-специалистов немного — несколько десятков человек, в основном связисты. Гораздо больше их работает на «Фабрику троллей», фирму «Конкорд» и социальную сеть «ЯRus».
В IT-службе «Фабрики троллей» по состоянию на осень 2021 года работало около 40 человек: менеджеры проектов, по 10 сисадминов, бэкэнд-разработчиков и фронтэнд-разработчиков, пара веб-дизайнеров и тестировщиков.
Зарплаты разработчиков и системных администраторов достаточно скромные — от 60 до 250 тыс. рублей на руки в зависимости от должности. В среднем — по 110 тыс. рублей.
Хотя фактически сотрудники «Фабрики троллей» работают в одних и тех же проектах, их оформляют в разные юрлица, преимущественно СМИ — «НовИнфо», «Невские новости», «Экономику сегодня», Федеральное агентство новостей (ФАН), ООО «МАН» и другие.
Кроме «Фабрики троллей», «Вагнера» и «ЯRus» сотрудники IT-отдела «Компании» работают в ресторанах, отелях и на других проектах. Вот как они обозначаются во внутренней переписке:
Автомойка, ВП, Школьное питание, Елисеевский, Армия России, Кейтеринг, Старая таможня, Стрит фуд бар, Ампир, Ривер Палас 1, Ривер Палас 2, Кабинет 1137, Ривер Лаундж 1, Ривер Лаундж 2, РГО Кейтеринг, Теплоход Сочи, Музей шоколада, Складской учет МСК, Шале, АУП Департамент недвижимости, Тек. ремонт, Отель, Комбинаты (Янино, Кленово), Соц. питание Москва, ЦО.
Кстати, они же заботятся и о родственниках Пригожина, включая маму Виолетту Кировну — недавно с нее почти сняли санкции ЕС, которые были введены в связи с деятельностью Пригожина и группы компаний «Конкорд».
Добавим: не только билеты ей покупают в «Конкорде», но и оплачивают другие расходы, например проводной интернет; вопрос согласовывается на уровне директора департамента IT.
Квалификация
Трудовые биографии айтишников структур Пригожина разнятся. С одной стороны, среди сотрудников встречаются талантливые аспиранты с программ по программированию и бывшие стипендиаты Оксфордского российского фонда, признанного «нежелательным» из-за связей с Михаилом Ходорковским. С ними соседствуют переучившиеся на краткосрочных онлайн-курсах веб-дизайнеров бывшие бухгалтеры из Караганды (что отражается на качестве сверстанных сайтов). Встречаются также люди с опытом военной службы, в том числе в ГРУ.
Как вы относитесь к военной операции?
Многие сотрудники «Фабрики троллей» приезжают в Санкт-Петербург из других городов или стран. Это объясняется многолетним негативным имиджем Пригожина на городском рынке труда.
Всем потенциальным сотрудникам, даже если они будут работать в ресторанах, проводят обязательный двухчасовой допрос на полиграфе «Диана-07». Его цель — выявлять потенциально нелояльных или опасных для Пригожина персонажей. Отсеивают сторонников оппозиции, людей с контактами в СМИ и силовых структурах, наркопотребителей и должников.
После начала войны в стандартный набор добавили еще один вопрос — про отношение к «военной операции».
Если у испытуемого обнаруживаются переживания о войне или украинские родственники, его отбраковывает служба безопасности, даже невзирая на одобрение потенциального начальства.
Почти половина айтишников работает вчерную, без трудовой книжки, а официально оформленные сотрудники часто получают 40–60% зарплаты в конвертах, следует из документов бухгалтерии. Между собой сотрудники Пригожина обсуждают, что помимо белой зарплаты в других компаниях «есть то, чего у нас нет и не будет»: гибкое начало рабочего дня, ДМС, премии. Бывшие сотрудники также жалуются на «климат в коллективе» — в частности, взаимные интриги. Неконкурентоспособные условия работы могут объяснять низкий уровень образования среди айтишников структур Пригожина. Квалифицированные специалисты с трудом выдерживают спонтанный микроменеджмент и грубость Пригожина — многие еще до начала войны перебрались в «недружественные» страны.
Возможно, в ближайшие месяцы Пригожин сможет набрать новых, более качественных сотрудников в IT-отделы. Агрессивная пиар-кампания «Вагнера» после начала войны помогла улучшить имидж «Компании» в глазах молодого поколения студентов IT-специальностей в Санкт-Петербурге. Например, в конце декабря 2022 года Пригожин провел хакатон ЧВК «Вагнера», в котором принимали участие талантливые программисты. Несмотря на критику в соцсетях и СМИ, многие из них не видели в этом ничего плохого. Хакатон был посвящен программированию дронов и использовался для рекрутинга — структуры «Конкорда» активно искали таких специалистов с осени 2021 года, следует из внутренних документов. Вероятно, набор шел не только для войны в Украине, но и для других проектов. Например, сотрудники ЧВК «Вагнера» уже несколько лет используют дроны и квадрокоптеры в Сирии и ЦАР, даже по халатности сожгли один из своих дорогостоящих разведывательных дронов модели «Орлан».
Несмотря на санкции, сайт хакатона был размещен на облачном AWS-хостинге от Amazon и был заблокирован только после жалоб активистов.
Помимо IT-специалистов для интернет-проектов «Фабрики троллей» в 2022 году в центральном IT-отделе и главном офисе Пригожина работало более 40 системных администраторов и специалистов по «1С» — бухгалтерской системе учета. Кстати, их зарплаты выше, чем у сотрудников «фабрики». Например, начальница отдела получает на руки не 250, а 400 тыс. рублей, а ее заместительница — 300 тыс. рублей.
Столько специалистов по «1С» нужно Пригожину из-за того, что у него в управлении около 400 различных компаний — подставных юридических лиц и реально действующих предприятий с двойной бухгалтерией (официальной для налоговой и реальной для внутреннего учета).
Например, в 2015 году, после того как Пригожин получил от Минобороны подряд на обслуживание десятков военных городков, удаленный доступ в «1С» в Санкт-Петербурге был предоставлен более чем 360 пользователям из различных региональных подразделений АО «Славянка» и ГУ ЖКХ. Отличить подставные компании от настоящих было почти невозможно.
Чем занимается «Фабрика троллей»
Анализ активности «троллей» в соцсетях показывает, что активнее всего они работают там, где можно без ограничений использовать чужой контент и закупать рекламу по серым схемам.
Вот несколько примеров достаточно невзыскательных проектов «фабрики» в VK.com: новостные проекты — «Акула», «Дерзкий квадрат», «Как тебе такое, Илон Маск», «Полоса», «Трешач», «Фарш», «Склад грязи», «Искусство войны», «Сыворотка правды», «Поребрик-Сити», «ВидеоПитер», по СПб — «Мемный всадник», мультпроекты «Орел (ЧеБе)» и «Спот».
Также в бюджет заложена оплата за публикации и доступ к администрированию сообщества в ВК «Оружие России», за создание контента для проекта «Брови Брежнева».
В документах «фабрики» встречаются упоминания об оплате публикаций, ретвитов и лайков у независимых блогеров-тысячников по политической тематике в Twitter. Например, тут:
- Радио Стыдоба;
- Александр Дедуренко;
- Леонид Дегтярев;
- Митрофан Белов;
- Филипп Масловский;
- Пьяный Твиттер;
- Литература;
- https://twitter.com/vezhlivo;
- ТвДжихад;
- Новости. Как есть.
Отдельной строкой проходит оплата за услуги контент-менеджера для проектов «Актуальная Россия» и «Актуальный мир».
В Telegram «тролли» оплачивали публикации у сторонних Telegram-каналов, например «Медиатехнолог», «Как-то вот так» и «338», платили за репосты в канале «Караульный», покупают места в подборках и рейтингах, закупают услуги накрутки подписчиков.
По оценкам бывших сотрудников, сейчас на «фабрике» работает около 400 сотрудников, из которых более 30 занимаются только написанием комментариев на сайтах СМИ, еще порядка 30 человек пишут комментарии в YouTube. С 2019 года примерно 40 сотрудников направили комментировать публикации еще и в украинских СМИ. Оценочный бюджет на «фабрику» в 2022 году составлял 70–100 млн рублей в месяц без учета «спецзадач».
«Спецзадачи»
«Спецзадачи» — это дополнительные интернет-проекты, связанные с личными интересами Евгения Пригожина. В эту категорию попала, например, организация травли в интернете Любови Соболь, которая активно боролась с коррупцией в организации школьного питания — сфере бизнес-интересов Пригожина. На проект под названием «Соболиная охота» в 2019 году тратили от 700 тыс. до 1,7 млн рублей в месяц — правда, на что конкретно уходили эти деньги, в документах не сообщается.
Сюда же относится оплата информаторов, которые предоставляли структурам Пригожина информацию из штабов оппозиции в Москве и Петербурге, оппозиционных СМИ, либеральной среды и других общественных групп. В разное время штат информаторов насчитывал от 17 до 25 человек. В среднем они получали от 15 до 25 тыс. рублей в месяц.
Источник Центра «Досье» рассказывает, что куратор «спецзадач» — бывший сотрудник «РИА Новости» Илья Горбунов. С 2019 года он фактически руководит медиагруппой «Патриот», с 2020 года руководит «Фабрикой троллей» и всеми псевдооппозиционными Telegram-каналами, а также занимается дискредитацией губернатора Александра Беглова.
«Спецзадачи» сотрудников Пригожина направлены не только против оппозиционеров, но и против вполне системных персонажей. Источник Центра «Досье» утверждает, что именно Илья Горбунов инициировал сбор компромата на Александра Винокурова — зятя министра иностранных дел Сергея Лаврова. «Новая газета» рассказывала об уголовном деле против лиц, связанных с Пригожиным, которые заказали взлом сим-карты и мессенджеров Винокурова. По мнению источника, компромат нужен был для шантажа самого Лаврова.
Горбунов мог быть непосредственным руководителем администраторов Telegram-канала «Проект „Сканер“», которые были задержаны в 2022 году по обвинению в вымогательстве денег у объектов своих публикаций. Горбунов курировал Telegram-канал и помогал сотрудникам со связями в Москве. Сам «Сканер» публиковал критику российских властей, но, по словам журналиста Михаила Маглова, несколько раз менял владельцев и в итоге стал использоваться для дискредитации оппозиции.
Такие каналы — еще одно направление работы «Фабрики троллей». Свою Telegram-сетку они создавали с 2017 года, а осенью 2020 года получили одобрение Кремля на создание псевдооппозиционных ресурсов. Вопросы такой важности обычно решаются напрямую с Сергеем Кириенко, утверждает источник «Досье».
Помимо федеральных Telegram-каналов Пригожин контролирует небольшую «оппозиционную» сетку в Петербурге, которая занята критикой Беглова:
- «Протестный Петербург»;
- «Площадь Восстания»;
- «Питербургская жопа»;
- «Ассамблея»;
- 1703;
- «Питерская булка»;
- «Раньше всех СПб»;
- «Склад грязи»;
- «Канал Грибоедова».
Пригожинские Telegram-каналы почти не взаимодействуют с другими крупными провластными ресурсами, например сетками Кристины Потупчик. Вся работа со сторонними каналами строится на платной основе: кто-то на «абонентской плате», кто-то получает деньги за каждую публикацию отдельно. Например, в одном из документов сотрудники Пригожина утверждают, что для продвижения проекта «ЯRus» (речь о нем пойдет ниже) они оплачивали посты в следующих каналах:
- «Как я встретил столбняк»;
- «Лентач»;
- «Только никому»;
- «Код Дурова»;
- «Антиглянец»;
- «Небожена»;
- Yaplakal;
- FemaleMems;
- «Курятник» (новости шоу-бизнеса);
- ebobo (новости шоу-бизнеса);
- «Светские хроники».
Кроме того, еще до вторжения российских войск в Украину Пригожин активно сотрудничал с «военкорами». Его сотрудники оплачивали публикации в пабликах «Антимайдан», «Сирия|Военные хроники» и у одного из самых известных «военблогеров» Yurasumy, он же Юрий Подоляка. «Военный писатель Владлен Татарский», он же Максим Фомин, тоже получал компенсацию за продвижение нужных тезисов еще в 2021 году.
Другой известный военный обозреватель — Рыбарь, он же Михаил Звинчук, — пару лет назад пришел на работу в офис «Фабрики троллей» и активно продвигал свой канал за ее счет. В одном из документов того времени Звинчук числился руководителем «международного направления», где кроме него были задействованы и получали платежи еще 49 человек, включая журналиста Аббаса Джуму и военного обозревателя Бориса Рожина (Colonel Cassad). Работники «международного направления» «фабрики» писали аналитические материалы для ФАН и раскручивали тезисы «троллей» через свои Telegram-каналы:
- «Крылья войны»;
- «Lu Man: Взгляд на Восток»;
- «Брюссельский стукач»;
- «Индия сегодня»;
- «Американский номер»;
- «Центр нарушений прав человека»;
- «Пятая республика»;
- «Южный ветер»;
- «Пасечник»;
- «Байки из фавел» и другие.
Из известных персон в архиве можно обнаружить погибшую Дарью Дугину. Она пришла на работу в медиагруппу «Патриот» в 2018 или 2019 году и работала там до убийства. Дугина отвечала за иностранное направление, в том числе организовывала публикации и комментарии Пригожина в турецких СМИ. В частности, по словам источника, она организовала большое интервью газете Aydınlık и фото Пригожина на первой полосе.
В бюджетах сотрудников Пригожина проскакивают платные публикации не только в соцсетях, но и в СМИ — от небольших изданий до «Литературной газеты» и «Коммерсанта». Размещение в последнем зимой 2021 года, если верить документам, могло обойтись Пригожину в 750 тыс. рублей.
А чтобы публике было сложнее узнать о деятельности структур Пригожина в открытых источниках, в бюджете «фабрики» заложена оплата услуг контент-менеджера для аккаунтов в «Википедии» — написание и публикация статей.
Проекты
С технической стороны большинство веб-проектов «Фабрики троллей» непримечательны — это в основном простые сайты, собранные «на коленке» для публикации пропагандистских материалов (вроде «Фонда по борьбе с репрессиями») или «сайты-заглушки» для подставных компаний. Особняком среди них идет проект «ЯRus». Он производит и распространяет пропагандистский контент по стандартной для «фабрики» схеме, но с гораздо большим размахом.
«ЯRus»
«ЯRus» создают на деньги Пригожина с января 2019 года. Проект описывается как «патриотический аналог» «Дзена», Instagram и TikTok. Вероятно, необходимость в собственной соцсети возникла из-за массовых зачисток аккаунтов «троллей» на многих порталах. Судя по обзорам, видео заливаются со скрипом, модерация работает плохо, просмотров мало, а монетизация почти нулевая.
В 2021 году в штате «ЯRus» было 86 позиций, но работало лишь 63 человека. Общие затраты на оплату их труда — 10 млн рублей в месяц, при этом основная часть зарплат снова выплачивалась наличными. Оклад разработчиков небольшой: тестировщики проекта зарабатывают 70 тыс. рублей, а технический директор — 270 тыс. рублей в месяц. Общие расходы Пригожина на «ЯRus» на 2021 год составляли около 30–40 млн рублей в месяц в зависимости от затрат на рекламу.
В соцсети практически нет живых пользователей, а контент в основном копируется с других платформ.
В маркетинговом бюджете была даже отдельная строка «Дублирование контента», а в штатном расписании есть несколько позиций (около 10 человек) сотрудников, занимавшихся «поиском интересных видеороликов на просторах интернета».
Значительная часть остального контента производится сотрудниками Пригожина. Для работы «блогеров» были арендованы три квартиры в Санкт-Петербурге по адресам: Богатырский проспект, 37; ул. Авиаконструкторов, 36; Приморский проспект, 22. Также в «ЯRus» планировали заказать услугу «ручное наполнение событий» от агентства Daynet.
Комментарии и лайки сотрудники «ЯRus» генерируют в две смены — 14 человек в утреннюю и 17 человек в вечернюю. Каждый сотрудник ведет по восемь отдельных аккаунтов.
Серверы для проекта арендовались у компании DataLine, входящей в Центр обработки данных «Ростелекома», для sms-сообщений использовали сервис ru, программное обеспечения для сотрудников закупали через softline.ru.
Сервисы
Для дополнительной маскировки и обхода блокировок по IP пригожинские «тролли» закупают прокси на российских сервисах Proxy6.net и best-proxies.ru.
Чтобы обмануть защиту от автоматической публикации комментариев, «тролли» закупают услуги сервиса распознавания капчи Затраты на него в 2021 году составляли от 35 до 50 тыс. рублей в месяц. Средняя стоимость разгадывания 1000 обычных капч — 35 рублей, то есть сервис позволял «троллям» писать около 1 млн автоматических комментариев в месяц (или минимум от 30 до 50 тыс. комментариев в сутки).
Для мониторинга новостей «тролли» используют «Медиалогию» — когда-то хотели купить услуги компания Игоря Ашманова «Крибрум», но не сошлись по цене.
Дополнительно пригожинцы закупают подписки на сервисы аналитики, дизайна и аудио: SMM Planer, AdSpoiler, Postingram, LiveDune, SMMbro, Telegram Analytics, Canva, onlipuit.ru, Target Hunter, Adinblog, Splice, Soundly, Envato Elements, Telemetr, Artlist, Storyblock, Simpleimage.services. Для озвучивания контента заказывают авторские голоса через Golosa24.ru.
Отзывы в магазинах AppStore и Google Play на «ЯRus» и другие приложения тоже заказывали у внешних подрядчиков — компании «Гоу Мобайл».
Лайки для VK и YouTube закупаются в сервисах накрутки z1y1x1, Youliker, ru и других. Суммарно на лайки для своих и дизлайки для оппозиционных роликов у структур Пригожина уходит 900 тыс. рублей в месяц.
Помимо услуг «тролли» постоянно закупают уже готовые аккаунты «В контакте», YouTube, Facebook, Instagram, Google и Protonmail, поскольку администрации сервисов регулярно блокируют ботов.
Технические возможности
Технические возможности структур Пригожина по проведению активных IT-мероприятий тоже достаточно ограничены — все делается силами подрядчиков. Вот пример типичной задачи: стороннему человеку за 8 тыс. рублей поручили проверить базу почти с 300 тыс. телефонных номеров из Конго на предмет привязки к мессенджеру WhatsApp.
Такая же ситуация повторяется и с другими странами, например в Чаде. Во внутренней переписке сотрудники Пригожина называют исполнителей «нашими хакерами», но на деле они лишь передают заказы по цепочке.
Анализ этих операций наталкивает на вывод о том, что журналисты часто преувеличивают возможности «Фабрики троллей». Многие их успешные мероприятия проводились силами внешних подрядчиков на коммерческой основе. Это работает с простыми задачами, которые можно отдать на аутсорс за небольшую плату: накрутки просмотров, лайков и дизлайков, закупки рекламу в Facebook и Instagram, перекупка готовых каналов или нагон ботов в Telegram. Если же требуются творческий подход и высокая квалификация — например, в живых англоязычных онлайн-дискуссиях в Twitter, — показывать результаты становится сложнее и приходится размахивать кувалдами. Что тут говорить, если они до сих пор активны в livejournal.com (ведут как минимум 76 аккаунтов).
Вместе с тем у «троллей» получается использовать существующую коммерческую инфраструктуру, скрываясь среди законопослушных клиентов, а зарубежные офисы с местными сотрудниками, иногда нанятыми втемную , и международная сеть компаний позволяют продолжать свои операции.
Из-за повышенной секретности с американским девайсом пришлось расстаться. Но Пригожин остается верен своим старым привычкам — как и 15 лет назад, он использует органайзер Psion, работающий от батареек.
Такая древняя игрушка, да еще без подключения к интернету могла бы обезопасить Пригожина от утечек — если бы вся информация хранилась только там. Однако резервные копии личного органайзера Пригожина с 2012 по 2022 год, книга контактов и расписание встреч и совещаний обнаруживаются там же, где и все остальные документы, — в общей сетевой папке на сервере.
Важные серверы и «закрытая» почта
Во внутренней сети также был доступен сервер с говорящим названием SecMail — через него проходит секретная почта Пригожина. Там же находятся секретный файлообменник с названием Msec (а также secfs и secfs-old) и несколько серверов с бэкапами, включая bkpsec для особо секретных бэкапов. Часть секретной почты, зашифрованной GPG, доступна на общедоступном сервере в бэкапах Thunderbird portable edition.
Большинство этих серверов по состоянию на осень 2022 года находилось по адресу: Санкт-Петербург, Приморский проспект, 78 (возможно, какие-то бэкапы еще остались на 9-м этаже БЦ «Сенатор»). В рамках расследования убийства российских журналистов в ЦАР и других преступлений, связываемых с ЧВК «Вагнера» и Пригожиным, правоохранительные органы могли бы проанализировать эти серверы. Следствию также стоит взглянуть на NAS-сервер с названием Polit_BKP , где, вероятно, хранятся отчеты о вмешательстве в выборы различных стран, в том числе России. Если служба безопасности их зачистит, всегда можно развернуть бэкапы. Также стоит взглянуть на пару серверов с Roket.Chat, используемых для внутренних коммуникаций.
Интернет
В Сирии, Ливии, Судане и ЦАР подразделения «Вагнера» обеспечивались спутниковым интернетом с помощью роутеров Comtech UHP, серийные номера и географические координаты некоторых из них есть в распоряжении Центра «Досье». Это оборудование стояло как на больших базах, так и на крошечных пунктах из нескольких человек. К устройствам UHP подключались роутеры Mikrotik — их серийные номера известны Центру «Досье».
Спутниковые телефоны
Основной рабочей лошадкой для вагнеровцев являются недорогие спутниковые телефоны Thuraya от компании из ОАЭ. Только в ЦАР наемники используют около 50 подобных аппаратов. Кроме того, у них есть несколько трубок от компании Iridium, которыми иногда пользуется сам Пригожин.
«Закрытый» телефон, КОД
Изначально сотрудники Пригожина использовали обычные одноразовые сотовые телефоны с левыми сим-картами, выдаваемые «под задачу», но затем перешли на криптотелефоны «SMP-Атлас/2» — их сложнее прослушать. Тогда же началось внедрение и использование спутниковых телефонов.
Источник Центра «Досье» рассказывает, что одноразовые телефоны не были надежны — даже у службы безопасности «Конкорда» есть несколько машин со спецоборудованием для перехвата трафика сотовых сетей. Хотя они предназначены только для чекистов, их легко найти на открытом рынке — использование ограничивается скорее легальными рисками.
По мере роста численности бойцам ЧВК «Вагнера» пришлось перейти на более дешевый и универсальный самодельный вариант криптосмартфона, который поддерживает голосовые звонки, текстовые сообщения и пересылку электронной почты и файлов. Сотрудники Пригожина называют их «закрытым» телефоном, во внутренних документах они проходят под названием VPN, KOD или КОД. Это телефоны с кастомизированной версией операционной системы Android, использующие протокол OpenVPN с самоподписанными сертификатами для создания зашифрованной сети между устройствами и центральным сервером.
В основном в качестве «закрытых» телефонов сотрудники Пригожина, включая ЧВК «Вагнера», используют Samsung — модели Galaxy A20, A20S, у некоторых — Samsung Galaxy On8 или Samsung Galaxy A31. Также встречаются Samsung S8 и Asus Zenfone 3. Все эти телефоны с двумя сим-картами.
Центру «Досье» известно свыше 500 аппаратов, которые были активны на момент убийства журналистов в ЦАР. Еще полторы сотни спецтелефонов использовали сотрудники «Фабрики троллей». После вторжения российских войск в Украину их количество должно было увеличиться пропорционально набору вагнеровцев — сейчас действующих аппаратов может быть около 1 тыс.
Вот так выглядит интерфейс этого мессенджера — как и секретная почта, он работает внутри пригожинского VPN. Эта схема была бы надежной, но к центральным серверам можно получить доступ из внутренней сети «Конкорда», а она, в свою очередь, открыта практически всему интернету. И поскольку использовать коды обозначений неудобно, практически в каждом отделе пригожинских структур создаются телефонные справочники с подробным описанием, кто скрывается за каким номером, где находится и чем занимается.
Так как сотрудники службы безопасности постоянно опасаются утечек информации, то они переписывают серийные номера всех учтенных аппаратов, записывают номер и позывной каждого владельца и заставляют их расписываться в специальных ведомостях — для отчетности о проведенном инструктаже. В дальнейшем эти ведомости фотографируются, сканируются и пересылаются, в том числе по открытым каналам связи, что сводит на нет все усилия по кибербезопасности.
«Закрытыми» телефонами пользуются в том числе дизайнеры, видеомонтажеры и прочие пиарщики. Иногда их выдают зарубежным партнерам, например чиновникам и президенту ЦАР, или российским чиновникам Министерства обороны.
Вагнеровцы также используют служебные телефоны для просмотра порнороликов, посещения сайтов знакомств, ознакомления со стоимостью «монет различных государств» и посещения сайта Avito. Со всем этим безуспешно пытается бороться служба безопасности — о ней мы рассказывали в отдельном расследовании.
Сама секретная связь работает плохо — на это, к примеру, жаловался вагнеровец с позывным Моторола. К тому же наемникам приходится поддерживать контакты с местным населением и другими «смежными» организациями. Поэтому они покупают местные сим-карты и неучтенные телефоны и сразу же заводят аккаунты в Telegram и WhatsApp — иногда с одобрения начальства, а иногда самовольно — для общения с родными и сослуживцами.
В телефонных проверках участвуют и айтишники. Служба безопасности Пригожина передает им списки телефонов, имен и дат рождения сотрудников, после чего IT-отдел ищет их в соцсетях и составляет списки — кто и когда выходил или выкладывал фотографии в WhatsApp, VK, «Одноклассники». Поиск идет через друзей и родственников, по дате рождения и городу — как в настоящем журналистском расследовании. Нарушителей заставляют удалить и зачистить соцсети под угрозой больших штрафов и увольнений. Типичное примечание в отчете выглядит так: «Повторно. Совпадают фамилия, день, месяц рождения, привязка страницы к номеру телефона, в друзьях супруга (имя изъято. — ЦД), СШГ «Кэп»».
К 2020 году на 2400 проверенных телефонов приходилось около 50 активных мессенджеров.
Сейчас большинство из зафиксированных в проверках страниц удалено, хотя некоторые пользователи мессенджеров до сих пор активны и отвечают на звонки сотрудников Центра «Досье».
Локальные симки
Для работы локальных «фабрик троллей» сотрудники «Лахты» закупают большое количество местных сим-карт для регистрации аккаунтов в соцсетях — это происходит во многих странах. Например, так они поступали в Эстонии, ЦАР, Сирии, Судане, Франции и других странах. Интересно, что вагнеровцы массово провозят с собой за рубеж российские сим-карты, и, конечно, это должно быть заметно для местных операторов.
Ноутбуки
Помимо более-менее стандартных телефонов у сотрудников ЧВК «Вагнера» также есть ноутбуки разных моделей — в основном недорогие HP, Lenovo и Asus за 10–30 тыс. рублей.
Судя по метаданным файлов, ноутбуки работают под управлением различных версий Windows, иногда встречаются даже пиратские копии. В качестве антивируса было замечено использование бесплатной версии Avast.
Типичный отчет об оборудовании на руках сотрудников «Вагнера» выглядит так:
Такие отчеты регулярно составляются по каждому подразделению, но это не спасает от наличия неучтенных устройств.
Внутренние системы
Во внутренней сети Пригожина доступно несколько сотен серверов — физических и виртуальных, среди которых значительное количество физических серверов «1С», а также целый кластер «виртуалок» «1С». В какой-то момент сотрудникам «Конкорда» даже пришлось зарегистрировать собственного франчайзи «1С» (на подставную компанию ООО «Вертикаль»), чтобы получить скидку на бесчисленные лицензии. В сопроводительных документах пригожинские айтишники волновались, что отсутствие лицензий может «привести к „нездоровому интересу“ со стороны контролирующих органов (отдел «К» и отдел «Р» (МВД. — ЦД))».
В основном серверы работают под управлением Windows Server 2012r2, или Windows Server 2008R2, или Windows Server 2016, есть даже «виртуалки» с Windows XP, изредка встречается Ubuntu Linux.
Почта и SIP
Чтобы спрятать участие в тендерах подставных юридических лиц, используется несколько десятков виртуальных почтовых серверов (VMware) и «виртуалок» с системой документооборота СБИС и системами «банк — клиент». Аффилированность всех этих юрлиц друг с другом тоже приходится скрывать — для этого заключается множество отдельных договоров с провайдерами (впрочем, иногда обходятся с помощью отдельных USB-модемов мобильного интернета). Только для электронной почты использовалось около 100 внешних IP-адресов, полученных от нескольких провайдеров.
Адрес объекта | Подразделение | Провайдер услуг |
Шпалерная, 36 (бывш Жуковского 4) | Отдел кадров (Жуковского,3 — Моховая), выборгжская набережная 45 | GlobalWeb |
Отдел кадров | Северен-Телеком | |
Колпинская 9 | Отдел Клининга (Колпинская) | Obit |
Крестовский остров | Крестовский остров (5151-5154 Хабаровск) | Северен-Телеком |
Большая Пушкарская 25 | Отдел Складского учёта | GlobalWeb |
17 Линия 22 | Отдел Строительства (Сенатор) | Северен-Телеком |
17 | ВП | Обит |
Зеленина, 8 | Отдел Ленво | Обит |
Академика Павлова 14/2 | Альпы | 363-49-83 |
17 | 200 номеров для банк-клиентов на Среднем 77 | WestCall |
Унив. Наб. 21 | СтритФудБар №1 | Megafon(оформлен на кмик) |
Унив. Наб. 21 | СтритФудБар №1 — Товаровед | GlobalWeb |
7-я Линия В.О. 76 (оф. 509) | МТЦ (бухгалтерия) | |
Янино | комбинат питания «Конкорд», ЗАО «КДП» | westcall |
Пискарёвский 25 | ЗАО «КДП» | GlobalWeb |
Шоссе Революции 69 | Школьник-ЮЗ | Unitel |
Площадь Александра Невского, 2 | БизнесПроф (БЦ Москва) | Obit |
17 Линия 22 | КРО | westcall |
17 Линия 22 | КРО офис | westcall |
Наб. канала Грибоедова 12, литера А, кв. 6 | ООО «РСП» | GlobalWeb |
Приморский 78 | Отель «Лахта плаза» | WestCall, резерв Unitel |
Пл. Ал. Невского, д. 2Е, оф. 2014 | ООО «Провизия» | Unitel |
Кораблестроителей ул. д.30, пом. 234-Н | ООО «Бит Плюс» | GlobalWeb |
Моховая 37 лит. Б, офис 1 БЦ Оскар | ООО «КМиК» | GlobalWeb |
16 линия В.О 7, пом 1404 | ИП Ковалёва О.В. | GlobalWeb |
8-я линия В.О., д. 19 | ИП Лобанова Е.А. | Unitel |
16 линия В.О 7, пом. 1408 | ООО Реал | GlobalWeb |
18 линия В.О. 45 Лит. А., пом 15-Н | ООО Провизия | Obit |
16 линия В.О 7, пом. 9601-9608 | ООО БизнесИнвест | GlobalWeb |
Морская набережная д. 21к2 пом. 10Н | ООО Актуаль | GlobalWeb |
Невский 17 | Ампир | Obit |
Большой пр. В.О., д. 80Р, пом. 608, 6 этаж | ООО «Информационное бюро» | westcall |
9 Линия 34 | ООО «Дива» Подбор персонала | GlobalWeb |
5-линия В.О. д. 42, лит Б, пом 60 | ООО «Техносила» | westcall |
Большой пр. В.О., д. 80, корп. Р, оф. 317 | ООО «Профит Групп» | westcall |
пр.Культуры д.44, лит А, оф. 311А | ООО Поло | GlobalWeb |
Заусадебная ул. д. 31, лит. А1-А9, А1-А5, оф.К11 | ООО Фиеста | GlobalWeb |
ул. Розенштейна 21, лит А, пом.121 — Н, комн. 11 | ООО Компьютерное право | GlobalWeb |
Торфяная дорога д 7 лит А, оф 310 | ООО Радиус | GlobalWeb |
Коломяжский пр.33 | ООО Ремстройпроект | GlobalWeb |
Синопская 22 | ООО Бизнеспроф | Obit |
Проф. Попова 38 | Амега | Unitel |
телефония стоит в Альпах( ip -Великий Новгород) | GlobalWeb | |
Попова 47 | ООО Решение | GlobalWeb |
Пироговская наб., д. 21 лит.А | АО «Объединенная Инвестиционная Группа» | Unitel |
Московский пр., д. 103 | ООО «Феррум Майнинг» | Unitel |
Выборгская набережная, дом 29, литера А, помещение 12-Н, 13-Н, 14-Н, 15-Н, офис №527 | ООО «УК» | severen |
Большой проспект ВО, д.83 ком.328 | GlobalWeb | |
ул. Звенигородская 9-11, лит Л, 3 этаж, офис 311 | ООО «МНК-Проф» | GlobalWeb |
ООО Европолис | GlobalWeb | |
пр. Лиговский, д. 43-45, литер Б, оф. 405 | ООО «МТО-Эксперт» | GlobalWeb |
Лахта, отдел продаж | ООО Лахта парк, Лахта Плаза | Петербургский телефон |
ул. Новая д. 51 корп. 26 | Петербургский телефон | |
Шоссе Революции 69 лит. В, каб. 425 | ООО «Верона» | Унител |
Средний пр. В.О. 85У | АО «МИК» | Унител |
26-я линия ВО, д. 15, корп. 2 | ООО Дива | Унител |
18-я линия В.О, д.29 | ООО «Адель» | Severen |
19-я линия В.О., дом 34, корпус 1, литер Б, помещение 121-1 | ООО «Метрополь» | Унител |
12 линия В.О., д. 13, помещение 18-Н | ООО «Главная линия» КРО | WestCall |
7-линия д.76 офис №304 | МТЦ | WestCall |
Гельсингфорсская, д. 4, корп. 1, лит. В, пом. 17Н | Мегалайн | Унител |
Лахтинское 85 | «ООО Правовое поле» | GlobalWeb |
Набережная Лейтенанта Шмидта, 7 | ООО Бар Сервис | Унител |
ООО «АСП» | WestCall(Р-Телеком) |
Наличие большого количества договоров также помогало при ответах на запросы налоговой. Например, на запрос МИФНС 18 провайдер «Глобал Веб Групп» ответил, что ООО «Колизей» и ООО «Социальное питание „Центр“» — это две разные компании, которые использовали два разных IP-адреса, у этих компаний разные договоры с провайдером, а протоколы сеансов связи «предоставить невозможно по техническим причинам».
Дополнительно в сети крутится десяток виртуальных почтовых серверов для юрлиц, задействованных в международных операциях Пригожина, вроде «Европолиса», «М-Инвеста», «М-Финанса», «Веллады», «Феррум Майнинга» и прочих.
Для SIP-телефонии в сети находится множество серверов Asterisk.
Хостинг
Всего для IT-проектов Пригожина в разное время используется от 260 до 450 арендованных серверов. Самые маленькие и дешевые для прокси- и VPN-сервисов и вспомогательных задач, полноценные — под временные и постоянные веб-проекты. Предположительно с целью маскировки активности и минимизации рисков санкций сотрудники Пригожина пользуются услугами свыше 20 различных хостинг-провайдеров.
По состоянию на сентябрь 2021 года основным поставщиком для «Фабрики троллей» выступал хостинг inferno.name — там сотрудники Пригожина арендовали около сотни серверов, закупленных с нескольких аккаунтов, вероятно, из-за того, что inferno предоставляет множество серверов с IP-адресами в 20 странах мира. Хостинг «Инферно» уже 10 лет зарегистрирован в Великобритании. Доли в «Инферно» несколько раз переписывались с одной офшорной компании на другую, сейчас в реестре указана эстонская компания Netrox Europe OU.
После публикации расследования с Центром «Досье» связался представитель компании Inferno Solutions, который заявил, что осознанно фирма не сотрудничает с лицами, связанными с группой «Вагнера» и «Фабрикой троллей». Представитель сообщил, что компания заблокировала адреса, указанные в статье, чтобы не допустить факта использования сервиса inferno.name с этих IP-адресов, а также начала внутреннюю проверку.
Более 60 серверов структуры Пригожина арендуют у российского хостинга timeweb.ru (адреса в РФ, Казахстане, ЕС), еще несколько десятков — в netbreeze.net (Европа, Азия, США) и несколько десятков — в ruvds.com (РФ). Также несколько серверов арендуется у украинского хостинга thehost.com.ua и американского digitalocean.com, известных российских компаний Selectel и Infobox. Скорее всего, они даже не подозревают о том, кто реально является их клиентом. В отличие, например, от компании DataLine, на мощностях которой размещается проект «ЯRus».
Помимо прочего сотрудники Пригожина также несколько лет арендовали выделенные серверы у немецкого хостинг-провайдера Hetzner, в том числе для использования в качестве VPN и просмотра фильмов во время «нахождения на территории», то есть в Сирии, Судане и ЦАР.
Вот эти несколько IP-адресов:
- 78.47.65.117
- 195.201.92.6
- 148.251.46.106
Вот еще некоторое количество постоянных внешних IP-адресов, напрямую использовавшихся структурами Пригожина в Санкт-Петербурге в последние несколько лет:
- 185.124.191.114
- 185.124.191.123
- 91.108.43.111
- 95.47.137.104
- 46.231.213.254
- 178.16.146.186
- 81.27.240.134
- 84.52.111.135
- 109.195.82.134
- 109.195.82.138
- 37.77.129.246
- 37.77.135.5 (!)
- 109.95.210.145
- 149.126.17.198
Дополнительно был засвечен адрес 193.106.74.11, где ранее можно было подключиться в старый, московский офис, с VPN и RDP; для подключения к VPN использовался Сisco Аnyconnect.
Из списка VPN-сетей на базе Juniper 210 по разным регионам России следует, что сотрудники Пригожина считают столицей страны Санкт-Петербург — во всяком случае, московский офис явно идет на последнем месте в списке, да еще и во вкладке «Регионы».
Зарубежные площадки
Помимо аренды обычного коммерческого хостинга сотрудники Пригожина иногда устанавливали компьютерное оборудование на съемных квартирах за рубежом — в тех странах, где была активность «троллей». Например, во Франции политтехнологи под руководством Джейхуна Асланова неоднократно пытались принять участие в продвижении радикальной повестки в соцсетях. Самый ранний такой случай был зафиксирован в апреле 2014 года.
Интересно, что Дмитрий Сытый, один из сотрудников Пригожина в Банги, также некоторое время проживал во Франции и до недавнего времени регулярно туда наведывался.
Информационная (не)безопасность
Несмотря на прямой запрет «шефа» работать из дома, отдельные сотрудники несколько лет трудились удаленно. Более того, сисадмины отключали антивирус (Avast Free Antivirus), включали системы удаленного доступа TeamViewer 10 и AMMY Admin, предоставляли доступ к системе для сторонних консультантов, устанавливали личный Skype на рабочих компьютерах и в рабочее время играли в Sims 4. Все это говорит о реальном положении дел с кибербезопасностью в структурах Пригожина.
Пароли
Сотрудники Пригожина часто использовали одни и те же пароли по умолчанию, хранили их в обычных текстовых файлах, пересылали друг другу файлы с адресами серверов, логинами-паролями и сертификатами пользователей. Судя по данным из этих файлов, на множестве почтовых учетных записей используются одинаковые пароли. Центр «Досье» воздержался от проверки их актуальности, но есть серьезные основания подозревать, что их никогда не меняют. С другой стороны, изучение паролей позволяет в очередной раз убедиться, что у сотрудников Пригожина есть определенные склонности: частью пароля нередко оказываются цифры 1488. Впрочем, иногда сотрудники Пригожина добавляли эти знаковые цифры и в исходящие номера официальных документов.
Бумажная безопасность
В штатном расписании «ЯRus» среди сисадминов было две открытые вакансии специалистов по безопасности. В остальных проектах таких должностей просто не было предусмотрено в штатном расписании.
Как же тогда обходятся требования закона при организации электронного документооборота с органами власти? Очень просто — с помощью ручки и бумажки. Номинальные директора подписывают приказы о назначении администраторами по информационной безопасности кого-нибудь из программистов «1С», и на этом все заканчивается — формальные требования выполнены. Из-за формализма для доступа сотрудников к сетевым папкам необходимо подавать бумажные заявки на каждого сотрудника, которые подписывают начальники отделов, но в итоге вся информация лежит на общих сетевых дисках.
Разумеется, несколько раз, особенно после 2019 года, происходили попытки ужесточения режима — расширялось использование кодовых обозначений для локаций: «Пески» вместо Сирии, «Царицыно» вместо ЦАР, «Липецк» вместо Ливии и так далее. Все чаще сотрудники записываются в документах по номерам КОД, даже в какой-то момент провели смену номеров жетонов и схему генерации псевдонимов для вагнеровцев. В том числе были попытки ввести регламент обращения с персональными данными.
Одна из версий регламента даже подразумевала 100%-ную изоляцию от интернета рабочих станций, на которых обрабатывались данные сотрудников, в том числе ЧВК «Вагнера».
Такие же идеи выдвигались относительно бухгалтерских программ и документов внутреннего учета, но они так и остались до конца не реализованными.
В архивах компаний Пригожина мы практически не обнаружили каких-либо документов, свидетельствующих об обучении или хотя бы информировании вагнеровцев о возможных IT-рисках. Такая же пустота на месте отчетов аудита безопасности IT-проектов и IT-систем — нет почти никаких следов целенаправленной защиты информации.
Защита данных
Общее отношение сотрудников Пригожина к защите данных выглядит небрежным. Они неоднократно использовали бесплатные общедоступные хостинги («Яндекс.Диск», Mail.ru) для передачи файлов, содержащих чувствительную информацию, — например, выкладывали копии своих баз и списки ФИО и адресов десятков тысяч жителей обслуживаемых ими военных городков МО РФ.
Это касается как центрального офиса, так и вагнеровцев на местах. Содержимое захваченных противником ноутбуков, мобильных устройств и внешних дисков бойцов и «политологов» демонстрировалось в СМИ, подтверждая, что меры по защите информации на этих устройствах были недостаточно надежными.
Среди многих тысяч файлов, в разное время утекших от бывших и действующих сотрудников Пригожина, практически никогда не встречаются зашифрованные. Даже обычные архивы с паролем попадаются настолько редко, что их можно посчитать на пальцах, разве что сотрудник с позывным Привал пару раз ставил пароль на свои архивы, которые в дальнейшем в распакованном и расшифрованном виде все равно пересылались по бесплатной электронной почте — Mail.ru, Gmail, Yandex.ru или в мессенджерах. Пару раз «политологи» для передачи документов между собой пытались начать пользоваться зашифрованной почтой Tutanota, но вскоре вернулись обратно в Telegram. Доходит до смешного — сотрудники Пригожина перекидывают друг другу файлы по открытым каналам связи с просьбами «переслать их на адрес секретной почты».
Приоритеты
Стороннего наблюдателя не может не удивлять тот факт, что в «Вагнере» в принципе ведутся настолько подробные записи и составляется такое большое количество разнообразных документов по любому поводу. Зачем нужны все эти десятки тысяч расписок с паспортными данными и точными суммами? В чем смысл составления табличек в Excel с указанием, какие суммы выплачиваются официально, какие суммы выплачиваются черным налом, какого размера взятку выплатили тому или иному чиновнику, министру или повстанцу в далекой африканской стране?
Ответ на этот вопрос дает книга «Дилемма террориста: управление жестокими организациями» — секретные расходы позволяют сотрудникам воровать значительные суммы, поэтому даже самые криминальные ОПГ и самые настоящие террористы вынуждены вести подробную отчетность, сколько именно денег было потрачено на подкуп чиновников, покупку и перевозку оружия и питание своих боевиков. Многоуровневый контроль и аудит позволяют немного снизить, но не прекратить объемы воровства (особенно велики хищения на политических проектах). По этой же причине — «учет и контроль» — все отчеты, заявки, счета, обоснования, расписки, списки настоящих, бывших и потенциальных вагнеровцев многократно сканируются, дублируются и накапливаются в центральном офисе, что в случае взлома приводит к масштабнейшим утечкам сотен тысяч секретных документов.
Из-за смешения бизнес-деятельности с военной, разведкой, политическими грязными делами и медийной деятельностью возникает синергия. С другой стороны, это приносит огромные проблемы, так как уровень оперативной безопасности у отделов очень разный и все военные тайны разбалтывает какой-нибудь повар, помощница политического пиарщика или бухгалтер.
Получается странный дисбаланс: запугивание сотрудников полиграфом, требования удалять социальные сети, запрет на собственные смартфоны, использование криптотелефонов, подставных лиц для регистрации договоров с провайдерами, регулярные расследования на предмет утечек информации сочетаются с абсолютно наплевательским отношением к цифровой безопасности — нет сотрудников, нет обучения, нет инструкций, нет шифрования, нет качественного мониторинга сетевой инфраструктуры, в общем, можно продолжать довольно долго, в любом случае это не то, что ожидаешь увидеть от «транснациональной преступной организации». Как такое может быть?
Возможных объяснений несколько:
- некомпетентность и кумовство;
- сознательный саботаж со стороны сотрудников;
- экономия на спичках;
- другие приоритеты.
Представляется, что последний вариант наиболее вероятен: из анализа документов службы безопасности видно, что основные угрозы, с которыми борются Пригожин и службы безопасности «Вагнера» — «Конкорда», — это его собственные сотрудники, передающие журналистам, оппозиции и друзьям/знакомым материалы о деятельности «Вагнера», налоговая, от которой скрывают большие объемы черного нала, госорганы, от которых прячутся подставные участники тендеров, а также ФСБ. По неизвестным причинам сотрудники ЧВК «Вагнера» с друзьями или родственниками в ФСБ моментально попадают в черный список, а вот выходцы из МВД или ГРУ — нет. Как это ни удивительно, в списке угроз нет хакеров Anonymous, СБУ, ФБР, NSO Group или подобных организаций из стран, где сотрудники Пригожина вмешиваются в выборы или напрямую участвуют в военных действиях. По крайней мере никаких попыток хоть как-то серьезно отнестись к вопросам IT-безопасности со стороны структур «Конкорда» и «Вагнера» зафиксировано не было. Больше, чем от американцев, европейцев или украинцев, Пригожин прячется от ФСБ, которая всегда где-то рядом.
Комментариев нет:
Отправить комментарий