Виртуальный халифат: как Россия воюет с ИГ в интернете
В феврале 2015 года Андрей Масалович, экс-подполковник ФАПСИ и создатель поисково-аналитической системы Avalanche , прилетел в Казань: здесь его ждало дело государственной важности . Через четыре месяца республика принимала Международный чемпионат по водным видам спорта. Спецслужбы опасались терактов. Из Сирии на родину возвращались люди, уехавшие строить халифат под знаменами ИГ*. Одни успели повоевать, другие только прошли тренировочные сборы. Система Avalanche должна была отследить связи экстремистов в интернете и социальных сетях и заранее предупредить силовиков об угрозах. « Мы хотели провести полную инвентаризацию [экстремистов], чтобы уже до конца весны зачистить поляну » , — рассказывает Масалович.
В тот момент « зачистка » шла по всей стране. В Сирию уехали около 2400 россиян , подсчитали в американской Soufan Group, специализирующейся на стратегической разведке ( доклад « Иностранные боевики. Обновленные оценки притока иностранных боевиков в Сирию и Ирак » ). На 650 из них на родине были возбуждены уголовные дела. Вернулись не все. «На территории Сирии уничтожено более 2000 бандитов — выходцев из России, в том числе 17 полевых командиров», — докладывал Владимиру Путину министр обороны Сергей Шойгу в день, когда было принято решение о выводе войск. Война шла не только в Сирии, но и в киберпространстве.
По оценкам Group-IB, хакеры-исламисты из группировок Global Islamic Caliphate, Team System Dz, FallaGa Team атаковали около 600 российских сайтов госведомств и частных компаний.
Один лишь турецкий хакер ZoRRoKiN за одну неделю января 2015 года устроил серию DDoS- атак на 22 сайта: премьер-министра Дмитрия Медведева, Минюста, Минобороны, ФТС, Минфина, «Росатома», «Аэрофлота», ВТБ и т. д.
В соцсетях активно собирали деньги на войну с неверными и рекрутировали новых воинов джихада. « ИГ вкладывает огромные деньги в высокопрофессиональную целевую пропаганду — это позволяет рекрутировать новых боевиков, — говорит Forbes сенатор Дмитрий Саблин, первый заместитель председателя «Боевого братства». Летом прошлого года он направил в правительство и Госдуму справку об активности ИГ в интернете. — Значительную часть новых сторонников террористы вербуют через соцсети. И пока тут инициатива принадлежит им, а мы только реагируем » .
В борьбе с исламистами теперь активно участвуют и частные компании. Сражения идут на всех киберфронтах: блокировка аккаунтов и электронных кошельков террористов, охота на вербовщиков, слежка за подозрительными сотрудниками в офисах. Forbes решил узнать, как это работает.
Вербовка провалена
18-летняя отличница из МГУ Варвара Караулова отправилась в Сирию, чтобы выйти замуж за человека, с которым она была знакома только виртуально: сначала в группе футбольного клуба ЦСКА в соцсети «ВКонтакте», а затем — в Viber и WhatsApp. Вербовщик из ИГ заставил девушку принять ислам, сменить имя на Амину, бросить семью и улететь в Стамбул. Но их встреча не состоялась. Отец беглянки Павел Караулов поднял на ноги прессу, МИД, ФСБ и турецкую полицию. Варвару задержали в приграничном городе Килис с группой перебежчиков. Караулов — человек со связями. Он был управляющим партнером сети Divizion, в 2011 году стал гендиректором ГК «Информзащита», разрабатывающей средства защиты информации по заказу спецслужб и госведомств. Могли ли террористы использовать девушку как инструмент для давления на отца? «Я этого не исключаю, — признается Forbes Караулов. — Для вербовщиков имеет значение и социальное положение жертвы — ценник [для выкупа] разный».
Вербовщика, которому удалось вскружить голову Варваре Карауловой, звали Айрат Саматов. Он уроженец Татарстана. И вместе с ним в ИГ в 2014-2015 годах, по данным регионального МВД, из республики уехали 59 человек. Из них вернулись шестеро. «Это люди с подготовкой, с боевым опытом. Вполне могли быть «слипперами» — агентами, которые ждут сигнала, чтобы «проснуться» и выполнить приказ», — говорит Андрей Масалович.
В феврале 2015 года он прилетел в Казань, чтобы на месте наладить работу своей поисково-аналитической системы Avalanche. К тому времени у Масаловича, бывшего офицера ФАПСИ, был богатый опыт работы по противодействию экстремизму и терроризму в интернете. После погромов в Бирюлево в 2013 году «Лавину Пульс» — это система раннего предупреждения на базе Avalanche — использовали в управлении оперативно-розыскной информации (УВОИ) МВД. В 2014 году Avalanche работала на Олимпиаде в Сочи: для руководства МВД готовили справки об угрозах из интернета — компромате, провокации. В Татарстане Масаловичу по заказу правоохранительных органов необходимо было провести анализ террористической и экстремистской активности.
Еще пять лет назад республика больше напоминала Северный Кавказ. На юге, в богатом нефтью Нурлатском районе, объявились «лесные братья», называвшие себя «Моджахеды Татарстана» («Чистопольский джамаат»). В 2012 году «лесные» перешли в наступление. В подъезде собственного дома был застрелен мусульманский богослов Валиуллу Якупов. Час спустя — взорван автомобиль муфтия Илдуса Файзова. В 2013 году в республике сгорели семь православных храмов. Кто-то обстрелял из самодельного гранатомета территорию ОАО «Нижнекамскнефтехим». К середине 2014 года силовики разгромили Чистопольский джамаат, но о себе вдруг заявило ИГ.
Чтобы развернуть систему Avalanche, команде Масаловича потребовалась неделя. Вначале аналитики вручную «пристреляли» источники оперативных угроз: «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки» и т. д. Дальше по этим целям начинают работать поисковые роботы, они прочесывают «белый» интернет — СМИ, соцсети, форумы, блоги. Найденная информация автоматически распределяется по темам («умным папкам») и ложится в основу досье, отчетов или прогнозов.
Параллельно Avalanche работал по соцсетям: анализировал и выстраивал структуру связей членов «Чистопольского джамамата» (см. скриншот) и боевиков ИГ: выявлялись вербовщики, лидеры мнений и группы поддержки. Для наглядности собранную информацию Масалович перекидывает в Gephi (программа визуализации и построения графов) — дерево связей. Деталей расследования Масалович не сообщает — оперативная тайна, но в качестве примера демонстрирует группу HalifatNews в «ВКонтакте». «На первый взгляд аудитория не очень большая — 146 мужчин и 32 женщины, — замечает Масалович. — Но в нее входит проповедница Ibada Lillahi, которая координирует деятельность женских мусульманских групп. Посмотрите на ее окружение. Впечатляет?»
Вербовка в соцсетях никогда никогда не будет происходить в открытую, никто влобовую не призывает человека вступить в ИГ, замечает разработчик Avalanche. Создаются нейтральные группы «Любители хиджаба» или более агрессивные «Мы против США», и уже в них вербовщики выходят на контакт с теми, кто активно лайкает или комментирует посты. «Вербовщику нужны две вещи: чтобы с ним заговорили и заинтересовать своими взглядами на ситуацию», — говорит Масалович.
По его словам, вербовщики выбирают ребят из бедных семей, помогают деньгами, обрабатывают, потом начинают запугивать, что его якобы уже ищут спецслужбы.
Вербовка обычно заканчивается « повязыванием кровью » — кандидата заставляют совершить преступление. К девушкам другой подход — их ждет судьба военно-полевых жен или смертниц .
Кошелек или жизнь?
Мужчина в арафатке целится из пистолета прямо мне в грудь. За его спиной кровавое зарево. Внизу подпись: «Снарядивший воина в поход на пути Аллаха сам принял в нем участие, и заменивший собой участника такого похода в заботах о его семье принял в нем участие» и реквизиты QIWI-кошелька и Яндекс-деньги. Этот пост размещен «В Контакте» на странице одного из жителей Уфы. Если это не интернет-мошенники, то средства наверняка отправятся террористам.
Электронные платежные системы не готовы рисковать своей репутацией. Летом 2014 года компания QIWI в дополнение к уже имеющимся инструментам противодействия отмыванию доходов и финансированию терроризма привлекла агентство Sidorin Lab для мониторинга в соцсетях и поисковой выдачи экстремистских постов с реквизитами QIWI-кошелька. «Эта тема в большом приоритете, — подтверждает корпоративный риск менеджер платежного сервиса QIWI Денис Персанов. — У нас популярный сервис, активных клиентов около 16 млн, и мы всегда жестко пресекаем случаи, когда его пытаются использовать экстремисты или мошенники».
Вначале Sidorin Lab находили много подозрительных кошельков. «Это был пик, потом количество стало снижаться», — вспоминает Персанов. Sidorin Lab передает скриншоты и адреса подозрительных кошельков в QIWI, а они их блокируют в соответствии с требованиями внутренних политик и закона о противодействии отмывания доходов и финансирования терроризма. «К омпания тесно сотрудничает с правоохранительными органами », — говорит Персанов, не конкретизируя деталей. Это значит, что оперативники потом пытаются распутать финансовый клубок и выйти на след не только тех, кому предназначаются деньги, но и тех, кто их перечислял.
Проще всего было обнаружить группы или посты в «ВКонтакте», в которых сторонники ИГ призывали скинуться на войну с неверными, замечает замгендиректора и совладелец Sidorin Lab Никита Прохоров. Когда модераторы стали удалять такие группы и посты, просьбы о финансовой помощи стали появляться в комментариях и чатах. «Экстремисты пытаются маскироваться: реквизиты внедряют прямо на фотографии или в видеоролики — их так труднее обнаружить».
Летом 2015 года у Sidorin Lab появился еще один заказчик, который интересовался экстремистской темой — «Боевое братство». «Поиском и блокировкой акаунтов, связанных с ИГ, планомерно занимаются наши спецслужбы. А мы в меру сил содействуем им в этой работе, — объясняет сенатор Дмитрий Саблин. — Второе направление — это идеологическое противодействие вербовке террористов. Пропагандисты ИГ используют недоверие к бюрократии, одиночество, разочарование, жажду справедливости, такую естественную у молодых. Среди них есть отличные психологи». По словам Саблина, у «Боевого братства» есть специальная группа, которая противодействует вербовщикам, — в нее входят специалисты по антитеррору, интернет-безопасности, арабисты и сирийские духовные лидеры.
Летом прошлого года Дмитрий Сидорин по просьбе Саблина участвовал в подготовке аналитической записки об активности ИГ в российском сегменте интернета. «Нас поразили объемы: в те дни количество упоминаний ИГ в соцсетях доходило до 10 000 упоминаний в сутки», — вспоминает основатель компании Дмитрий Сидорин. По его словам, распространение новостей и сообщений про ИГ в основном происходило «ВКонтакте» и Facebook.
Собеседник в одном из профильных управлений ФСБ подтверждает, что сотрудничество спецслужб с частными компаниями ведется, но, скорее всего, оно неофициальное. «Использовать стороннее ПО официально у нас не разрешено, — уверяет источник Forbes. — Конечно, у нас есть свои разработки — по поиску и по анализу в соцсетях. Инструменты могут меняться, но такая работа никогда не прекращалась».
По его словам, наибольший интерес у органов сейчас вызывают защищенные каналы связи, по которым проходит координация, — интернет-рация Zello, мессенджер Павла Дурова Telegram. «Здесь уровень шифрования очень хороший, но оперативникам зачастую важно установить сам факт, что человек общается с другим, используя защищенные каналы связи», — подверждает Масалович. Под подозрением оказались и чаты популярных онлайн-игр. Например, в игре Clash of Kings, рассказывает отдин из сотрудников спецслужб, существовала арабская группировка, в которой постоянно звучали призывы вступать в ИГ.
«Под колпаком»
В крупном магазине электроники с сетью по всей России арестовали начальника центрального склада. Он использовал служебные грузовики, которые развозили товары по регионам, для переброски наркотиков. Наркоторговля – один из основных источников дохода терроризма, говорит Лев Матвеев, председатель совета директоров группы компаний SearchInform. Так под прикрытием легальной работы драгдилер создал целую сеть, но прокололся в одном — все вопросы обсуждал в Skype.
В компании была установлена DLP-система, которая позволяет отслеживать каждый клик сотрудника в офисе — мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, запросы в поисковиках, использование приложений и т. д. По информации SearchInform на март 2016-го, уже 1688 компаний-клиентов запросили установку политик по выявлению террористических угроз. В первую очередь такой сервис интересует компании из нефтегазового сектора, промышленные, государственные и оборонные предприятия, компании из кредитно-финансового сектора, ритейл.
Чтобы найти в офисе «чужих среди своих», в программе используются специальные словари. Например, в политику ИГ входят словари, содержащие специальные термины: фетва, шахада, умма, кафир, кяфир, мунафик; синонимические ряды, например, к слову мусульманин: муслим, муслик, правоверный, друз, гаджи, хаджи, исламист; сленговые выражения: калаш, граник (гранатомет), коробочка (БТР), самовар (миномет), лифчик (разгрузочный жилет). Когда одно из этих слов-маркеров встречается в переписке сотрудника, об этот тут же становится известно офицеру службы безопасности.
В одной компании в перехват попала переписка сотрудников в корпоративном чате — они обсуждали войну в Сирии. Один из собеседников негативно высказывался о роли России. Система среагировала на «негатив», офицеры безопасности "капнули" неблагонадежного сотрудника и увидели, что этот человек на работе скачивал и распечатывал брошюры религиозной тематики. Его не уволили, но внесли в “группу риска”. Если сотрудник ИБ нашел доказательства нарушения закона, он обязан оповестить об этом органы. Бизнес перестраховывается: если в компании обнаружатся пособники террористов, проблемы будут и у них — это будет огромное пятно на репутации.
Запрос на подобную услугу — технологию мониторинга экстремистских высказываний — появился примерно 5 лет назад, говорит Константин Левин, директор по продажам компании InfoWatch. «Сейчас предприятия-заказчики хотят застраховаться от рисков, связанных с тем, что их наемные сотрудники могут оказаться членами запрещенных в России организаций», — замечает Левин. Kribrum от InfoWatch использует лингвистические технологии при мониторинге соцсетей и ежедневно в режиме online анализирует более 60 млн сообщений из 250 млн аккаунтов и 20 000 СМИ. «Это позволяет нам считать, что мы по крайней мере видим общую картину, — говорит Левин. По его мнению, в информационной войне наше государство пока выступает в роли обороняющейся стороны и в лучшем случае лишь реагирует на угрозы: «Технологии, которые разрабатывает в том числе и наша компания, могут помочь России, по крайней мере сравнять счет и перейти к атаке в Рунете».
Левин приводит наиболее типичный пример вербовки, который был замечен InfoWatch в российских компаниях: красавец-мужчина восточной внешности знакомится через интернет с девушкой из России, влюбляет ее в себя и зовет жить в Финляндию, Швецию, Норвегию. Уже там начинается религиозная обработка.
«Потом девушка оказывается в Сирии, одна в чужой стране, полностью под влиянием своего возлюбленного, может стать шахидкой».
Бывает и по-другому. После истории Варвары Карауловой руководство одной из компаний решило контролировать интернет-активность сотрудников в офисе: общение в форумах, чатах, заходы на экстремистские сайты и чтение религиозной литературы. Среди запросов нашли, например, такое: “Кто такие неверные?” или “Все мы принадлежим Аллаху, и все мы возвращаемся к нему”. А две сотрудницы в чате обсуждали нового знакомого из Facebook - он правоверный мусульманин, зовет одну из девушек замуж и предлагал купить билет в Турцию. «Безопасники тут же провели семинар, на котором рассказали о методах вербовки и социальной инженерии», — говорит Матвеев из SearchInform. — Девушку увольнять не стали, но охоту к знакомству в интернете, похоже, отбили».