В феврале 2015 года Андрей Масалович, экс-подполковник ФАПСИ и создатель поисково-аналитической системы Avalanche, прилетел в Казань: здесь его ждало дело государственной важности. Через четыре месяца республика принимала Международный чемпионат по водным видам спорта. Спецслужбы опасались терактов. Из Сирии на родину возвращались люди, уехавшие строить халифат под знаменами ИГ*. Одни успели повоевать, другие только прошли тренировочные сборы. Система Avalanche должна была отследить связи экстремистов в интернете и социальных сетях и заранее предупредить силовиков об угрозах. «Мы хотели провести полную инвентаризацию [экстремистов], чтобы уже до конца весны зачистить поляну», — рассказывает Масалович.
В тот момент «зачистка» шла по всей стране. В Сирию уехали около 2400 россиян, подсчитали в американской Soufan Group, специализирующейся на стратегической разведке (доклад «Иностранные боевики. Обновленные оценки притока иностранных боевиков в Сирию и Ирак»). На 650 из них на родине были возбуждены уголовные дела. Вернулись не все. «На территории Сирии уничтожено более 2000 бандитов — выходцев из России, в том числе 17 полевых командиров», — докладывал Владимиру Путину министр обороны Сергей Шойгу в день, когда было принято решение о выводе войск. Война шла не только в Сирии, но и в киберпространстве.
По оценкам Group-IB, хакеры-исламисты из группировок Global Islamic Caliphate, Team System Dz, FallaGa Team атаковали около 600 российских сайтов госведомств и частных компаний.
Один лишь турецкий хакер ZoRRoKiN за одну неделю января 2015 года устроил серию DDoS- атак на 22 сайта: премьер-министра Дмитрия Медведева, Минюста, Минобороны, ФТС, Минфина, «Росатома», «Аэрофлота», ВТБ и т. д.
В соцсетях активно собирали деньги на войну с неверными и рекрутировали новых воинов джихада. «ИГ вкладывает огромные деньги в высокопрофессиональную целевую пропаганду — это позволяет рекрутировать новых боевиков, — говорит Forbes сенатор Дмитрий Саблин, первый заместитель председателя «Боевого братства». Летом прошлого года он направил в правительство и Госдуму справку об активности ИГ в интернете. — Значительную часть новых сторонников террористы вербуют через соцсети. И пока тут инициатива принадлежит им, а мы только реагируем».
В борьбе с исламистами теперь активно участвуют и частные компании. Сражения идут на всех киберфронтах: блокировка аккаунтов и электронных кошельков террористов, охота на вербовщиков, слежка за подозрительными сотрудниками в офисах. Forbes решил узнать, как это работает.
Вербовка провалена
18-летняя отличница из МГУ Варвара Караулова отправилась в Сирию, чтобы выйти замуж за человека, с которым она была знакома только виртуально: сначала в группе футбольного клуба ЦСКА в соцсети «ВКонтакте», а затем — в Viber и WhatsApp. Вербовщик из ИГ заставил девушку принять ислам, сменить имя на Амину, бросить семью и улететь в Стамбул. Но их встреча не состоялась. Отец беглянки Павел Караулов поднял на ноги прессу, МИД, ФСБ и турецкую полицию. Варвару задержали в приграничном городе Килис с группой перебежчиков. Караулов — человек со связями. Он был управляющим партнером сети Divizion, в 2011 году стал гендиректором ГК «Информзащита», разрабатывающей средства защиты информации по заказу спецслужб и госведомств. Могли ли террористы использовать девушку как инструмент для давления на отца? «Я этого не исключаю, — признается Forbes Караулов. — Для вербовщиков имеет значение и социальное положение жертвы — ценник [для выкупа] разный».
Вербовщика, которому удалось вскружить голову Варваре Карауловой, звали Айрат Саматов. Он уроженец Татарстана. И вместе с ним в ИГ в 2014-2015 годах, по данным регионального МВД, из республики уехали 59 человек. Из них вернулись шестеро. «Это люди с подготовкой, с боевым опытом. Вполне могли быть «слипперами» — агентами, которые ждут сигнала, чтобы «проснуться» и выполнить приказ», — говорит Андрей Масалович.
В феврале 2015 года он прилетел в Казань, чтобы на месте наладить работу своей поисково-аналитической системы Avalanche. К тому времени у Масаловича, бывшего офицера ФАПСИ, был богатый опыт работы по противодействию экстремизму и терроризму в интернете. После погромов в Бирюлево в 2013 году «Лавину Пульс» — это система раннего предупреждения на базе Avalanche — использовали в управлении оперативно-розыскной информации (УВОИ) МВД. В 2014 году Avalanche работала на Олимпиаде в Сочи: для руководства МВД готовили справки об угрозах из интернета — компромате, провокации. В Татарстане Масаловичу по заказу правоохранительных органов необходимо было провести анализ террористической и экстремистской активности.
Еще пять лет назад республика больше напоминала Северный Кавказ. На юге, в богатом нефтью Нурлатском районе, объявились «лесные братья», называвшие себя «Моджахеды Татарстана» («Чистопольский джамаат»). В 2012 году «лесные» перешли в наступление. В подъезде собственного дома был застрелен мусульманский богослов Валиуллу Якупов. Час спустя — взорван автомобиль муфтия Илдуса Файзова. В 2013 году в республике сгорели семь православных храмов. Кто-то обстрелял из самодельного гранатомета территорию ОАО «Нижнекамскнефтехим». К середине 2014 года силовики разгромили Чистопольский джамаат, но о себе вдруг заявило ИГ.
Чтобы развернуть систему Avalanche, команде Масаловича потребовалась неделя. Вначале аналитики вручную «пристреляли» источники оперативных угроз: «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки» и т. д. Дальше по этим целям начинают работать поисковые роботы, они прочесывают «белый» интернет — СМИ, соцсети, форумы, блоги. Найденная информация автоматически распределяется по темам («умным папкам») и ложится в основу досье, отчетов или прогнозов.
Параллельно Avalanche работал по соцсетям: анализировал и выстраивал структуру связей членов «Чистопольского джамамата» (см. скриншот) и боевиков ИГ: выявлялись вербовщики, лидеры мнений и группы поддержки. Для наглядности собранную информацию Масалович перекидывает в Gephi (программа визуализации и построения графов) — дерево связей. Деталей расследования Масалович не сообщает — оперативная тайна, но в качестве примера демонстрирует группу HalifatNews в «ВКонтакте». «На первый взгляд аудитория не очень большая — 146 мужчин и 32 женщины, — замечает Масалович. — Но в нее входит проповедница Ibada Lillahi, которая координирует деятельность женских мусульманских групп. Посмотрите на ее окружение. Впечатляет?»
Вербовка в соцсетях никогда никогда не будет происходить в открытую, никто влобовую не призывает человека вступить в ИГ, замечает разработчик Avalanche. Создаются нейтральные группы «Любители хиджаба» или более агрессивные «Мы против США», и уже в них вербовщики выходят на контакт с теми, кто активно лайкает или комментирует посты. «Вербовщику нужны две вещи: чтобы с ним заговорили и заинтересовать своими взглядами на ситуацию», — говорит Масалович.
По его словам, вербовщики выбирают ребят из бедных семей, помогают деньгами, обрабатывают, потом начинают запугивать, что его якобы уже ищут спецслужбы.
Вербовка обычно заканчивается «повязыванием кровью» — кандидата заставляют совершить преступление. К девушкам другой подход — их ждет судьба военно-полевых жен или смертниц.
Кошелек или жизнь?
Мужчина в арафатке целится из пистолета прямо мне в грудь. За его спиной кровавое зарево. Внизу подпись: «Снарядивший воина в поход на пути Аллаха сам принял в нем участие, и заменивший собой участника такого похода в заботах о его семье принял в нем участие» и реквизиты QIWI-кошелька и Яндекс-деньги. Этот пост размещен «В Контакте» на странице одного из жителей Уфы. Если это не интернет-мошенники, то средства наверняка отправятся террористам.
Электронные платежные системы не готовы рисковать своей репутацией. Летом 2014 года компания QIWI в дополнение к уже имеющимся инструментам противодействия отмыванию доходов и финансированию терроризма привлекла агентство Sidorin Lab для мониторинга в соцсетях и поисковой выдачи экстремистских постов с реквизитами QIWI-кошелька. «Эта тема в большом приоритете, — подтверждает корпоративный риск менеджер платежного сервиса QIWI Денис Персанов. — У нас популярный сервис, активных клиентов около 16 млн, и мы всегда жестко пресекаем случаи, когда его пытаются использовать экстремисты или мошенники».
Вначале Sidorin Lab находили много подозрительных кошельков. «Это был пик, потом количество стало снижаться», — вспоминает Персанов. Sidorin Lab передает скриншоты и адреса подозрительных кошельков в QIWI, а они их блокируют в соответствии с требованиями внутренних политик и закона о противодействии отмывания доходов и финансирования терроризма. «Компания тесно сотрудничает с правоохранительными органами», — говорит Персанов, не конкретизируя деталей. Это значит, что оперативники потом пытаются распутать финансовый клубок и выйти на след не только тех, кому предназначаются деньги, но и тех, кто их перечислял.
Проще всего было обнаружить группы или посты в «ВКонтакте», в которых сторонники ИГ призывали скинуться на войну с неверными, замечает замгендиректора и совладелец Sidorin Lab Никита Прохоров. Когда модераторы стали удалять такие группы и посты, просьбы о финансовой помощи стали появляться в комментариях и чатах. «Экстремисты пытаются маскироваться: реквизиты внедряют прямо на фотографии или в видеоролики — их так труднее обнаружить».
Летом 2015 года у Sidorin Lab появился еще один заказчик, который интересовался экстремистской темой — «Боевое братство». «Поиском и блокировкой акаунтов, связанных с ИГ, планомерно занимаются наши спецслужбы. А мы в меру сил содействуем им в этой работе, — объясняет сенатор Дмитрий Саблин. — Второе направление — это идеологическое противодействие вербовке террористов. Пропагандисты ИГ используют недоверие к бюрократии, одиночество, разочарование, жажду справедливости, такую естественную у молодых. Среди них есть отличные психологи». По словам Саблина, у «Боевого братства» есть специальная группа, которая противодействует вербовщикам, — в нее входят специалисты по антитеррору, интернет-безопасности, арабисты и сирийские духовные лидеры.
Летом прошлого года Дмитрий Сидорин по просьбе Саблина участвовал в подготовке аналитической записки об активности ИГ в российском сегменте интернета. «Нас поразили объемы: в те дни количество упоминаний ИГ в соцсетях доходило до 10 000 упоминаний в сутки», — вспоминает основатель компании Дмитрий Сидорин. По его словам, распространение новостей и сообщений про ИГ в основном происходило «ВКонтакте» и Facebook.
Собеседник в одном из профильных управлений ФСБ подтверждает, что сотрудничество спецслужб с частными компаниями ведется, но, скорее всего, оно неофициальное. «Использовать стороннее ПО официально у нас не разрешено, — уверяет источник Forbes. — Конечно, у нас есть свои разработки — по поиску и по анализу в соцсетях. Инструменты могут меняться, но такая работа никогда не прекращалась».
По его словам, наибольший интерес у органов сейчас вызывают защищенные каналы связи, по которым проходит координация, — интернет-рация Zello, мессенджер Павла Дурова Telegram. «Здесь уровень шифрования очень хороший, но оперативникам зачастую важно установить сам факт, что человек общается с другим, используя защищенные каналы связи», — подверждает Масалович. Под подозрением оказались и чаты популярных онлайн-игр. Например, в игре Clash of Kings, рассказывает отдин из сотрудников спецслужб, существовала арабская группировка, в которой постоянно звучали призывы вступать в ИГ.
«Под колпаком»
В крупном магазине электроники с сетью по всей России арестовали начальника центрального склада. Он использовал служебные грузовики, которые развозили товары по регионам, для переброски наркотиков. Наркоторговля – один из основных источников дохода терроризма, говорит Лев Матвеев, председатель совета директоров группы компаний SearchInform. Так под прикрытием легальной работы драгдилер создал целую сеть, но прокололся в одном — все вопросы обсуждал в Skype.
В компании была установлена DLP-система, которая позволяет отслеживать каждый клик сотрудника в офисе — мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, запросы в поисковиках, использование приложений и т. д. По информации SearchInform на март 2016-го, уже 1688 компаний-клиентов запросили установку политик по выявлению террористических угроз. В первую очередь такой сервис интересует компании из нефтегазового сектора, промышленные, государственные и оборонные предприятия, компании из кредитно-финансового сектора, ритейл.
Чтобы найти в офисе «чужих среди своих», в программе используются специальные словари. Например, в политику ИГ входят словари, содержащие специальные термины: фетва, шахада, умма, кафир, кяфир, мунафик; синонимические ряды, например, к слову мусульманин: муслим, муслик, правоверный, друз, гаджи, хаджи, исламист; сленговые выражения: калаш, граник (гранатомет), коробочка (БТР), самовар (миномет), лифчик (разгрузочный жилет). Когда одно из этих слов-маркеров встречается в переписке сотрудника, об этот тут же становится известно офицеру службы безопасности.
В одной компании в перехват попала переписка сотрудников в корпоративном чате — они обсуждали войну в Сирии. Один из собеседников негативно высказывался о роли России. Система среагировала на «негатив», офицеры безопасности "капнули" неблагонадежного сотрудника и увидели, что этот человек на работе скачивал и распечатывал брошюры религиозной тематики. Его не уволили, но внесли в “группу риска”. Если сотрудник ИБ нашел доказательства нарушения закона, он обязан оповестить об этом органы. Бизнес перестраховывается: если в компании обнаружатся пособники террористов, проблемы будут и у них — это будет огромное пятно на репутации.
Запрос на подобную услугу — технологию мониторинга экстремистских высказываний — появился примерно 5 лет назад, говорит Константин Левин, директор по продажам компании InfoWatch. «Сейчас предприятия-заказчики хотят застраховаться от рисков, связанных с тем, что их наемные сотрудники могут оказаться членами запрещенных в России организаций», — замечает Левин. Kribrum от InfoWatch использует лингвистические технологии при мониторинге соцсетей и ежедневно в режиме online анализирует более 60 млн сообщений из 250 млн аккаунтов и 20 000 СМИ. «Это позволяет нам считать, что мы по крайней мере видим общую картину, — говорит Левин. По его мнению, в информационной войне наше государство пока выступает в роли обороняющейся стороны и в лучшем случае лишь реагирует на угрозы: «Технологии, которые разрабатывает в том числе и наша компания, могут помочь России, по крайней мере сравнять счет и перейти к атаке в Рунете».
Левин приводит наиболее типичный пример вербовки, который был замечен InfoWatch в российских компаниях: красавец-мужчина восточной внешности знакомится через интернет с девушкой из России, влюбляет ее в себя и зовет жить в Финляндию, Швецию, Норвегию. Уже там начинается религиозная обработка.
«Потом девушка оказывается в Сирии, одна в чужой стране, полностью под влиянием своего возлюбленного, может стать шахидкой».
Бывает и по-другому. После истории Варвары Карауловой руководство одной из компаний решило контролировать интернет-активность сотрудников в офисе: общение в форумах, чатах, заходы на экстремистские сайты и чтение религиозной литературы. Среди запросов нашли, например, такое: “Кто такие неверные?” или “Все мы принадлежим Аллаху, и все мы возвращаемся к нему”. А две сотрудницы в чате обсуждали нового знакомого из Facebook - он правоверный мусульманин, зовет одну из девушек замуж и предлагал купить билет в Турцию. «Безопасники тут же провели семинар, на котором рассказали о методах вербовки и социальной инженерии», — говорит Матвеев из SearchInform. — Девушку увольнять не стали, но охоту к знакомству в интернете, похоже, отбили».
ИГ* — террористическая организация, запрещенная в России