В четверг Управление по информационной безопасности правительства Франции заявило, что не выявило никакого «российского следа» в кибератаке на Эммануэля Макрона. Чуть более расплывчато выступил Владимир Путин, заявив накануне, что если это и были российские хакеры, то точно не связанные с государством. Однако же, как удалось выяснить The Insider, взломавшие Макрона имели самое прямое отношение к государству – ими были действующие сотрудники Главного разведывательного управления российских вооруженных сил.

В начале мая The Insider уже писал о том, что в метаданных взломанных писем президента Франции Эммануэля Макрона было обнаружено имя Георгия Петровича Рошки. Тогда The Insider было известно о нем еще не так много: например то, что он в качестве сотрудника ЗАО «Эврика» посещал конференцию по информационным технологиям ПАВТ-2014, и что «Эврика» плотно сотрудничает с Минобороны. Удалось также выяснить и то, что вместе с Рошкой на конференцию (также от лица «Эврики») ездил Сергей Зайцев, работающий в Центре специальных разработок Министерства обороны РФ, и что этот центр набирает сотрудников, профессионально знакомых с программированием и криптографией. В «Эврике» официально ответили The Insider, что Рошка никогда не работал в компании и от ее лица никто на конференцию ПАВТ-2014 не ездил. В «Эврике» также сообщили, что «в открытых источниках» можно найти информацию, что Рошка в 2016 и 2017 годах тоже участвовал в конференции ПАВТ, но «в другом статусе». В каком статусе, и что это за открытые источники, в «Эврике» пояснить не смогли (поиск в интернете не позволял обнаружить никаких следов участия Рошки в более поздних конференциях, да и вообще никаких других его упоминаний). The Insider попытался получить эту информацию от организаторов конференции - и вот тут-то начались странности.

Конференция особого назначения

Один из ключевых организаторов конференции, сопредседатель Программного комитета ПАВТ Леонид Соколинский (завкафедрой системного программирования ЮУрГУ) сообщил The Insider, что не может предоставить данные об участниках конференции в 2016 и 2017 годах, так как произошел «сбой в базе данных, в результате которого диски вышли из строя и информация не сохранилась». По его словам, сбой произошел из-за того, что система хранения была старой. Он также отметил, что на конференцию может записаться «любой человек с улицы» и откуда он - никак не проверяется.

Что ж, похоже The Insider просто не повезло. Но на всякий случай издание обратилось к еще одному соорганизатору конференции - Владимиру Воеводину, завкафедры суперкомпьютеров и квантовой информатики МГУ, и он неожиданно представил совсем иной ответ: список участников у него есть, но дать он его не может из-за решения не раскрывать персональные данные. На вопрос о том, почему же в 2014 году этот список открыто вывешивался на сайте, Воеводин ответил, что «к персональным данным начали относиться серьезнее».

По поводу процедуры регистрации участников Воеводин ответил, что желающие подают заявку, затем «работа экспертируется, пишется рецензия, выбираются самые сильные. Если принято – значит выступает человек». При этом, по его словам, никто не проверяет, из какой организации участник: «Запрос в организацию не пишется, что, мол, институт такой-то представил такую-то работу за подписью такого-то человека. Организаторы смотрят лишь научную составляющую работы и ее соответствие тематике конференции».

Все бы хорошо, но Рошка никакого доклада на конференции не представлял, да и вообще число докладчиков на конференции было заметно ниже числа участников. Да и не похоже было, что на мероприятие пускали людей с улицы. В частности, в списке участников значились военнослужащие. Например, Иван Кирин, Андрей Кузнецов и Олег Скворцов зарегистрировались от военной части №71330. Судя по информации в открытых источниках, эта военная часть специализируется на электронной разведке, радиоперехвате и дешифровке. А Александр Печкуров и Кирилл Федотов зарегистрировались от военной части №51952 радиоперехвата 16-го центра ФСБ России. Кроме того в конференции участвовали сразу три сотрудника ФГУП НИИ «Квант», подведомственного ФСБ, который еще в 2015 году уличили в связях с хакерами.

Как получилось, что сотрудники спецслужб открыто регистрируются под своими именами? Владимир Воеводин заявил The Insider, что «о секретности заботятся сами участники, вся ответственность лежит на них».

Но главный вопрос так и не удавалось получить ответ - кто такой Рошка и в каком статусе он фигурировал на последующих конференциях? Чтобы выяснить это, The Insider разослал письма всем участникам конференции ПАВТ 2014 года с просьбой выслать состав участников за 2016 и 2017 год. И один из адресатов переслал оба документа.

В 2016 году напротив имени Георгия Рошки значилось «Войсковая часть №26165, специалист».

85-й главный центр специальной службы ГРУ, он же - войсковая часть №26165, специализируется на криптографии.

Хакеры ГРУ

Бывшего руководителя 85-го главного центра специальной службы ГРУ Сергея Гизунова после загадочной смерти главы ГРУ Игоря Сергуна прочили на его место, но он стал лишь заместителем нового главы - Игоря Коробова. И Гизунов, и Коробов сегодня находятся под американскими санкциями в связи с «действиями по подрыву демократии в США» - то есть именно в связи с хакерскими атаками. Но если Коробов попал под санкции просто как глава ГРУ, то Гизунов к кибератакам мог иметь самое прямое отношение - он специалист по криптографии, имеющий по этой тематике целый ряд научных работ. Той же тематикой занимался и подчиненный ему 85-й главный центр специальной службы, расположенный в Москве по адресу Комсомольский проспект, д. 20. Именно в это историческое здание (бывшие Хамовнические казармы, построенные еще при Александре I), судя по всему, и ходил на службу Георгий Рошка.

Сергей Зайцев, который от лица «Эврики» также ездил с Рошкой на ПАВТ-2014, а затем засветился как сотрудник Центра специальных разработок Министерства обороны РФ, в 2016 и 2017 году в списке участников не фигурирует. Но вот что любопытно: если в 2016 году Рошка зарегистрирован от войсковой части, то в 2017 году он значится как «научный сотрудник Центра стратегических разработок». Скорее всего, имеется в виду все тот же Центр специальных разработок Минобороны (сложно ведь представить, что Рошка вдруг устроился на работу к Кудрину). Но нельзя исключать, что эта должность была просто прикрытием: просто надо было что-то внести в анкету. Но почему Рошка в 2014 году представлялся сотрудником компании «Эврика» - это тоже было прикрытием? Или он все-таки имеет какое-то к ней отношение?

«Эврика» и фабрика хакеров

В «Эврике» категорически отрицают какую-либо связь с Рошкой:

«Настоящим сообщаем, что Рошка Георгий Петрович в период с 01.01.2003 года по 10.05.2017 в ЗАО «ЭВРИКА» ИНН 7827008143 не работал на постоянной основе и с ним не заключались договора гражданско-правого характера. Также Рошка Георгий Петрович не обнаружен в списках слушателей учебного центра, а также в базе электронных адресов домена .eureca.ru».

Проверить правдивость этого ответа не представляется возможным. Но именно учебный центр «Эврики» представляет особый интерес. Формально он проводит «курсы по информационным технологиям». Но хорошо знакомые с компанией источники The Insider (попросившие об анонимности), сообщили, что тот самый «учебный центр» «Эврики» среди прочего занимается подготовкой будущих хакеров среди сотрудников спецслужб.

Минобороны России не отрицает наличие кибервойск, но где именно располагаются фабрики подготовки хакеров, конечно, не сообщается. Возможно, Московский проспект, 118 - это одно из таких мест.

Любопытно, что, как удалось выяснить проекту «Муниципальный сканер», один из трех совладельцев «Эврики» Александр Киналь в февраля этого года приобрел квартиру в элитном доме на Каменном острове Санкт-Петербурга по адресу 2-я Березовая аллея, д 19. The Insider уже писал об этом легендарном доме, в котором проживает ближайшее окружение Владимира Путина, в том числе его друг по дзюдо Аркадий Ротенберг, бывший управделами президента Владимир Кожин, некоторые члены кооператива «Озеро» (Николай Шамалов, Юрий Ковальчук, Сергей Фурсенко и Виктор Мячин) и экс-глава Малышевской преступной группировки Геннадий Петров. Именно квартиру Петрова площадью 478,7 кв.м (ориентировочная стоимость примерно $9 млн) по данным «Муниципального сканера» и купил совладелец «Эврики».

Стадия отрицания

Любопытно, что Владимир Путин отрицает связь хакеров с Россией уже не так категорично, мол - они могут быть просто российскими патриотами, которые действуют независимо от государства:

"Фон межгосударственных отношений имеет значение и в этом случае, потому что хакеры – это же люди свободные, как художники: настроение у них хорошее, они встали с утра и занимаются тем, что картины рисуют. Так же и хакеры. Они проснулись сегодня, прочитали, что там что-то происходит в межгосударственных отношениях; если они настроены патриотически, они начинают вносить свою лепту, как они считают, правильную, в борьбу с теми, кто плохо отзывается о России. Возможно? Теоретически возможно. На государственном уровне мы никогда этим не занимаемся, вот что самое важное, вот что самое главное."

История про «свободных художников» появилась не случайно. Десятки организаций в сфере кибербезопасности из разных стран, изучившие деятельность группировок, известных как Fancy Bear и Cozy Bear, собрали достаточно данных, свидетельствующих о том, что представители этих двух группировок действуют из крупных городов России, владеют русским языком, работают по российскому рабочему времени (отдыхая в те дни, которые в России являются выходными) и атакуют те цели, которые могут интересовать российское правительство - как за рубежом (Хиллари Клинтон, Эммануэль Макрон, целый ряд европейских политиков и журналистов, НАТОвские военные объекты, цели в Украине и Грузии и т.д.), так и внутри страны (оппозиционеры, журналисты, сотрудники НКО). Отрицать связь хакеров из этих двух группировок с Россией сегодня уже невозможно. Но можно попытаться представить их как независимых субъектов. Примерно так же, как независимыми акторами представляли «ополченцев Новороссии».

Ранее это оправдание опровергалось лишь косвенными свидетельствами (например, тем фактом, что операции Fancy Bear и Cozy Bear, по оценкам экспертов, требовали постоянно работающего большого штата хорошо подготовленных сотрудников и серьезных финансовых средств - «свободным художникам» это не под силу). Теперь же участие ГРУ подтверждено прямыми доказательствами. Попытки Путина объяснить все тем, что «кто-то вставил флешку с именем какого-то российского гражданина», также едва ли кого-то убедят: имя Рошки никогда ранее не всплывало ни в связи с хакерами, ни в связи с ГРУ (и, возможно, не всплыло бы, не будь этого расследования), поэтому использоваться для провокации оно не могло.

О том, где еще могли располагаться «фабрики хакеров» и кто курировал их работу от Кремля - читайте в следующих расследованиях The Insider.

Материал подготовлен при участии:

Анастасии Кириленко, Сергея Канева, Ивы Цой, Анны Бегиашвили