расширенная версия

С.-ПЕТЕРБУРГ, 20 июн - Прайм. Глава РЖД Владимир Якунин стал в среду вечером жертвой изощренной дезинформации - сразу несколько российских и иностранных информационных агентств получили и выпустили фальшивое сообщение о его отставке с поста главы монополии, пришедшее с адреса, полностью имитирующего официальный почтовый ящик пресс-службы правительства, и имеющее все признаки настоящего: шапку, подпись, стиль изложения.

Сообщение, содержавшее все традиционные для официальной правительственной рассылки элементы, с шапкой и выходными данными, передали на своих лентах агентства РИА Новости, Интерфакс, ИТАР-ТАСС, Reuters и Bloomberg. Через несколько минут, в отсутствие дополнительных подтверждений и комментариев из других источников, стало понятно, что информация об отставке была фальшивкой, однако к моменту первых опровержений менее чем через полчаса после опубликования новость широко разошлась по СМИ.

В сообщении говорилось о том, что на место Якунина назначен первый вице-президент Александр Мишарин, который в это время находился в поезде "Сапсан" по дороге на Петербургский экономический форум вместе с другими топ-менеджерами РЖД. Информацию об отставке Якунина топ-менеджеры монополии узнали от журналистов и восприняли ее с удивлением. По данным источника агентства Прайм, сам Якунин в это время был на мероприятии с участием президента РФ Владимира Путина в Санкт-Петербурге в преддверии экономического форума, что затрудняло возможность проверки информации.

Эксперты видят в ситуации с рассылкой поддельного сообщения спланированную акцию, выполненную профессионалами.

ИМИТАЦИЯ ИСХОДНЫХ ДАННЫХ

Анализ заголовков письма, проведенный экспертами Digit.ru, показал, что истинным отправителем подделки был домен aprf-gov.ru. Он отличается от настоящего всего на 1 символ - вместо дефиса у настоящего домена пресс-службы правительства стоит точка - aprf.gov.ru. Домен aprf-gov.ru был зарегистрирован 16 июня 2013 года через регистратора доменов R01.

"Проведенный анализ показал, что подстановка служебной информации о прохождении данного почтового сообщения через якобы официальные почтовые сервера аппарата правительства исполнена достаточно профессионально, с полной имитацией исходных данных и по всем правилам социального инжиниринга", - сообщил представитель ИТ-службы медиахолдинга РИА Новости.

В считанные минуты информация разошлась по СМИ и социальным сетям, вызвав ликование политических противников влиятельного главы РЖД, которого связывают дружеские отношения с главой государства. Инцидент стал крупнейшей информационной уткой c апреля 2013 года, когда злоумышленники использовали Твиттер агентства Associated Press для рассылки сообщений о взрывах в Белом Доме.

В России подобные информационные утки пока чаще всего касались корпоративных новостей и служили поводом для спекуляций на бирже, как, например, фальшивое сообщение о выкупе акций компании "Автоваз", распространенное в декабре 2012 года.

ГРАММАТИЧЕСКИЕ ОШИБКИ

Через час после рассылки сообщения пресс-секретарь премьера РФ Наталья Тимакова заявила, что сообщение было фальшивкой, добавив, что ФСО и ФСБ уже начали по этому поводу проверку.

"Оформленная как сообщение пресс-службы новость содержала грамматические ошибки и была отправлена с адреса, подделанного под официальный адрес пресс-службы правительства," - сказала Тимакова журналистам.

Пресс-служба президента РФ призвала СМИ быть осторожнее с информацией в виде электронных сообщений, оформленных, как и ее собственные. "В связи участившимися проявлениями киберпреступности управление пресс-службы и информации президента Российской Федерации обращается с предложением ко всем СМИ проявлять максимальную осторожность в использовании информации, поступающей по сети интернет в виде электронных сообщений пресс-службы президента России", - говорится в сообщении пресс-службы Кремля.

ЯКУНИН БЛАГОДАРИТ ЗА ПОДДЕРЖКУ

Сам глава РЖД был недоступен для комментариев по ситуации. В четверг ночью в своем блоге в "Живом журнале" он поблагодарил всех, кто поддержал его в связи с сообщениями об отставке, оказавшимися ложными.

"Дорогие друзья, коллеги и читатели моего журнала! Я просто хочу сказать вам: "СПАСИБО!" Никогда в жизни я не получал такого количества звонков и СМС-ок со словами, сначала симпатии и поддержки, а потом возмущения наглой провокацией по поводу якобы моей отставки", - написал Якунин в блоге.

Президент РЖД назначается распоряжением правительства. Якунин был назначен главой железнодорожной госмонополии в июне 2005 года. Его контракт истек в июне 2008 года, но по распоряжению Владимира Путина Якунин был переназначен на новый срок. Еще раз полномочия Якунина были продлены в 2011 году.

На фоне истории с фальшивым пресс-релизом Якунин планировал участвовать в подписании соглашения с Казахстаном и Белоруссией о создании объединенной транспортно-логистической компании. Он также собирался активно участвовать в панельных дискуссиях на форуме в Санкт-Петербурге.

ЗАЩИТА ОТ ПОДДЕЛОК

Эксперты видят в ситуации с рассылкой поддельного сообщения про отставку главы РЖД спланированную акцию, выполненную профессионалами, и предлагают использование электронной цифровой подписи (ЭЦП) как защиту.

Руководитель отдела антивирусных исследований "Доктор Веб" Сергей Комаров считает, что письмо про отставку Якунина - подделка высокого уровня. "Злоумышленники, очевидно, хорошо подготовили свою аферу. Они знали, как выглядят информационные сообщения от пресс-службы правительства РФ, кто их рассылает. Это информация, доступ к которой не так просто получить", - сообщил он изданию Digit.ru. Также эксперт отмечает, что пославшие фальшивое письмо подделали адрес отправителя, домен, с которого отправляли ложное сообщение, сделали максимально похожим на правительственный. При этом они скопировали формат обычных информационных сообщений, которые получают агентства.

Комаров полагает, что в акции участвовало несколько групп. Скорее всего, в нее были вложены большие материальные средства, в том числе и на то, чтобы замести следы. Впрочем, пока об этом можно только судить по размаху и дерзости акции.

Исполнительный директор Peak Systems Максим Эмм видит два варианта развития событий. "Поддельное письмо было отправлено с сервера иркутского интернет-провайдера. Это говорит о том, что либо злоумышленники имеют невысокую квалификацию, раз используют российские серверы и IP-адреса. И тогда ФСБ очень быстро их найдет. Либо являются профессионалами экстра-класса, которые взломали сервер провайдера, отправили сообщения и замели следы", - отметил он. Эксперт полагает, что во втором случае "найти концы" не удастся. В любом случае перед нами - "выполненный заказ на фальсификацию письма, а не невинный розыгрыш", уверен он.

Заместитель генерального директора Positive Technologies Сергей Гордейчик объяснил, что подделка сообщений электронной почты является распространенным приемом атак с использованием социальной инженерии и практически обязательным атрибутом целенаправленных атак, так называемых APT. "К сожалению, архитектура многих базовых протоколов интернета такова, что без использования дополнительных средств защиты в достоверности передаваемой информации нельзя быть уверенным. В данном случае использование электронной цифровой подписи могло бы значительно усложнить атакующему задачу", - считает он.