Шпионы без границ: как ФСБ «взломала» международную систему выдачи виз
- Посмотреть оригинал
- декабрь 9-го, 2018
Один из вопросов, оставшихся без ответа после того, как команда Bellingcat установила личности подозреваемых в попытке отравления Сергея и Юлии Скрипалей: как двое (или, вероятно, даже больше) сотрудников ГРУ под прикрытием смогли получить британские визы. Получение визы для поездки в Великобританию, как и в многие другие места в ЕС, — нетривиальная процедура. Получить одноразовую визу сравнительно проще — для этого нужно либо приглашение от резидента или компании на территории Великобритании, либо туристическая путевка.
Однако для того, чтобы получить долгосрочную, многоразовую визу (вроде тех, которые, как сообщается, использовали сотрудники ГРУ Чепига и Мишкин), россиянам приходится постараться гораздо больше. Соискатели виз должны убедительно доказать необходимость неоднократных поездок и представить свидетельства как надежной связи с родной страной, так и финансовой возможности проживать в Великобритании в течение длительного периода. Британское консульство старается проверять данные, предоставляемые соискателями, и периодически отказывает соискателям (даже ранее получавшим многоразовые визы), если в их биографии обнаруживаются нестыковки. Приведенное ниже письмо об отказе, отправленное соискателю, который ранее получал шестимесячную многоразовую визу в Великобританию, — пример «параноидального» подхода британской консульской службы, в частности внимания к происхождению заявленных средств.
Учитывая столь жесткий отбор и проверки биографий, как так вышло, что британское консульство в Санкт-Петербурге выдало многоразовые визы двоим несуществующим личностям, которые, как сообщается, заявили, что являются «международными бизнесменами» с увесистыми счетами в банках? Этот вопрос особо важен, учитывая, что простой поиск в открытых базах данных российских компаний показывает, что ни одно из двоих фейковых лиц не было зарегистрировано владельцем (или членом руководства) ни одной действующей российской компании. Обширный поиск по российским корпоративным реестрам, проведенный командой Bellingcat, показал, что единственная компания, где официально работал «Боширов» — ООО «Курсор», московский «производитель медицинского оборудования», который был ликвидирован всего через несколько месяцев после того, как Боширов получил свою подставную личность в 2009 году.
Однако несуществующим «Боширову» и «Петрову» удалось получить многоразовые британские (а также шенгенские) визы и кататься с их помощью по Европе, как минимум четыре раза посетив Великобританию, а также неоднократно побывав как минимум в семи других странах ЕС за период с 2014 по 2018 гг.
В этом расследовании из двух частей команды Bellingcat и The Insider попытаются установить, как именно российские спецслужбы попытались прорвать визовый барьер на пути к Великобритании и другим странам ЕС и выйти на оперативный простор в Западной Европе. Хотя наше расследование не дает однозначного доказательства, что конкретно эти усилия российских спецслужб увенчались успехом, оно, тем не менее, демонстрирует стратегические, долгосрочные российские усилия по «взлому» системы выдачи виз, а также по сбору данных о планах поездок различных лиц как из России в Западную Европу, так и обратно.
Часть I: Взлом британской визовой системы
Когда команда Bellingcat работала над поиском реальных личностей «Боширова» и «Петрова», с нами связался Вадим Митрофанов[1] – российский IT-специалист, ожидающий решения по предоставлению его семье статуса беженцев. Он желал сообщить нам информацию, которая, по его мнению, была связана с отравлением Скрипалей.
Вадим рассказал нам, что двумя годами ранее, в 2016 году, он работал главным техническим сотрудником компании, предоставляющей консульствам, в том числе британскому консульству в России, эксклюзивные услуги обработки заявлений на визы. Он признался нам, что тогда он был насильно завербован ФСБ — российской службой контрразведки. ФСБ планировала использовать Вадима, чтобы получить доступ к конфиденциальной информации заявителей в компании, занимающейся обработкой виз, а также получить контроль над системой выдачи виз в британском консульстве. По совам Вадима, в июне 2016 года его куратор из ФСБ спросил его, возможно ли организовать визы для «пары ребят, которым надо посетить Великобританию». «Важно, чтобы их паспорта были приняты и обработаны непосредственно консульством без всякого изучения и проверки биографии и без всяких следов в визовом центре», — сказал ему куратор. Вадим ответил, что это практически невозможно без агента в посольстве.
Аутсорсинг данных — вопрос доверия
Примерно через год после того, как он был завербован ФСБ, Вадим прибыл в США с семьей по гостевой визе и запросил политическое убежище для себя и своей семьи. Причиной подачи убежища, которую он убедительно изложил в 10-страничном заявлении в адрес американских властей (которое изучили расследователи Bellingcat и The Insider), стало то, что будучи завербован ФСБ, он сознательно саботировал их работу.
Вадим — профессиональный IT-специалист, выпускник ведущего московского технического университета.
В 2015 году он работал в пекинской штаб-квартире TLSContact — ведущего поставщика IT- и логистических услуг для консульств. Говоря коротко, компания помогала посольствам различных стран обрабатывать огромные объемы заявлений на получение виз, оставляя самим консульствам только принятие окончательных решений и сам процесс выдачи виз. Во многих странах эта компания является эксклюзивным аутсорсинговым партнером консульств различных стран ЕС.
В должностные обязанности Вадима входила разработка компьютерных систем в новых офисах по мере того, как компания распространяла свое присутствие на все новые страны. Он также был ведущим специалистом компании по разработке портативных и стационарных массивов биометрических данных.
Аутсорсинг предварительно обработки заявлений на визы требует значительного доверия со стороны консульства, поскольку позволяет частной компании собирать огромные объемы персональных данных, документов и биометрических данных заявителей, лишь часть которых передается консульскому отделу. Разумеется, все сотрудники TLSContact и сходных компаний обязаны проходить проверки. Поскольку должностные обязанности Вадима требовали от него работы на территории различных консульств, ему приходилось проходить множество проверок и регулярно предоставлять справки об отсутствии судимости. Впоследствии он получил полный доступ к конфиденциальным биометрическим данным заявителей и стал играть более важную роль в компании. Он тесно сотрудничал с IT-отделами визовых подразделений посольств ЕС.
В конце 2015 года Вадима перевели в московское подразделение компании. Российский офис TLSContact к тому времени уже предоставлял практически эксклюзивные услуги по обработке визовых заявлений британскому и швейцарскому консульствам и стремился и далее расширять свою долю на рынке.
ФСБ и семейный кошмар
Когда Вадим начинал работу в компании, он жил в Китае, где женился на женщине из Монголии и у них родилась дочь. Чтобы привезти семью в Россию, Вадиму понадобилось организовать для них вид на жительство, поскольку у них не было российских паспортов. Он привез жену и дочь в Россию по безвизовому режиму между Россией и Монголией, поскольку они планировали подать на вид на жительство уже в России.
После переезда в Россию их жизнь превратилась в настоящий кошмар. В течение следующих шести месяцев власти ввергли его семью в бюрократический ад (как законными, так и явно незаконными методами). Вадим полагает, что это была тщательно спланированная попытка заставить его сотрудничать с ФСБ. Его мать, с которой они тогда жили, терпела нападки со стороны иммиграционных чиновников, ее дом обыскивали на предмет «нелегальных мигрантов», и ей угрожали тюрьмой за «укрывательство нелегалов». Его жене и дочери приходилось неоднократно выезжать и вновь въезжать в страну, чтобы не нарушить 30-дневный лимит пребывания по безвизовому соглашению. Миграционная служба требовала начинать процесс подачи на вид на жительство заново после каждого въезда, создавая тем самым бесконечный бюрократический порочный круг. Все заявления Вадима и его семьи о том, что эти проволочки нарушают российские законы, остались без ответа; уполномоченный по правам человека без объяснений отклонил их жалобы. В итоге Федеральная миграционная служба без объяснений отклонила заявку семьи Вадима на вид на жительство. К этому моменту Вадим понял, что это дело не просто в извечной российской бюрократии. Он подал на Федеральную миграционную службу в суд.
Именно тогда (в марте 2016 года) с ним встретился крайне дружелюбный «Андрей», который предложил решить все проблемы его семьи. Впоследствии Андрей по секрету рассказал Вадиму, что тот привлек внимание ФСБ годом ранее, в марте 2015 года, когда подал на продление паспорта в российском посольстве в Пекине. Его профессиональные навыки — и доступ к конфиденциальной информации о системах выдачи виз западными странами — сделали его приоритетной целью спецслужб.
«Было бы неприятно, если бы вашей жене пришлось ждать депортации в тюрьме»
Первое знакомство с Андреем состоялось, когда Вадиму позвонили с незнакомого номера и назначили встречу в кафе рядом с московским офисом TLSContact. Андрей рассказал Вадиму, что пытается помочь разрешить неприятную ситуацию вокруг его семьи, но что «ситуация выглядит не очень», и если не будет найдено решение, возможно, ему придется возбудить уголовное дело против матери Вадима за содействие нелегальным мигрантам. Кроме того, по словам Андрея, ему, возможно, пришлось бы инциировать проверку текущего места проживания Вадима в Москве, намекнув, что его жене и дочери (чьи последние заявки были отклонены) угрожает арест. «Было бы неприятно, если бы вашей жене пришлось ждать депортации в тюрьме», — сказал Андрей. В качестве альтернативы Андрей выложил на столик кафе бланк «Соглашения о сотрудничестве с ФСБ», объяснив, что если Вадим подпишет его, он должен будет предоставлять ФСБ информацию о его работе в визовом центре. Вадиму пришлось подписать соглашение, где было прямо сказано:
«Я добровольно соглашаюсь оказывать консультационные услуги ФСБ и содействовать оперативной деятельности. Я подтверждаю, что был проинформирован, что разглашение наличия такового сотрудничества будет считаться разглашением государственной тайны и карается тюремным сроком согласно Уголовному кодексу».
В течение следующих нескольких недель Вадим заметил, как миграционная служба стала снижать давление на его семью. Параллельно с этим «Андрей» стал делать более конкретные запросы: ему нужна была информация о внутренних правилах и организационной структуре TLSContact, а также о структуре IT-сети и работе систем обнаружения вторжений. Вадим выполнял эти просьбы, предоставляя фейковые данные, ведущие к приманкам для злоумышленников, встроенных в систему обнаружения вторжений («IDS honeypot»).
По словам Вадима, вскоре после того, как он передал ФСБ «карту сети», он заметил попытки вторжения. Когда он изучил более ранние логи доступа, он понял, что у ФСБ уже был доступ к камерам наблюдения в визовом центре. Он предположил, что доступ был получен посредством перехвата интернет-трафика (система «СОРМ-2», установка которой обязательна для всех российских провайдеров, позволяет ФСБ осуществлять мониторинг практически любого незашифрованного трафика).
Впоследствии Вадим также заметил, что прошивка по крайней мере одной камеры наблюдения была изменена, чтобы получить доступ во внутреннюю сеть. Вадим предупредил службу безопасности компании о возможном риске, который несли обнаруженные ими уязвимости. Он сделал это максимально туманно, чтобы не вызвать гнева Андрея.
В начале апреля 2016 года Андрей познакомил Вадима с «Александром», который представился сотрудником отдела ФСБ «К» по борьбе с киберпреступлениями [уточнение: отдел ФСБ по борьбе с киберпреступлениями называется «18-й центр». «К» — отдел по борьбе с киберпреступлениями МВД].Александр задавал более детальные вопросы о структуре внутренней сети компании и продемонстрировал Вадиму, по-видимому, устаревшую схему сети, спросив, изменилась ли структура сети с тех пор, как о ней стало известно ФСБ. «Александра» также интересовала логистика взаимодействия компании с посольствами: в частности, он спросил о маршруте доставки паспортов в консульства и контроле за доступом к компьютерным системам на территории консульств.
Попытка к бегству
Осознавая, что ему приходится подыгрывать все более серьезным просьбам ФСБ, однако при этом испытывая стыд за собственную, пусть принудительную, но причастность к взлому системы своего работодателя (и иностранных посольств), Вадим разработал план по бегству с семьей из России.
В течение следующих нескольких месяцев семья Вадима сделала несколько попыток покинуть Россию, однако каждый раз их задерживали пограничники (а однажды и сам «Андрей»). Каждый раз в их адрес звучали все более суровые угрозы и требования не пытаться бежать, пока ФСБ не будет им довольно. Вадима с семьей, в том числе с несовершеннолетним ребенком, неоднократно задерживали, но каждый раз спустя несколько часов выпускали после вмешательства «доброго полицейского» — «Андрея». В одном из случаев его жену арестовали и держали в мужском изоляторе до рассмотрения ее дела в суде, несмотря на ее беременность. Вадим осознал, что ФСБ нужна его семья в России как средство давления на него, и решил хотя бы временно прекратить попытки.
Впоследствии указания «Андрея» становились все более резкими. Ему приказали шпионить и сообщать ФСБ о заявлениях на визу со стороны некоторых лиц (в частности, Алексея Голубовича, бывшего партнера «Юкоса» и свидетеля в деле против Ходорковского). Вадим согласился, надеясь создать иллюзию добровольного сотрудничества. В начале лета Андрей рассказал Вадиму, что ФСБ поддерживает кандидата на должность главы швейцарского визового центра компании. Этот кандидат не получил эту должность.
Шокирующая просьба и отсрочка
В конце июня 2016 г «Андрей» и «Александр» дали Вадиму главную задачу: создать бекдор для проникновения в сеть британского визового центра. Вадим сказал, что это можно сделать, однако это требует времени и концентрации, и пообещал взяться за эту работу по возвращении из предстоящей командировки из Китая. Взамен он попросил, чтобы Андрей разрешил его жене и дочери пожить с родителями жены в Монголии на время его командировки, чтобы они могли отдохнуть от стресса, которому подвергались в России. Воодушевленный оптимизмом Вадима в отношении бекдора, Андрей рискнул и дал согласие на короткую командировку.
Когда его семья оказалась в безопасности, Вадим вернулся, чтобы завершить некоторые незаконченные проекты для своего работодателя TLSContact. К концу августа, не сделав практически никакой работы по бекдору, он сказал своему куратору, что ему нужно поехать за границу и привезти семью обратно в Россию.
Не получив от Андрея окончательного одобрения, Вадим прямо с работы поехал в аэропорт. По его же словам, согласно поданному заявлению об убежище:
2 сентября 2016 г была сделана попытка меня арестовать. Я взял выходной на полдня, чтобы собраться в поездку. После обеда около 14:00 я шел в офис своим обычным маршрутом. На перекрестке перед офисным зданием, где обычно работает патруль дорожной полиции, стояла черная машина. Человек, стоявший рядом с машиной, узнал меня и приказал сесть в машину. Когда я стал обходить машину, делая вид, что я его не услышал, он стал двигаться ко мне. Было ясно, что он пытается меня перехватить. К счастью, это произошло в людном месте, поэтому я просто повернулся и убежал. Этот человек не стал меня преследовать».
Воспользовавшись методом, который по просьбе Вадима мы здесь не приводим, на следующий день он сумел покинуть Россию.
Впоследствии Вадим проинформировал TLSContact об обстоятельствах своего внезапного отбытия, а также признался в вынужденном сотрудничестве с ФСБ, рассказав о продолжающихся попытках этой организации проникнуть в сеть компании. Вадим также попытался предупредить британское консульство о попытке взлома со стороны ФСБ. Команда Bellingcat ознакомилась с двумя соответствующими предупреждениями, которые направил Вадим. По его словам, на них никто не отреагировал.
Как мы пытались подтвердить историю Вадима
В течение последних двух месяцев команда Bellingcat регулярно интервьюировала Вадима, пытаясь проверить его историю. Вадим предоставил нам копии документов, поданных в соответствующие органы, а также сообщений, которые он направил TLSContact и знакомому сотруднику британского консульства. Мы пришли к выводу, что эти документы аутентичны и действительно были поданы или отправлены тогда, когда заявляет Вадим.
Вадим также предоставил нам аудиозаписи двух телефонных разговоров с «Андреем». Он сообщил нам, что первый разговор из опубликованных ниже произошел 17 марта 2016 г, а второй — 29 мая 2016 г. Хотя верифицировать время звонков невозможно, формат аудио и имен файлов (в которые входят таймстампы и номер собеседника) соответствует популярному Андроид-приложению для записи телефонных звонков.
Мы проанализировали аудиоконтент звонков — оказалось, что они не содержат признаков редактирования или манипуляции. На первой записи человек по имени «Андрей» звонит Вадиму и говорит ему, что звонит из управления российской миграционной службы, и что ему известно о статусе жены Вадима. «Андрей» говорит Вадиму, что его матери может угрожать уголовная ответственность, и предлагает встретиться, чтобы обсудить дело. Вадим соглашается, и «Андрей» предлагает встретиться поблизости от улицы Покровка в Москве. В районе Покровки находятся как управление Федеральной миграционной службы, так и московское управление ФСБ. Запрос «Андрея» о встрече вне помещения Федеральной миграционной службы нельзя считать нормальной чиновничьей практикой. Это скорее соответствует известным практикам вымогательства со стороны российских чиновников. Это также соответствует версии событий, изложенной Вадимом.
В ходе второго звонка от 29 мая 2016 г «Андрей» дает Вадиму советы о том, как ее жене следует себя вести во время предстоящего визита в управление Миграционной службы по Смоленску. По этому звонку видно развитие их отношений: они общаются по имени, куда менее формально. Звонок кончается тем, что «Андрей» говорит Вадиму, что перезвонит на следующий день по другому вопросу.
Вадим передал нам два номера телефонов, с которых, по его словам, ему регулярно звонил Андрей. Мы попытались установить их владельцев. Один из номеров на данный момент зарегистрирован на постороннего мужчину, который рассказал нам, что этот номер у него только с марта 2018 г, и что он не знает, кто им пользовался до него. Второй номер на данный момент неактивен, однако согласно архивным данным, на 2016 год он был зарегистрирован на молодую женщину, работавшую барменшей. Мы связались с этой женщиной, которая сначала согласиться ответить на вопросы об «Андрее», но затем отключила свой телефон, и больше с ней связаться не удавалось.
Вадим также предоставил нам документ, который обнаружил, когда работал в TLSContact, и содержание которого тогда показалось ему подозрительным. В файле содержится полная база данных соискателей британских виз с апреля 2014 по май 2016 гг, отозвавших заявки до обработки их виз. Вадим полагает, что коммерческий смысл в поддержании такой базы данных отсутствовал, и что этот файл мог поддерживать (и экспортировать) другой сотрудник компании по заданию ФСБ. В файле есть персональные данные (которые Вадим анонимизировал, прежде чем предоставить их Bellingcat) на более 1500 россиян. Жирным отмечены лица, представляющие особый интерес, например политики или публичные лица. Свойства файла указывают на то, что его создал и изменял человек, работавший в компании в 2016 году.
Bellingcat и The Insider обратились в британское консульстве с различными вопросами, связанными с возможными уязвимости в процедуре выдачи виз, а также возможных рисках взлома центра обработки виз иностранным государством. Консульство переадресовало наши вопросы в Министерство внутренних дел Великобритании, которое ответило, что решения о выдаче или невыдаче виз принимаются персоналом консульства, причем компания, занимающаяся обработкой заявлений, не играет никакой роли. Однако в этом ответе ничего не говорится о риске разглашения конфиденциальных личных данных заявителей спецслужбам, как и о риске использования потенциальных уязвимостей в системе коммуникации аутсорсинговой компании с консульством.
Мы попытались задать те же вопросы TLSContact, однако нам не удалось связаться с руководством компании через колл-центр. Представительница руководства компании, которая покинула TLSContact за несколько месяцев до отъезда Вадима и его письма с предупреждением, рассказала, что не знала о попытках третьих лиц проникнуть в систему компании.
The Insider удалось поговорить с бывшим сотрудником компании, чье имя фигурирует в свойствах документа об отзыве заявок. Этот человек заявил, что ему не было известно о попытках ФСБ взломать компанию. После вопроса о происхождении и назначении документа со списком отозванных заявок на получение виз (а также был ли он действительно автором документа) он прекратил разговор.
Команда Bellingcat связалась с ФБР, чтобы получить комментарий о том, получили ли они предупреждение от Вадима, и была ли эта информация передана британским правоохранителям после отравления Скрипалей. На момент публикации ФБР не ответило на наш запрос.
История Вадима не является неопровержимым доказательством того, что ФСБ или другая спецслужба успешно внедрилась в систему выдачи виз, тем самым позволив агентам ГРУ неоднократно ездить в Великобританию и в итоге совершить там покушение на убийство. Однако эта история говорит о настойчивой и методичной работе по внедрению в протоколы выдачи виз. Ведение такой работы не удивительно, учитывая, что спецслужбам необходим беспрепятственный доступ в разные европейские страны. В отсутствии альтернативного объяснения того, как эти и другие сотрудники ГРУ смогли просочиться через фильтр заявок на многоразовые визы, опыт Вадима дает возможный ответ на этот вопрос. В конце концов, полковники Чепига и Мишкин впервые отправились в Великобританию (и Швейцарию) через несколько месяцев после первого запроса от «Андрея» в адрес Вадима о возможности незаметного оформления британских и швейцарских виз.
Продолжение следует
[1] имя и некоторые второстепенные обстоятельства изменены из соображений конфиденциальности
Немає коментарів:
Дописати коментар