В середине декабря неизвестный хакер опубликовал в своем Telegram-канале объявление о продаже данных нескольких миллионов россиян, направивших обращения на прямую линию с Владимиром Путиным 2021 года. После публикации Daily Storm киберпреступник удалил канал вместе с базой, но она по-прежнему остается доступной на одном из хакерских форумов. Согласно объявлению, в ней могут быть не только персональные данные людей, но и содержание текстов их обращений к президенту. Хакер мог украсть эту информацию с помощью специального Telegram-бота. Злоумышленник неоднократно хвастался атаками на российские государственные сайты.
Ваше обращение принято
«Выходите с канала лучше», — такое сообщение появилось ночью 21 декабря в Telegram-канале, торгующем базой данных «Прямая линия Владимира Путина — 2021».
Сейчас на канале удалены все посты и аватарка, его название изменено на значок «тире», а сам владелец сообщества удалил свой профиль в мессенджере. Напомним, что 20 декабря Daily Storm опубликовал материал, в котором рассказал об утечке данных нескольких миллионов россиян, направивших обращения на прямую линию президента 2021 года. В массиве содержатся имена, фамилии, номера телефонов и адреса людей.
Пять человек, чьи данные содержатся в архиве, подтвердили Daily Storm, что действительно писали обращения президенту в этом году.
Хакер мог украсть данные с сайта ОНФ — этой организации президент поручил до 30 ноября проанализировать все обращения граждан на прямую линию. К моменту публикации этого материала в ОНФ не ответили на вопросы Daily Storm.
Сообщение о продаже этой базы данных до сих пор есть на форуме R***F****, где киберпреступники продают утечки информации, обнаружил Daily Storm. Оно было опубликовано 13 декабря. Аватар и никнейм продавца совпадает с профилем хакера в Telegram.
В объявлении на форуме уточняется, что базу выкрали 10 ноября 2021 года. По словам хакера, в утечке содержатся не только персональные данные граждан, но и содержание их обращений к президенту.
«Себе я спарсил только ФИО, номера и город. Так как текст обращений мне не нужен. Но базу продаю в оригинальном виде», — пишет киберпреступник.
В объявлении указано количество строк в базе и ее цена: 2,4 миллиона записей за 40 тысяч рублей. Корреспонденту Daily Storm хакер называл уже меньшую цену (25 тысяч рублей).
Кибератаки на государство и его граждан
Копии постов с удаленного Telegram-канала сохранились на сайтах, агрегирующих статистику каналов. Из них следует, что хакер разработал специальный бот для подготовки кибератак. Он умеет сканировать директории и файлы сайта. Сканирование директорий позволяет злоумышленнику понять структуру сайта. Также бот может сканировать порты IP-адресов и доменов на доступность.
Судя по сообщениям хакера, размещенным в удаленном Telegram-канале, жертвами атак бота уже становились государственные сайты: злоумышленник публиковал логин и пароль от тестовой панели сайта Минэкономразвития, логи (файлы, содержащие системную информацию работы сервера) с сайтов Роскачества и Министерства по развитию Дальнего Востока и Арктики.
21 декабря бот был удален «из-за повышенного внимания СМИ», написал один из его разработчиков в чате бота (скриншот сообщения есть в распоряжении редакции).
Об утечке, связанной с «Прямой линией», хакер написал сразу несколько постов. Помимо объявления о продаже базы с данными россиян, он отдельно опубликовал номер телефона Виктории М., якобы «админа здрава прямой линии». Вероятно, имелось в виду, что она была техническим администратором заявок по тематике здравоохранения. На странице полной тезки Виктории во «ВКонтакте» видно, что она является подписчицей сообщества ОНФ и выпускницей МФТИ.
13 декабря, спустя день после публикации объявления о продаже базы, хакер выложил номер телефона Вадима В.
«Он хочет поговорить с вами (слив за Крым)», — говорится в посте.
Номер телефона Вадима зарегистрирован на крымский мобильный оператор «К-телеком». На странице его полного тезки в Twitter есть репосты сообщений ОНФ. Судя по его профилю в мессенджере Telegram, он работает программистом.
Украинский след
Киберпреступник подчеркивал свою принадлежность к Украине и сайту «Миротворец». Оперативное удаление канала косвенно свидетельствует о том, что на самом деле он может быть гражданином России. Маскировка под жителя другой страны — распространенная практика среди киберпреступников. Например, северокорейская хакерская группа Lazarus для «заметания следов» специально использовала в коде вредоносного ПО русские слова.
С другой стороны, участники Telegram-чата, связанного с хакерским ботом, удивляются: «Зачем он все удалил? Он же на Украине, а не в России».