ФСБ возбудило уголовное дело против бывшего сотрудника техподдержки небольшого провайдера за то, что тот проверял, по его словам, уязвимости в роутерах клиентов в целях их защиты от потенциального взлома. Среди них оказался роутер дочерней компании «Ростеха». Проверку специалист проводил из дома, так как работал на удаленке, и теперь его обвиняют в проникновении в сети госкомпании. Представители «дочки» «Ростеха» утверждают, что взлома не было.
ФСБ против специалиста техподдержки
Управление Федеральной службы безопасности (УФСБ) по Калужской области возбудило уголовное дело против экс-сотрудника технической поддержки обнинского провайдера Никиты Демидова. Об этом пишет РБК со ссылкой на самого Демидова.
ФСБ подозревает его в попытке взлома сети научно-производственного предприятия Обнинского научно-производственного предприятия (ОНПП) «Технология». Оно входит в госкорпорацию «Ростех» и занимается разработкой различной продукции для ракетно-космической отрасли и транспорта.
Все информационные системы данного предприятия относятся к объектам критической информационной инфраструктуры (КИИ). Объекты КИИ – это критически важные сети и информационные системы субъектов КИИ. К субъектам КИИ относятся государственные организации, юридические лица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей: транспорта, телекоммуникаций, банковской сферы, атомной энергетики, ТЭК, здравоохранения, науки, металлургии, оборонной, ракетно-космической и химической промышленности.
Пять лет тюрьмы
Дело против Демидова ФСБ возбудило по ч. 1 ст. 274.1 УК РФ, в которой прописано наказание за создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России.
В случае если Демидова признают виновным, ему будет грозить лишение свободы на срок до пяти лет. Дополнительно ему может быть назначен штраф в размере от 500 тыс. руб. до 1 млн руб. Суд может выбрать и иную меру наказания – принудительные работы на срок до пяти лет с ограничением свободы на срок до двух лет (или без такового).
Зачем ИТ-шник понадобился ФСБ
Никита Демидов сообщил РБК, что на 18 августа 2021 г. обвинение ему предъявлено не было. Он утверждает, что интерес к нему со стороны российских силовиков имеет прямое отношение к тем обязанностям, которые он выполнял на своем предыдущем месте работы. Раньше Демидов был специалистом техподдержки интернет-провайдера «Макнет Системы», известного под брендом Maxnet. Он работает в Калуге, Обнинске и ряде других населенных пунктов.
Со слов Демидова, в середине 2020 г. он предложил своему руководству провести проверку всех роутеров на предмет наличия в них уязвимостей. Свою инициативу он мотивировал тем, что при общении с абонентами Maxnet он заметил, что большая их часть не меняет базовые настройки своих маршрутизаторов.
«Через уязвимости в роутерах злоумышленники могли попадать в сеть провайдера, находить в ней уязвимые телефонные шлюзы и использовать их для звонков от лица абонентов. Наиболее частый сценарий – звонки на платные номера, но потенциально уязвимость могла использоваться и телефонными террористами, что могло нанести большой вред компании, поэтому мы решили регулярно сканировать сеть и предупреждать о найденных проблемах пользователей, чтобы они могли их исправить», – рассказал РКБ Никита Демидов.
Фигурант дела не уточнил, получал ли он добро от руководства на проведение сканирования. Он сообщил лишь, что выполнил задуманное, воспользовавшись бесплатной утилитой Router Scan. По его словам, в список сканируемых адресов затесался и IP-адрес ОНПП «Технология», к которому была привязана электронная почта.
Инициатива наказуема
Демидов утверждает, что сканирование роутеров осуществлялось вслепую, то есть он не знал, кому принадлежит тот или мной маршрутизатор. Исключение делалось только для роутеров, на которых были выявлены те или иные проблемы.
«При сканировании почтового ящика, который, как потом выяснилось, принадлежал ОНПП «Технология», сработала ГосСОПКА», – сообщил Демидов изданию.
Демидов подчеркнул, что из-за пандемии он работал удаленно, и в итоге ему пришлось проводить проверку роутеров со своего домашнего IP-адреса. Этим он объяснил тот факт, что ФСБ выдвинуло обвинение лично против него, а не против обнинского провайдера.
Представители УФСБ по Калужской области пришли к Демидову с обыском всего через несколько дней после проведения сканирования. Он не уточняет, когда это произошло, но известно, что уголовное дело против него было возбуждено еще в феврале 2021 г.
«Обвинение пока не выдвинуто, насколько понимаю, следствие проводит очередную экспертизу изъятого у меня жесткого диска», – сообщил Демидов РБК.
Взлома не было
Адвокат Никиты Демидова (его имя не раскрывается) после возбуждения уголовного дела обращался в «Технологию» с вопросом о факте взлома. Представители компании ответили, что никакого взлома не было, и добавили, что ущерб предприятию нанесен не был.
Аналогичную информацию представители предприятия сообщили и РБК. С их слов, они зафиксировали попытку взлома сервера осенью 2020 г. «Ущерб предприятию не нанесен. Информация о попытке взлома направлена в правоохранительные органы», – сказали они.
КИИ беззащитны перед хакерами
Пока ФСБ пытается засудить экс-сотрудника техподдержки за еще не доказанный факт взлома «дочки» «Ростеха», другие хакеры годами «живут» в сетях российских госорганов, успешно воруя информацию и при этом не попадаясь. В мае 2021 г. CNews писал, что неизвестные киберпреступники в течение четырех лет, с 2017 г., без труда проникали в сети федеральных органов исполнительной власти России (ФОИВ). Такие сети тоже относятся к объектам КИИ.
До 2020 г. хакеры никак не выдавали себя. Обнаружить их деятельность удалось лишь при попытке проведения ими в 2020 г. атаки на один из российских ФОИВов из списка клиентов центра противодействия кибератакам Solar JSOC («Ростелеком-Солар»). Специалисты, расследовавшие этот инцидент, выяснили, что он был лишь частью цепочки атак. При этом личности хакеров так и не были установлены.