В середине ноября 2022 года белорусская хакерская группа «Киберпартизаны» заявила, что взломала внутреннюю сеть подведомственной организации Роскомнадзора и выкачала более двух терабайтов данных, или около двух миллионов документов и писем сотрудников. Речь идет о структуре под названием ФГУП «ГРЧЦ», или Главный радиочастотный центр: он малоизвестен, но, как выяснилось, играет ключевую роль в цензуре интернета в России и слежке за пользователями, а также влияет и на Беларусь. «Киберпартизаны» передали архив данных ряду независимых российских изданий для анализа. 8 февраля «Важные истории», «Медиазона», проект «Система», «Досье», «Агентство» опубликовали свои расследования. Пересказываем самое основное.
Как показала утечка, именно ГРЧЦ занимается мониторингом интернета, в том числе соцсетей, подготавливает блокировки сайтов и публикаций, отслеживает страницы известных людей и готовит справки для признания их «иноагентами», зачищает нежелательную для властей информацию в СМИ, цензурирует выдачу поисковиков и даже ищет «фотожабы» на Владимира Путина. Вся эта деятельность велась с 2014 года, но была активизирована в преддверии и после начала полномасштабной войны в Украине, чтобы создать для россиян «чистый интернет» без «фейков» и «дискредитации армии». Более того, организация разрабатывает автоматизированные системы слежки и цензуры на основе нейросетей и собирается охватить ими 100% российского интернета.
«Киберпартизаны» утверждают, что они смогли зашифровать рабочие компьютеры сотрудников ГРЧЦ, нарушить работу внутренней сети и выкачать архив внутреннего почтового сервера, файлового хранилища, программы, данные некоторых внутренних систем и системы контроля за сотрудниками. В архиве данных около 1,5 млн писем, в основном за 2020−2022 годы, сотни тысяч текстовых документов, таблиц и презентаций.
Хакеры не раскрывали, как им удалось совершить крупнейший киберудар. Пресс-секретарь «Киберпартизан» Юлиана Шеметовец лишь рассказала «Системе», что «Киберпартизаны» оставались в сетях ГРЧЦ незамеченными несколько месяцев, что и позволило им выкачать этот огромный массив данных.
В самом ГРЧЦ факт взлома признали, но заверили, что «ситуация была управляемой» и хакерам не удалось получить доступ к «закрытой информации и критически важной инфраструктуре». Киберпартизаны опровергли это, заявив и продемонстрировав, что похищены были даже списки сотрудников, их личные данные, в том числе паспортные и медицинские, а также был получен доступ к полусекретному мессенджеру Роскомнадзора для обмена информацией с госструктурами.
При этом «Системе» удалось от источников внутри организации узнать, что как минимум до начала декабря сеть центра работала со сбоями, начальник управления информационной безопасности был уволен, а рядовые сотрудники и их родственники призывали друг друга закрывать свои профили в соцсетях, опасаясь угроз. Руководство на специальном совещании по безопасности работников рекомендовало им сменить паспорта. Также руководство организации добилось того, что один из ключевых телеграм-ботов для «пробива» людей согласился удалить данные работников ГРЧЦ. Как обсуждали специалисты ГРЧЦ, над купированием инцидента и снятием информационной волны работают «на самом верху».
Рассказываем подробнее, чем занимается Главный радиочастотный центр.
Тайный мессенджер для доносов
ГРЧЦ в конце 2019 года запустил собственный полусекретный мессенджер «Кабинет оперативного взаимодействия», или КОВ, для прямой защищенной связи между сотрудниками Роскомнадзора и ГРЧЦ и силовыми ведомствами: МВД, ФСБ, Генпрокуратурой, Федеральной службой охраны, Росгвардией. Также там присутствует администрация президента, ЦИК, региональные власти — всего около 1000 человек. При этом за ФСБ числится лишь один общий аккаунт — «Сотрудник Сотрудник» (видимо, чтобы не раскрывать данные служащих).
В мессенджере есть групповые и личные чаты. В групповых сотрудники ГРЧЦ публикуют ежедневные отчеты о протестных настроениях в обществе, обсуждаемых темах по итогу мониторинга соцсетей, об антивоенных и оппозиционных публикациях и так далее. Через личные сообщения сотрудникам прокуратуры пересылают ссылки на посты как известных, так и рядовых россиян, за которые можно привлечь к ответственности, например, за распространение «фейков» об армии.
За два года сотрудники ГРЧЦ направили в Генпрокуратуру и МВД больше 44 тыс. сообщений и материалов по темам «экстремизма, терроризма и протестной активности» — около 90 материалов в день.
Найдя в интернете нежелательный контент или получив ссылки на него от других ведомств, сотрудники ГРЧЦ создают для него в системе «Единый реестр» карточку о нарушении. Впоследствии ее рассматривает специалист Роскомнадзора и выносит решение. Затем нарушителю направляют требование удалить контент, в случае отказа страницу или весь ресурс блокируют.
Слежка в соцсетях
До войны России с Украиной выявляемые Роскомнадзором нарушения были в основном связаны с контентом о наркотиках, суициде, азартных играх, детской порнографии. Но после начала войны сотрудники ГРЧЦ занялись мониторингом «фейков» и «дискредитации» российской армии. Организация постоянно отслеживает публикации пользователей соцсетей с помощью автоматизированных систем.
Эта работа ведется с помощью российской системы Brand Analytics, которая автоматически собирает сообщения из соцсетей и СМИ по определенным темам. К слову, в эти сборки попадают и публикации пользователей из Беларуси.
Работник центра за смену находит 100−300 «фейков» в соцсетях и телеграм-каналах, причем даже в мелких — так, в Telegram в мониторинг включены и публичные чаты до 20 человек. Ежедневно среди тысяч ссылок с выявленным «негативом по СВО и вооруженным силам РФ» выбирают десятки для отправки в Генпрокуратуру с помощью КОВ.
Как указано в одном из внутренних отчетов Роскомнадзора, за первые 9,5 месяца войны ведомство обнаружило 169 тыс. «фейков» и 40 тыс. призывов к протестам, после чего российские власти удалили 150 тыс. публикаций.
Цензура СМИ
Также сотрудники ГРЧЦ ведут мониторинг СМИ, готовят отчеты о содержании публикаций и программ, включая цитирование их участников. Некоторые СМИ таким образом мониторятся ежедневно, например «Дождь».
В случае выявления неугодной российским властям информации ресурсу, еще не заблокированному в России, могут предложить ее удалить, или же принимается решение о блокировке страницы с конкретной публикацией или всего сайта.
Цензура доходит до проверки прогнозов погоды. Когда власти России незаконно аннексировали четыре области Украины, спустя пару недель сотрудники ГРЧЦ обнаружили ряд ресурсов, где были опубликованы прогнозы погоды с обозначением данных территорий как украинских. После вмешательства ведомства большинство обозначили их российскими.
С начала войны Роскомнадзор заблокировал сайты не менее 95 СМИ, работавших в России, и инициировал составление административного протокола о распространении «фейков об СВО» против 16 ресурсов. Во внутренних документах ведомства их называют «оппозиционными ресурсами» или «антироссийскими».
Выборочно следят и за украинскими СМИ. На территории России, как значится в документах Роскомнадзора, ограничен доступ уже к 630 украинским сайтам.
Инфоблокада для оккупации
ГРЧЦ ведет также мониторинг СМИ и соцсетей на оккупированных Россией территориях Украины — в Запорожской, Херсонской, Донецкой и Луганской областях, чтобы отслеживать настроения жителей.
Еще до аннексии, с августа, сотрудники начали собирать местные источники, и к середине ноября составили список из 40 херсонских и 55 запорожских страниц в различных соцсетях с пометками «пророссийская», «нейтральная» или «оппозиционная». Несколько оппозиционных сообществ уже заблокировали в России. В Донецкой и Луганской областях источников намного больше — 402 аккаунта в соцсетях.
Также ГРЧЦ отслеживает теле- и радиоэфир в оккупированных регионах, подробно описывая их содержание в отчетах. На этих территориях оккупированных областей уже заблокированы 262 сайта украинских телеканалов и радио, а также сервисов, где можно онлайн смотреть эфир.
Досье на СМИ и поиск иноагентов
Все тот же отдел мониторинга СМИ как минимум с октября 2020 года составляет для Минюста РФ справки на потенциальных «иностранных агентов». Они готовятся как в отношении общественных организаций, медиаресурсов, так и отдельных публичных персон — политиков, общественных деятелей, артистов и так далее. В том числе и провластных: телеканала «Царьград», главреда Regnum Модеста Колерова и прочих.
Из независимых медиа такие справки заведены на «Медузу», «Проект», «Агентство», «Важные истории», «Службу поддержки», «Можем объяснить», YouTube-канал «Ходорковский LIVE», «Новая газета. Европа», «Холод», «Редакция» и так далее. Под раздачу попал даже юмористический канал комика Александра Гудкова «Чикен карри».
Именно такие справки Минюст РФ впоследствии предъявляет в суде, когда «иноагенты» пытаются оспорить свой новый статус. При этом далеко не все справки «реализованы». Они, согласно утечке, составлены на 804 человека, из них «иноагентами» пока что признали 139.
Подчистка выдачи поисковиков
В документах ГРЧЦ обнаружились свидетельства цензурирования выдачи поисковика «Яндекс» — это направление обозначено как «спецзадача Яндекс У» (вероятно, «У» значит Украина). Предмет цензуры — выдача на запросы о войне, ведомство составляет целые таблицы источников, которые направляет в «Яндекс» для исключения из выдачи. Это подтвердила и переписка работников.
— Привет, а что за «спецзадача Яндекс У»? — пишет сотрудник ГРЧЦ Константин своей коллеге Елене в одном из мессенджеров.
— Привет! По поисковым запросам которая, ссылки потом в Яндекс [направляются] для исключения из поисковой выдачи, — отвечает Елена.
В утечке было несколько таких таблиц, в каждой по 30−200 ссылок на антивоенные материалы, которые можно найти по определенным запросам. Например: «Россия бомбит жилые дома», «Россия расстреливает мирных жителей», «зверства российских военных в Буче», «российские срочники на Украине», «огромные потери российских войск на Украине», «путинская мобилизация», «парни из России сдаются в плен», «за что гибнут русские парни на Украине».
Дежурные службы мониторинга собирают нежелательные ссылки, которые появляются в выдаче по таким запросам, и направляют в «Яндекс», чтобы их удалили из выдачи.
Выборочно проверив запросы из таблиц, журналисты убедились, что ссылок, отмеченных ГРЧЦ, в выдаче действительно нет, то есть «Яндекс» их удаляет. В самой компании при этом заявили, что убирают ссылки из поиска только по решению суда или если сайт попал в реестр заблокированных.
По информации из отчетов Роскомнадзора, с начала войны по запросам ведомства из выдачи поисковиков «Яндекс» и Mail.ru удалено более 11,8 тысячи материалов, содержащих «сообщения о массовых потерях ВС РФ в живой силе и технике, о массовой сдаче в плен, а также об атаках на объекты гражданской инфраструктуры и убийстве мирных граждан». Ранее российские журналисты уже обращали внимание на то, как сильно отличается выдача по этим темам в Google и «Яндекс».
О Путине — или хорошо, или ничего
Отдельное направление работы службы мониторинга ГРЧЦ — отслеживание «негатива о Владимире Путине», который публикуется в интернете.
В мониторинг берут федеральные, региональные (даже малоизвестные), зарубежные источники — СМИ и соцсети. По итогам составляются доклады «Негатив по президенту РФ». Раньше они были ежедневными, в последние полгода стали еженедельными. Причина — сократился пул источников, где могут появляться такие публикации, ведь многие из них заблокированы (самим Роскомнадзором). А следить за ними можно только через VPN — чего сотрудники ГРЧЦ делать не могут, так как у них только бесплатные сервисы, которые не дают стабильного соединения.
Особо отслеживаются негативные публикации о здоровье Путина — их собирают ежедневно. По данным Роскомнадзора, доля сообщений о здоровье Путина занимает второе (после «фейков на тему СВО») место в общем количестве удаленных либо заблокированных в России материалов. Затем идут темы «мобилизации», «кризиса российской экономики», «ядерной войны» и «конспирологии».
Кроме того, ГРЧЦ уже обучает искусственный интеллект находить изображения, оскорбляющие Путина. Речь идет о системе «Окулус» на основе нейросети, которая сейчас находится в разработке. Для ее обучения создали «классификатор графических сущностей» — описание картинок, по которым «Окулус» будет учиться распознавать оскорбления Путина. Среди них — «Путин в образе краба», «Путин в образе моли», «Президент в мусорном баке», «Президент в образе Гитлера», «Президент в образе вампира».
Чистый интернет будущего
На систему «Окулус» у Роскомнадзора большие планы. Она предназначена для поиска запрещенных фото и видео в интернете и, как планировалось, должна будет анализировать 200 тыс. картинок в сутки по темам «экстремизм», «призывы к беспорядкам», «пропаганда ЛГБТ», «суицид», «наркотики» и так далее. Например, «призывы к беспорядкам» будут искать по фото Навального, «горящего Кремля», «штурма Зимнего дворца» и бело-сине-белого флага.
Согласно презентации системы, которую ГРЧЦ провел в прошлом марте, она будет также распознавать массовые скопления людей и лица отдельных людей.
Компания-разработчик официально уже завершила работы по созданию «Окулуса» — это следует из карточки контракта на сайте госзакупок, пишет «Система». Но дальше будет вестись обучение «Окулуса», и когда он заработает, неизвестно.
Еще одна из систем слежки, которую разрабатывает ГРЧЦ, называется «Вепрь». Она также основана на искусственном интеллекте. Ее задача — выявление протестных настроений и дестабилизирующих происшествий, негатива против властей, фейков, оскорбления традиционных ценностей и т.д.
Для этого «Вепрь» будет заниматься ранним выявлением в интернете «точек информационной напряженности» (ТИН) — фактов распространения дестабилизирующей информации «под видом достоверных сообщений», которая создает угрозу нарушения порядка и безопасности, в том числе по темам территориальной целостности, межнациональной розни.
«Вепрь» должен будет «отслеживать и предупреждать формирование и разрастание реальной протестной активности» и автоматизировать обработку и принятие решений по угрожающей информации — например, опровергнуть ее или заблокировать материалы.
Ожидаемыми эффектами от использования сервиса «Вепрь» в документах ГРЧЦ называются «выявление манипуляций в информационной сфере» и «предотвращение митинговой активности».
Создание «Вепря» разработчики должны завершить в июле 2023 года, затем систему будет дорабатывать ГРЧЦ.
«Окулус» и «Вепрь» частично дублируют функции друг друга (кстати, концепции и научное обоснование обоих разработали специалисты Московского физико-технического института). Как полагают расследователи проекта «Система», они должны стать частью комплекса «Чистый интернет». Зачем разрабатывать несколько нейросетей для одних и тех же задач, из утечки неясно.
«Чистый интернет» начали разрабатывать в июле 2020 года. Задача системы — сканировать интернет и находить «запрещенную информацию», формировать скриншоты страниц. Сейчас это делается в основном вручную, а с ЧИ специалисту нужно будет лишь проверить результат.
Упрощенно система выглядит так. В ней два поисковых робота (краулера). Один сканирует сайты в поисковых системах, а другой — контент в социальных сетях. Уже есть краулер для «Яндекса», планируется создать его и для поисковика в Mail.ru, а в 2024 году — для Google. Второй краулер умеет работать с «ВКонтакте», «Одноклассники», «Ответы Mail.ru», «Мой мир», «Живой журнал» и YouTube. В этом году его должны научить работать и с остальными соцсетями.
К маю роботы системы должны научиться успешно выявлять контент по темам:
- массовые мероприятия;
- вовлечение несовершеннолетних;
- оскорбление президента РФ;
- обвинение президента в экстремизме;
- фейки про президента;
- фейки про государство и страну в целом;
- пропаганда нетрадиционных сексуальных отношений и сексуальных девиаций.
25 февраля 2022 года, спустя сутки после начала войны, «Чистый интернет» подключили к поиску постов и комментариев с «призывами к незаконным митингам по ситуации на Украине».
Как говорится в презентациях Роскомнадзора, после выхода на проектную мощность система «Чистый интернет» должна покрывать 100% российского интернета, пишет «Медиазона». Исключение — стриминговые сервисы (там будут искать «запрещенку» в кино, сериалах и на ТВ) — для них разрабатывается отдельная система «МАВР».
Чтобы искать «запрещенную информацию» по всем ресурсам, «Чистому интернету» необходимо сотрудничество с поисковиками. Как следует из документов утечки, ГРЧЦ собирает данные с помощью API поиска «Яндекса». До 2021 года у аккаунта ГРЧЦ было стандартное для всех ограничение на количество поисковых запросов — 1500 в сутки. Ведомство долго добивалось от «Яндекса» снятия лимита и добилось поднятия потолка до 300 тыс. запросов в сутки.
Более того, из документов утечки следует, что «Яндекс» предоставил свой краудсорсинговый сервис «Толока» для обучения нейросетей Роскомнадзора. На «Толоке» люди, зарегистрировавшиеся в сервисе, выполняют задачи и получают за это небольшой гонорар. Исполнители размечают наборы данных, например изображения, которые будут использоваться для обучения машинных моделей. В документах есть информация о том, что в 2021—2022 годах ГРЧЦ использовал «Толоку» примерно полгода. С помощью сервиса сотрудники ГРЧЦ размечали изображения по теме «суицидальный контент». Так ведомство готовило данные для модели, которая должна была стать частью нейросети «Чистого интернета».
Еще одна часть системы «Чистый интернет» — это бот-ферма (она так и называется в документах). Ее разрабатывает сам ГРЧЦ и планирует представить в мае 2023 года.
В паспорте системы объясняется, что бот-ферма — это «программно-аппаратный комплекс для автоматизированного создания и ведения аккаунтов социальных сетей», а бот-аккаунт — «программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия, и имеющая в этом некое сходство с человеком», пишет «Агентство».
Но если в привычном понимании боты публикуют сообщения в соцсетях, то здесь назначение системы другое. Боты должны создавать реалистичные аккаунты и выдерживать проверку при вступлении в закрытые группы и сообщества в соцсетях. В публичных сообществах они должны продержаться не меньше трех месяцев, в закрытых — не менее месяца. Цель — отслеживать, что публикуется в этих группах, особенно в закрытых.
«Мегазадача Белоруссия»
Казалось бы, с цензурой в Беларуси вполне успешно справляются белорусские власти и силовики. Но, как показала утечка данных Роскомнадзора, вдобавок на наше инфопространство заметно влияет цензура с российской стороны. Отдельный материал об этом выпустила «Медиазона.Беларусь».
Так, в июле 2022 года в переписке одного из отделов Роскомнадзора появилась тема из нескольких десятков писем под названием «Задача Белоруссия». В рамках задачи сотрудники отслеживали тысячи публикаций на белорусских сайтах и вели таблицу.
В августе сотрудникам в одном из писем была поставлена «Мегазадача Белоруссия»: каждой смене было указано проверять по 205 электронных адресов, а при проверке делать упор на «СВО», завершить все надо было к 9 августа. В письмах был адрес промежуточных результатов мониторинга в гугл-таблице c 1,4 тыс. ресурсов — журналисты ее проанализировали.
Некоторые ресурсы по итогам проверки получали пометку «Да (фейк СВО)» и предложение «Отправить в ГП для составления требования» (то есть в Генпрокуратуру РФ, требование о блокировке). Некоторые из них имели статус «Направлено в Генпрокуратуру России».
Пометку «Да (фейк СВО)» получили, например, mediazona.by, reform.by, btvsat.eu, euroradio.by, flagshtok.info, baj.by, gazetaby.media и многие другие сайты, паблики и телеграм-каналы. В том числе и соцсети «Зеркала» (сам сайт нашего издания Роскомнадзор заблокировал в России еще 8 марта 2022 года).
В переписке сотрудников Роскомнадзора также были обнаружены обсуждения и факты внесения материалов белорусских СМИ в Единый реестр сайтов, содержащих информацию, распространение которой в РФ запрещено. После этого Роскомнадзор направлял белорусским изданиям требование удалить публикации. И в ряде случаев материалы удалялись.
Так, Роскомнадзор внес в реестр материал «Народнай волі» под названием «Война против Украины расколола силовиков Путина» с пересказом интервью расследователя Христо Грозева. Сейчас статья недоступна. То же случилось со статьей «Ситуация в Украине и спецоперация России на Донбассе: что происходит сейчас» на брестском сайте TOMIN.by, перепечаткой расследования проекта «Схемы» на Ex-press.by под названием «С кем воюет Украина: Российская армия в лицах», материалом о потерях РФ во время войны на сайте «Белорусы и рынок» и так далее.
Кроме того, выяснилось, что и в прежние годы Роскомнадзор направлял запросы белорусским СМИ на удаление материалов. Но в то время это касалось контента, связанного с темой суицида. Российские цензоры узрели проблему в материалах ряда СМИ, пабликов и даже пресс-службы МВД, признали их запрещенными и потребовали удалить. В основном это были новости о громких случаях самоубийства, а также о прыжках с высоты. Ряд таких материалов белорусские ресурсы удалили по требованию Роскомнадзора.