Новое преступление русских хакеров? Кто устроил «Климатгейт»

Таяние льда зимой в заброшенном доме на севере Италии. Фото заняло 3-е место на международном конкурсе Sony World Photography Awards

10 лет назад произошел "Климатгейт" – скандал, который на какое-то время поставил под вопрос перспективы международной борьбы с глобальным потеплением. Он заставил миллионы людей, в том числе Дональда Трампа, перейти на сторону скептиков в вопросе о влиянии человеческой цивилизации на изменения климата. 1 июля независимый журналист-расследователь из Великобритании Игги Останин опубликовал в своем личном блоге новые факты, указывающие на то, что за "Климатгейтом" могли стоять российские хакеры, вероятно, из Екатеринбурга.

Радио Свобода ознакомилось с неопубликованным полным текстом расследования Останина и рассказывает, какая цепочка следов привела его в Уральский федеральный университет имени Бориса Ельцина.

В декабре 2009 года в Копенгагене должна была состояться очередная конференция ООН по изменению климата, предполагалось, что в ходе саммита будет подписан новый документ, описывающий совместные меры по ограничению выбросов и замедлению глобального потепления, – предыдущий договор, так называемый Киотский протокол, должен был закончиться в 2012 году.

За две недели до начала копенгагенского саммита, 17 ноября 2009 года, в интернете был опубликован архивированный файл, содержащий тысячи конфиденциальных файлов и писем, в основном исследователей из Отделения климатических исследований университета Восточной Англии. Этот центр является одним из трех крупнейших консультантов Межправительственной группы экспертов ООН по изменению климата. Скептики и отрицатели антропогенной природы глобального потепления интерпретировали слитые документы как свидетельство того, что ученые специально подтасовывают факты, чтобы представить потепление большей опасностью, чем оно является на самом деле, и скрывают данные о том, что темпы потепления якобы снижаются. Публикация хакерами документов вызвала бурную реакцию в социальных сетях и в медиа. По данным социальных опросов, скандал, который стали называть "Климатгейтом" ("Climategate"), заставил около 14 процентов американцев изменить свою точку зрения в вопросе климатических изменений на более скептическую.

Переговоры в Копенгагене провалились – впрочем, для этого были достаточные экономические и политические предпосылки. Член российской делегации, глава направления “Климат и энергетика” российского отделения Всемирного фонда дикой природы Алексей Кокорин заявил Радио Свобода, что слитая переписка не могла повлиять на позиции сторон, хотя и отразилась на общественном мнении:

“Климатгейт” несколько усилил позиции скептиков среди общественного мнения

– “Климатгейт” несколько усилил позиции скептиков среди общественного мнения и, может быть, помог компаниям, которые делали ставку на, условно назовем, грязные технологии, продержаться несколько дольше. Я принимаю непосредственное участие в переговорах уже очень много лет. Члены делегаций, которые там участвуют, прекрасно понимают все проблемы. На них не повлияешь такой ерундой. Да и что произошло? Изначально научно корректная информация в СМИ была представлена в очень "эффектном" виде, более эффектном, чем она была на самом деле. Представьте себе, вы один и тот же график можете нарисовать по-разному, и если мельком показать его на экране телевизора, можно заявить, что он доказывает любую ерунду. Разумеется, делегации смотрят не мельком, они состоят из людей, которые очень внимательно во все вникают и действуют прагматично, исходя из экономических интересов своих стран.

Официальные расследования, проведенные университетом Восточной Англии и несколькими государственными агентствами США и Великобритании, пришли к выводу, что информация, содержавшаяся в слитых файлах, была специально подобрана и вырвана из контекста таким образом, чтобы спровоцировать сомнения в добросовестности ученых и их данных. В действительности фактов подтасовки и сокрытия данных по глобальному потеплению обнаружить не удалось.

Дело фактически было закрыто летом 2011 года, но в ноябре того же года, снова всего за несколько дней до очередной климатической конференции ООН в Дурбане (ЮАР), в сети появился еще один файл – около 5 тысяч писем и документов, украденных, по-видимому, одновременно с первым слитым архивом из того же климатического центра университета Восточной Англии. На этот раз слив привлек намного меньше внимания – сыграло роль и то, что ученым удалось убедительно снять все вопросы по первому архиву, и то, что второй слив не содержал настолько же противоречивых данных. Совпадение или нет, но Дурбанская конференция закончилась успешно – договором о продлении действия Киотского протокола еще на несколько лет.

Расследование кибератаки на университет Восточной Англии вела полиция Норфолка при поддержке правоохранительных ведомств Великобритании, но в 2012 году оно было закрыто из-за отсутствия “реалистичных перспектив установить нарушителя или нарушителей и инициировать уголовное дело в установленные законом сроки”. Теперь, надеется Игги Останин, дело может быть открыто снова.

Первый архив со слитыми данными 2009 года быстро распространился по интернету, однако считается, что впервые он был размещен на ftp-сервере интернет-провайдера Tomcity из российского Томска (администратор сайта позже заявил, что возможность загрузки файлов на сайт открыта фактически для кого угодно, и установить того, кто разместил файлы, невозможно). Это сразу дало повод для предположений, что за кибератакой могли стоять российские хакеры, действовавшие в интересах Кремля или сторонних заказчиков.

Удивительно, что на это никто не обратил внимания раньше

Впрочем, была и альтернативная гипотеза: в сливе могли быть заинтересованы те, кто хотел помешать обсуждению законопроекта об изменении климата в Сенате США. Ссылка на архив украденных писем впервые появилась в нескольких американских блогах – как противников, так и защитников концепции антропогенного глобального потепления. Причем в некоторых случаях хакеры взламывали блог-платформы, чтобы разместить сообщение со ссылкой, ведущей на сайт ftp.tomcity.ru.

Гипотеза “российского следа” в "Климатгейте", по-видимому, так и не стала предметом официального расследования, во всяком случае, об этом не сообщалось публично. И это несмотря на то, что и второй архив, слитый в 2011 году, тоже был размещен на российском сервере – www.sinwt.ru.

Теперь, почти 10 лет спустя после первого слива, журналист-расследователь Игги Останин обнаружил несколько дополнительных улик, указывающих на то, что кибератака могла быть осуществлена из Екатеринбурга и к ней могли иметь отношение сотрудники Уральского федерального университета имени Бориса Ельцина.

Время

Первое, на что обратил внимание Останин, – специфическая нумерация, под которой были размещены документы в первом из слитых хакерами архивов. Каждый из них был сохранен в собственный текстовый файл, название которого выглядело как уникальное число, причем в соответствии с хронологическим порядком даты отправки исходных электронных писем. Расследователь догадался, что эти числа – автоматически сгенерированные метки времени в системе Unix Time, которое отсчитывает на компьютере пользователя секунды, прошедшие с 1 января 1970 года по всемирному скоординированному времени (UTC).

Если перевести метки в обычное время, оно с точностью до секунды соответствует времени отправки из университета Восточной Англии (указано в большинстве писем), но со сдвигом в +5 часов. Соответствующий часовой пояс пересекает Уральский федеральный округ России, Таджикистан, Узбекистан, Афганистан, Пакистан и другие страны, но из возможных вариантов Останин выделил именно Екатеринбург (кстати, время в Томске, где изначально был размещен архив, отличается от Екатеринбургского на два часа).

“Удивительно, что на это никто не обратил внимания раньше”, – прокомментировал Радио Свобода свою находку Игги Останин. Расследователь напоминает, что британское издание "Гардиан" без ссылок на источники заявило в 2010 году, что “электронная экспертиза предполагает, что архив был создан на компьютере, который работал в часовом поясе GMT-5 (а не +5. – РС), то есть на восточном побережье США”.

Останин признает, что первый из слитых архивов с Екатеринбургом потенциально связывают только метки времени, сделанные в часовой зоне GMT+5. Зато на тот же уральский город указывают улики, имеющие отношение ко второму, почти не замеченному сливу 2011 года.

Место

Второй архив был размещен на сайте www.sinwt.ru – это обычная домашняя страница с блогом и фотогалереями, построенная с помощью шаблонных, доступных любому энтузиасту инструментов. По данным сервиса whois, домен был зарегистрирован в 2008 году (первая запись в блоге на сайте сделана в сентябре 2009 года), его администратор анонимен. Игги Останину удалось выяснить, что так было не всегда: данные о владельце домена были анонимизированы в сентябре 2011 года – за два месяца до размещения на сайте украденного архива.

С сентября 2009-го по сентябрь 2010 года в открытом доступе в данных о домене sinwt.ru был указан электронный адрес администратора сайта – dima@sinwt.ru, с октября 2008-го (момент регистрации домена) по август 2009 года – другой адрес, webmaster@sinw0t.ru. В течение короткого периода, с августа по октябрь 2009 года, в регистрационных данных был указан и мобильный телефон, оканчивающийся на 800.

Останину удалось установить, что оба электронных адреса с большой вероятностью принадлежат одному и тому же человеку – екатеринбуржцу Дмитрию Полежаеву. Помог как раз второй, более старый адрес: выяснилось, что домен sinw0t.ru администрировал человек с ящиком dmpolg@gmail.com и мобильным телефоном, оканчивающимся на 656. Администратору с такими же данными в сентябре-октябре 2008 года принадлежал еще один домен – pentax-club.ru, а вот до сентября 2008 года данные владельца pentax-club.ru несколько отличались: мобильный телефон тот же, электронный адрес – dpol@etel.ru, но главное, было указано и имя – Dmitry L. Polezhaev.

Радио Свобода позвонило по обоим мобильным номерам, телефон, заканчивающийся на 656, не используется, а по номеру 800 удалось дозвониться: абонент подтвердил, что его зовут Дмитрий, но услышав, что с ним хочет поговорить корреспондент РС, бросил трубку и не ответил на дальнейшие звонки и сообщения.

Игги Останин установил, что человек с электронным адресом dima@sinwt.ru пользуется на форумах ником “dimasin”. На одном из них он – предположительно, Дмитрий Полежаев –​ оставил запрос о подключении юридического лица к интернету в Екатеринбурге. Останин предполагает, что Dmitry L. Polezhaev –​ Дмитрий Леонидович Полежаев, 1969 года рождения, который как минимум по состоянию на 2004 год работал старшим преподавателем радиотехнического факультета Уральского политехнического института, позже, с 2010 года, вошедшего в состав Уральского федерального университета имени Ельцина. Косвенное подтверждение этой гипотезы: название домена “sinwt” может означать sin(wt) – классическую формулу для фазы гармонического колебания с частотой w, которая широко применяется в радиоэлектронике.

Есть ли какие-то дополнительные основания, указывающие на то, что “dimasin”, он же Дмитрий Полежаев, может иметь достаточную квалификацию для осуществления кибератак? Останин обнаружил, что на одном из форумов “dimasin” с адресом dima@sinwt.ru предложил инструмент для контроля майнинга биткоинов. А Радио Свобода удалось найти запись человека с адресом dmpolg@gmail.com (им также пользовался Полежаев, судя по данным принадлежавших ему доменов) на форуме, посвященном программному обеспечению цифровых фотокамер. Автор отвечает на предложение прислать кому-нибудь часть программного кода камеры Olympus E3 для “хакинга и изучения”. Судя по метаданным фотографий, размещенных на сайте sinwt.ru, в том же 2011 году Дмитрий Полежаев пользовался камерой именно этой модели.

Человек

Останин считает, что сам по себе тот факт, что данные администратора сайта sinwt.ru были полностью анонимизированы за два месяца до того, как на нем оказался архив украденных писем, выглядит подозрительно. Но на то, что этот сайт был выбран не случайно, указывает еще одно важное свидетельство.

В открытых источниках домен sinwt.ru почти не упоминается, а сам по себе он выглядит как небольшой, на десяток записей, личный блог человека, увлекающегося фотографией и информационной безопасностью. Однако можно разыскать еще одного, помимо Дмитрия, человека, пользующегося адресом на этом домене. Отзыв на диссертационную работу в области металлургии, который размещен на сайте Уральского федерального университета, подписан Германом Константиновичем Маликовым, профессором и старшим научным сотрудником Научно-исследовательского центра проблем энергосбережения и автоматизации УрФУ. Электронный адрес Германа Маликова – germank@sinwt.ru.

Таким образом, Дмитрия Полежаева, вероятного администратора сайта sinwt.ru, на котором был размещен архив украденных писем, и Германа Маликова связывают между собой два обстоятельства: оба имеют отношение к Уральскому федеральному университету (причем центр проблем энергосбережения относится к тому же Институту радиоэлектроники и информационных технологий) и оба пользуются электронной почтой на одном и том же домене малоизвестного сайта.

Герман Маликов – специалист по теплотехнике, металлургии и эмиссии газов, несколько его научных работ были посвящены эмиссии CO2 – газа, вносящего наибольший вклад в антропогенное глобальное потепление. Соавторы Маликова, например, Владимир Лисиенко из УрФУ или Андрей Федоров из американского университета Georgia Tech, также опубликовали ряд работ о парниковых газах и углеродном следе – темах, имеющих прямое отношение к антропогенному глобальному потеплению.

Останин отмечает, что еще один соавтор Маликова, американский ученый Рэймонд Висканта, в середине 1990-х вошел в число ученых, подписавших петицию с требованием к властям США отказаться от участия в Киотском протоколе, так как “нет убедительных научных доказательств, что антропогенные выбросы парниковых газов приводят или могут в обозримом будущем привести к катастрофическому потеплению земной атмосферы и изменению климата Земли”.

Игги Останин предполагает, что Герман Маликов или кто-то из его коллег и соавторов мог выступить в роли человека, который отбирал в огромном массиве писем и файлов, украденных с сервера университета Восточной Англии, те, которые можно было представить в наиболее противоречивым свете. Для этого, считает Останов, нужен был ученый, разбирающийся в технической стороне климатологии и в физике парниковых газов.

Герман Маликов не ответил на письмо Радио Свобода.

Итоги

Таким образом, Игги Останин установил, что оба архива писем, украденных в ходе “Климатгейта” в 2009 и 2011 годах, могли иметь отношение к Екатеринбургу. Первый связан через временные отметки, второй – через администратора сайта, на который был выложен архив. Дмитрий Полежаев теоретически мог входить в группу, осуществившую кибератаку, и подготовить свой сайт для размещения архива, заранее удалив свои данные из регистрационных данных домена. С этим же доменом связан ученый Герман Маликов, сфера деятельности которого имеет прямое отношение к эмиссии парниковых газов. Оба, Полежаев и Маликов, работали или работают в Уральском федеральном университете.

В комментарии для Радио Свобода Останин заявил, что “не хочет показывать пальцем на российские власти, за атакой могли стоять и частные лица, и корпорации”. В то же время он предполагает, что у России могла быть собственная повестка в вопросе глобального потепления. “Если климат изменится, Северо-Западный проход в Арктике, о котором все больше говорят в России, получит огромное значение”, – напоминает Останин.

Алексей Кокорин сомневается, что Россия могла быть заинтересована в срыве переговоров в Копенгагене и Дурбане. Он считает, что официальная позиция РФ на международных переговорах всегда была достаточно взвешенной: “В делегации России весьма образованные люди, которых подобным популизмом не свернешь с правильной дороги. В соглашениях, которые по сути имеют экономический смысл, Россия находится между двумя группами стран – теми странами, которые должны платить, выделять деньги слабым, и теми, кто эти деньги получают. Россия же – просто добровольный донор. Поэтому она ведет себя на этих переговорах достаточно толерантно, иногда лишь возмущаясь какими-то явными перекосами в ту или иную сторону. Каждая страна назначает себе цель и сама ее выполняет. Нет никаких штрафов или санкций. Это сугубо рамочное, совершенно добровольное соглашение. Это вопрос международного имиджа и доброй воли”.

Кто бы ни стоял за “Климатгейтом”, наверняка можно сказать, что этот слив существенно повлиял на мнение одного человека, от которого очень сильно зависит сегодняшний мир, – Дональда Трампа. Останин обращает внимание на то, что незадолго до публикации данных Трамп призывал занимавшего тогда кресло президента США Барака Обаму решительно включиться в международную борьбу с глобальным потеплением. Но после публикации слива Трамп вошел в число скептиков в вопросе об антропогенных причинах глобального потепления – по его собственному признанию, на это повлиял “Климатгейт”.

Игги Останин передал данные своего расcледования в National Crime Agency – созданное в 2013 году в Великобритании специальное агентство, одной из задач которого является расследование киберпреступлений. Он надеется, что новые данные, указывающие на возможную связь России и “Климатгейта”, могут заинтересовать британских правоохранителей в 2019 году сильнее, чем в 2011-м.