Хакеры заявили, что Минобороны так и не автоматизировало процесс заполнения данных в реестрах военнообязанных и повесток — «Важные истории»

«Важные истории» опубликовали данные, полученные хакерами после взлома разработчиков единого реестра воинского учета (ЕРВУ). Заполнение базы и рассылка повесток происходят вручную. Одна из причин — желание защитить силовиков и чиновников.

Целью атаки была компания «Микорд», которая выступает подрядчиком проекта. О самом взломе стало известно почти две недели назад. Одним из первых о нём сообщил проект «Идите лесом», который помогает бежать из России призывникам. Утверждалось, что в руках хакеров оказались техническую и финансовую документацию, и даже некий «исходный код». Директор «Микорда» Рамиль Габдрахманов прокомментировал атаку словами: «Слушайте, ну с кем не бывает? Сейчас многих атакуют». В Минобороны, как обычно, начали всё отрицать. Примечательно, что это не первый крупный госзаказ фирмы: в 2016 году ей поручили создать единый реестр ЗАГС.

Личности, национальность и источник финансирования хакеров не раскрываются (в тексте их буквально называют «участниками хакерской группировки»).  Способ взлома оставался непонятен. Судя по обрывочным данным, использовалась классическая социальная инженерия: взломщики просили пароли под видом коллег и выкачивали данные с серверов. Отдельно отмечается, что компания не оплатила файрвол и не обновила Windows «из-за санкций». Группировка, кем бы они ни были, утверждает, что скачала все файлы, а потом уничтожила всю инфраструктуру разработчика, то есть более 80 серверов на 43 терабайта данных, включая 12 терабайт резервных копий, а также оставила «пару сюрпризов на будущее». 

В 2024 году «Микорд» официально получил госконтракт на реестр воинского учета. Власти скрывают информацию о госконтрактах, однако, судя по косвенным данным, разработка началась в феврале прошлого года. Формальным заказчиком для отвода глаз выступает «‎РТ Системы коммуникаций» («РТ СК»), дочерние юрлицо «‎Ростелекома». Насколько можно судить, фирма получила за работу не менее 377,5 миллиона рублей.

Согласно закону, должно существовать два реестра: одна система должна была отвечать за хранение всех данных о военнообязанных, а другая — за демонстрацию и рассылку электронных повесток, в том числе через Госуслуги. Базы должны быть связаны между собой. После того, как на человека оформили повестку, начался «обратный отсчёт»: через 20 дней после её появления в реестре призывнику запрещено совершать сделки с недвижимостью, водить машину и выезжать за границу. Сообщалось о том, что рассылка уведомлений началась и что россиян останавливали на границе из-за появления электронной повестки в реестре в некоторых отдельных случаях. Тем не менее, информации о базе призывников почти не было. 

Из полученных хакерами данных следует, что реестр до сих пор не готов и что он заполняется и редактируется в ручном режиме. Данные замораживаются на три дня, пока их не проверят некие модераторы. Одна из причин для такой архитектуры — необходимость вычищать из базы данные о силовиках и чиновниках, а также об их родственниках. Во внутренней документации говорилось, что реестр создаётся в том числе для проведения мобилизации. Отдельно отмечается существование специальной функции ЕКС, которая позволяет властям удалять любые данные, не оставляя следов даже в журнале доступа.

Отдельно отмечается, что при рассылке электронных повесток сотрудники военкоматов вручную выбирают мужчин, которым придут уведомления. При этом, согласно документации, систему сейчас нельзя настроить на «автоматизацию» рассылки. Это не означает, что такую функцию не добавят в будущем.

«Кого именно планируют защищать от призыва с помощью ЕКС, в документах прямо не говорится. В постановлении правительства о создании ЕРВУ сказано, что работа с данными реестра должна учитывать защиту кадрового состава Минобороны, ФСБ, ФСО, СВР и МВД, а также людей, подлежащих государственной охране, и членов их семей. Это широкий круг — судьи, прокуроры, следователи, действующие военные, сотрудники таможни, налоговой, члены правительства и их семьи. О том, что в реестре не должны содержаться записи о силовиках, говорится и в техническом задании на разработку ЕРВУ», — пишут «Важные истории».

Насколько поняли хакеры, данные ЕРВУ хранятся отдельно «в закрытом контуре» на серверах с локальной сетью. Чтобы получить доступ к этой сети, нужно «пройти собеседование с сотрудником ФСБ, получить специальный ноутбук и флешку». Всего в системе имеется 300 полей о каждом человеке, включая адрес, телефоны, болезнях, имуществе и так далее. Хакеры предполагают, что рано или поздно базы взломают либо сотрудники военкоматов начнут торговать данными из системы, потому что в ней собрано слишком много полезной информации.

Утечка позволила раскрыть несколько ключевых фигур, которые скрывали своё участие в проекте. В частности, выяснилось, что архитектуру реестра разрабатывали в Аналитическом центре при правительстве. Директор Департамента проектной деятельности по контролю за нацпроектами в правительстве Юлия Левитская оказалась одним из главных менеджеров инициативы. Всего журналистам удалось установить 47 чиновников разного уровня, которые участвуют в разработке и поддержке системы. Их имена опубликованы в списке «Ответственные за разработку и внедрение ЕРВУ» на сайте «Важных историй».