Темы расследованийFakespertsПодписаться на еженедельную Email-рассылку
Политика

Протокольные мероприятия. Как Россия готовится блокировать YouTube и Telegram, закупая оборудование в обход санкций

The Insider обнаружил документы, из которых следует, что Россия начала закупки технологий, делающих возможными блокировки по протоколу, — это позволит закрыть доступ к YouTube, WhatsApp, Telegram и другим сервисам. Поскольку в России не производят микропроцессоры и сложные системные платы, все комплектующие — импортные. Технику производят китайская Huawei и российские RDP.Ru и Yadro. Она основана на комплектующих, получаемых в том числе от американской корпорации Intel, несмотря на все санкции.

Read in English

Что такое блокировка по протоколу

Для РКН жизненно важно научиться блокировать и замедлять сайты не только по IP-адресам, но и по протоколам. Протокол — это набор правил, по которым происходит обмен данными между компьютерами и серверами. Например, есть протоколы, по которым передается электронная почта, и они отличаются от тех, по которым передаются сообщения в Telegram или WhatsApp. Так, именно протокол MTProto, разработанный для Telegram, позволяет сообщениям доходить до адресата, даже если соединение очень нестабильное. А есть протоколы передачи потокового видео и аудио — с ними работают программы типа Skype. Специальные протоколы передачи данных используют YouTube и другие видеосервисы. Для того чтобы заблокировать или замедлить передачу данных любого из подобных сервисов, как раз и используются фильтры ТСПУ.

Оборудование, которое использует Роскомнадзор, официально называется «программно-аппаратный комплекс» (ПАК). Оно состоит из серверной инфраструктуры («таможни» на каждом участке интернет-сетей по всей России) и программного кода («таможенных правил»). До недавних пор у ведомства не было технической возможности массово фильтровать трафик по протоколам. После массовой блокировки VPN этим летом мы узнали, что теперь такая возможность у регулятора появилась. Более того, благодаря утечке данных из Главного радиочастотного центра (ГРЧЦ) The Insider выяснил, какое именно оборудование использует Роскомнадзор. Мы узнали, какие возможности оно дает для блокировки интернета в России, сколько «таможен» уже удалось установить РКН на сетях российских операторов связи, а также кто производит и завозит в Россию это оборудование.

Битва за VPN

Первыми, кто попал под раздачу из-за блокировки по протоколу, стали VPN-сервисы. В начале августа и в конце сентября в России дважды массово блокировали VPN по протоколу — это стало возможно благодаря системе глубокой фильтрации трафика (deep packet inspection, DPI). Если раньше у российских пользователей переставало работать приложение VPN, почти всегда это было связано с блокировкой конкретных IP-адресов, которые использовал сервис. Один из способов обходить такую «тупую» блокировку — постоянно менять IP-адреса, с которыми сервис связывается, что успешно и делали Proton, Red Shield, другие приложения и снова начинали работать (а некоторые VPN-сервисы, как правило, менее популярные и не попадающие в поле зрения РКН, работали бесперебойно). Но в апреле–июне 2023 года Мегафон и МТС предположительно попытались блокировать наиболее популярные протоколы (то есть способы передачи данных между компьютерами пользователей и VPN-серверами) — OpenVPN и WireGuard. А в начале августа операторы внезапно стали блокировать весь трафик, идущий через VPN-приложения, и большинство приложений перестали работать для пользователей в России.

Через несколько дней работа сервисов частично восстановилась, блокировка прекратилась, но в конце сентября началась снова. Эксперты считают, что это была беспрецедентная акция со стороны Роскомнадзора. «Мы жили расслабленно. Это была не цифровая война, а размазывание соплей костылем по стенам. А вот теперь — война!» — написал в своем блоге создатель проекта для мониторинга блокировок «Эшер II» Филипп Кулин.

Блокирует VPN-протоколы Роскомнадзор примерно так. На сетях операторов устанавливается оборудование для фильтрации трафика, которое в официальных источниках называется ТСПУ — техническое средство противодействия угрозам. Оборудование контролирует сам Роскомнадзор. Когда принимается решение заблокировать что-нибудь, например, один или несколько протоколов VPN, специалист дочерней организации Роскомнадзора ФГУП «ГРЧЦ» отправляет на устройство команду и происходит блокировка. Сам оператор связи вообще не участвует в процессе.

В августе при блокировке учитывали, что VPN-протокол отправляет трафик на зарубежные сервера — внутрироссийские сети не блокировали. К примеру, пользователи проекта VPN Generator за время блокировки по протоколам потеряли около 10% трафика — соединения с зарубежными прокси-серверами просто не устанавливались. VPN Generator использует протокол WireGuard, однако блокировки затронули все популярные протоколы. Коммерческие сервисы Trust.Zone и PaperVPN в разговоре с The Insider заявили, что потеряли лишь небольшую часть трафика, благодаря тому что предлагают подключение через разные протоколы и другие технические решения для обхода запретов Роскомнадзора.

По сообщениям службы технической поддержки VPN Generator, блокировки почти не коснулись пользователей домашнего интернета, а затронули в основном клиентов мобильных операторов. Это значит, что РКН пока не поставил ТСПУ на сетях всех операторов связи — упор сделан на сотовых операторов. Причина в том, что это легче сделать технически, плюс у них больше абонентов.

Чтобы заблокировать вообще все VPN по протоколу, нужно много вычислительных ресурсов, которых Роскомнадзору пока не хватает. Когда интернет фильтруется, у каждого пакета проверяются протокол и адрес назначения. Чесать все под одну гребенку нельзя, потому что в России VPN массово используется для удаленного соединения офисов, банкоматов, кассовых терминалов, корпоративных сетей, счетчиков электричества. Если заблокировать трафик по всем протоколам, все эти сервисы перестанут работать, станут невозможны покупки в магазинах и снятие наличных в банкоматах.

Как ГРЧЦ и Усманов будут фильтровать Рунет

После неудачных попыток заблокировать Telegram в 2018 году у РКН появилась идея: за государственный счет установить у всех провайдеров оборудование для глубокой фильтрации интернета. К середине 2019 года для ее реализации приняли так называемый закон «о суверенном Рунете». Внутри ГРЧЦ для этого учредили подразделение — Центр мониторинга и управления сетями связи общего пользования (ЦМУ). Его возглавил Сергей Хуторцев — по данным источников «Медузы», выходец из Федеральной службы охраны (ФСО). Александр Жаров, возглавлявший тогда РКН, сравнил технологии для изоляции Рунета, которые предполагалось создать и применять в рамках закона, с ядерным оружием.

На реализацию идеи «суверенного Рунета» планировали потратить 20 млрд рублей. Однако внедрение систем фильтрации не шло гладко: центр постоянно срывал сроки исполнения программы, качество связи падало, а операторы при этом получали претензии и от абонентов, и от Роскомнадзора — поставленное оборудование все равно пропускало заблокированные сайты. Глава одного из средних операторов связи жаловался ComNews:

«Мы оплатили размещение ТСПУ, мы регулярно оплачиваем электроэнергию, которую потребляют эти устройства, и аренду канала не менее 100 Мбит/с для связи ТСПУ с центральной системой. Но к чему все эти расходы, если эти ТСПУ явно не работают».

Для внедрения систем фильтрации трафика была создана компания «Данные — центр обработки и автоматизации» (ДЦОА). Почти сразу 49% ее перешли холдингу «Цитадель» Антона Черепенникова. Кто контролировал оставшуюся долю в капитале компании, неизвестно, как и кто контролирует ее сейчас, после того как Черепенников скончался в 2023 году. Эти данные в ЕГРЮЛ скрыты. «Цитадель» выдала ДЦОА кредит в 281 млн рублей на первые несколько месяцев работы (документ), которые новосозданная компания очень быстро вернула.

Эксперты отмечали, что компания Черепенникова фактически инвестировала в проект, созданный под выполнение государственной задачи. А уже в 2020 году главным бенефициаром «Цитадели» стала USM Алишера Усманова (документ).

Владимир Путин и Алишер Усманов

В пилотном проекте по внедрению фильтров, по данным источников РБК, участвовали сотрудники компаний, входящих в «ИКС Холдинг», который тоже принадлежал Черепенникову, затем был продан USM, а после начала крупномасштабного вторжения вернулся к своему основателю. «ИКС Холдинг» и «Цитадель» — одни из главных бенефициаров установки систем контроля по «закону Яровой».

The Insider обнаружил договор (документ), заключенный ГРЧЦ и ДЦОА. В нем указаны типы и количество оборудования для фильтрации трафика, которое должно быть поставлено ГРЧЦ и установлено на сетях операторов связи в России. Это оборудование и программное обеспечение частично производится в России из зарубежных компонентов, частично поставляется из-за рубежа. Один из основных элементов системы производит компания, входящая в «ИКС Холдинг», ранее принадлежавший USM Алишера Усманова, но вернувшийся под контроль Черепенникова после начала войны с Украиной.

Договор предусматривает поставку, установку и дальнейшую эксплуатацию ТСПУ. Цена договора на 2020 год, предусматривающая первый этап создания системы и поставку оборудования для него, — 4,3 млрд рублей. За 2022–2024 годы должно было быть истрачено почти 24,7 млрд рублей.

Из чего состоит оборудование для «чебурнета»

Всего, согласно договору, система глубокой фильтрации в России может задействовать порядка 5 тысяч ТСПУ. Они могут быть установлены в 350 узлах.

Наиболее важное оборудование, которое поставляется согласно договору между ГРЧЦ и ДЦОА:

  • ПАК EcoFilter (торговая марка дочерней компании Ростелекома — RDP.Ru) — оборудование для фильтрации. Комплекс состоит из программной части EcoDPIOS-DU, разработанной в самой компании, и серверов Yadro Vegman N110. «Железо» производит резидент Сколково Yadro, незадолго до принятия закона о «суверенном интернете» вошедший в «ИКС Холдинг» Черепенникова.
  • Серверы FusionServer 1288H производства Huawei.
  • Коммутационное оборудование, чтобы включаться в сети различных операторов связи. Важной частью его являются байпасы производства израильской Silicom Ltd, которые она поставляет ДЦОА напрямую. Коммутаторы поставляет новосибирская компания «Элтекс».
  • ПАК «Континент» для удаленного управления оборудованием. Его производит ООО «Код безопасности». Комплекс использует программное обеспечение, разработанное компанией Positive Technologies, находящейся под санкциями.
Так выглядит собранное оборудование для глубокой фильтрации интернета
Иллюстрация: Михаил Климарев

ТСПУ устанавливается в разрыв кабеля между сетью оператора связи и интернетом.

Схема установки ТСПУ из рабочей документации технико-технологического решения одного из операторов связи

EcoFilter — основной ПАК, который применяется для фильтрации интернета в России. Минцифры указывает, что его назначение — «фильтрация негативного контента». В 2023 году Минпромторг выдал заключение о том, что его серверная часть, хотя и использует процессор Intel Xeon, локализована и производится в России входящей в Yadro ООО «КНС Групп».

Из инструкции к EcoFilter можно узнать, что именно планирует делать с интернетом Роскомнадзор — то есть какие правила могут применяться на «интернет-таможне». В ней описана блокировка по протоколам, по реестрам Роскомнадзора, базе ЦАИР, в которой есть функция блокировки сайтов по категориям (например, можно в один клик заблокировать все сайты, где упоминается «экстремизм», или сохранение анонимности, или власти и правительство), а также возможность принудительного перенаправления с одного сайта на другой — например, можно настроить так, что россиян, которые хотят зайти на незаблокированное «зеркало» The Insider, Роскомнадзор принудительно будет отправлять на сайт РИА «Новости», и операторы ничего не смогут с этим поделать. Также ПАК позволяет замедлять сайты и передавать абонентам дополнительный контент — например, рекламный баннер.

Территория, охваченная оборудованием RDP.Ru на начало 2022 года (слайд из рекламной презентации)

Важно понимать, что в России не производят микропроцессоры и сложные системные платы. Хотя оборудование для ТСПУ и поставляется российскими фирмами, все базовые комплектующие для него импортируются. На месте осуществляются, скорее всего, только крупноузловая сборка и установка программного обеспечения.

Таким образом, ДЦОА в этом проекте выступает в роли системного интегратора. Компания объединяет разрозненные компьютерные системы в единое целое. The Insider проанализировал бухгалтерскую отчетность и госконтракты компании и пришел к выводу, что ГРЧЦ — ее главный клиент. ДЦОА планирует работы, закупает оборудование и программное обеспечение, монтирует и обслуживает комплексы. Бóльшую часть оборудования ДЦОА закупает у российских субподрядчиков. Напрямую из-за рубежа компания ввозит комплектующие китайского бренда GLSUN и израильского Silicom. The Insider направил запрос в Silicom Ltd.

Закупки ДЦОА байпасов у израильской фирмы. В правом столбце — стоимость оборудования
Источник: утечка ГРЧЦ

«Отечественное» оборудование из Тайваня, Китая и Словакии. И никаких санкций

Основную аппаратуру для фильтрации интернета — ту самую «таможню» — Роскомнадзору продает RDP.Ru (ООО «РДП.Ру»). С 2016 по 2021 год эту фирму по частям выкупил полностью Ростелеком.

Согласно договору, в 2022 году ДЦОА собирался купить 1195 приборов EcoFilter, а в 2023–2024 годах — еще 3149 приборов.

Сама фирма RDP.Ru разрабатывает только программное обеспечение, а вот все «железо» для роскомнадзоровской «таможни» поставляет российская компания Yadro. Ранее она уже успела внести вклад в производство оборудования для слежки за россиянами с ласковым названием «СОРМович» и в реализацию «закона Яровой» — именно Yadro производит системы хранения (СХД) для комплекса «Купол», который обязаны закупать операторы связи.

Свои серверы она позиционирует как «лучшие на национальном рынке» и активно лоббирует запрет на ввоз иностранных серверов в страну. Серверы Vegman, в том числе такой, который используется в ТСПУ, в 2023 были включены в реестр продукции, произведенной на территории России, и получили от Минпромторга оценку как локализованные. И хотя Yadro уже несколько лет грозится начать производство собственных процессоров, в ее серверах по-прежнему используются процессоры Intel. Это не очень нравится Минпромторгу — но российские производители серверов настаивают, что у них должна оставаться возможность ввозить в страну платы, жесткие диски, процессоры и другую электронику. The Insider направил запрос в компанию Intel.

В действительности в «коробочках», которыми фильтруется интернет в России, российского не так много. Как удалось выяснить The Insider из таможенных данных, под брендами Yadro и Vegman в страну ввозятся различные части серверного оборудования — от корпусов до печатных схем и процессоров. Производят их тайваньские компании Innoflux (печатные платы, коммутаторы, процессорные и электронные модули), MSI (материнские платы и электронные модули), AIC Inc. (корпусы для серверов и жестких дисков) и Majestic Technology Corporation (части корпусов для серверов и шасси для соединения модулей), а также китайско-американская Parade Technologies (материнские платы и электронные модули), китайские TALIAN (материнские платы и печатные схемы) и SuNPe (корпуса серверов и СХД).

Основной поставщик оборудования для производства серверов Yadro — а значит, и фильтров для ТСПУ — зарегистрированная в Словакии компания Telperien s.r.o. По оценке маркетингового агентства Tebiz, на протяжении многих лет она является одним из крупнейших поставщиков серверов в Россию. Она привозит оборудование производства Innoflux, TALIAN и Majestic по заказу ООО «Комбит». Компанией Telperien управляют люди, ранее подозреваемые в отмывании денег в Чехии через фиктивные контракты о поставках телеком-оборудования в Россию.

Корпусы для серверов Yadro также производятся на Тайване и в Китае, в Россию их импортирует ООО «Ретекомпьютерс».

В феврале 2023 года «ИКС-Холдинг» (головная компания бренда Yadro), а также некоторые входящие в группу компании попали под американские санкции за причастность к созданию системы СОРМ в России. Это полные блокирующие персональные санкции, которые, помимо всего прочего, запрещают всем американским лицам любые трансакции с санкционированными. Среди оказавшихся под санкциями — производитель серверов Vegman «КНС Групп».

Однако другие компании из группы Yadro под санкции не попали. Это не помешало им скрыть в ЕГРЮЛ информацию о себе как о компаниях, попавших под санкции. Не ограничена какими-либо санкциями и работа RDP.Ru — производителя и дистрибьютора российских фильтров для DPI.

Как Intel невольно помогает блокировать Рунет

Помимо фильтрующего оборудования, в состав комплекса ТСПУ входят также два сервера Huawei FusionServer 1288H в ее различных модификациях. В таких серверах используются процессоры и чипсет Intel. В 2022 году ГРЧЦ купил 965 таких серверов, а на 2023–2024 годы было запланировано купить еще 2404 сервера. Стоимость серверов в коммерческом предложении ДЦОА за три года превышает 4,8 млрд рублей.

Еще до принятия закона о «суверенном Рунете» Huawei пытался заработать на поставке оборудования для реализации «закона Яровой». Китайский производитель надеялся локализовать производство серверов в России и заключал для этого партнерства с российскими компаниями — в том числе с «Норси-Транс», конкурентом «Цитадели». А в итоге его оборудование вошло в состав ТСПУ.

После начала полномасштабного вторжения России в Украину Huawei заморозила заключение новых контрактов в стране, а потом и вовсе закрыла подразделение корпоративных продаж. Однако для поставок смартфонов компания как активно пользовалась схемами параллельного импорта, так и ввозила оборудование напрямую, следует из таможенных данных, имеющихся в распоряжении The Insider.

Китайский телеком-гигант до сих пор использует в своем оборудовании процессоры Intel, несмотря на то что США еще с 2019 года пытаются ограничить использование американских технологий в продукции Huawei. Чтобы адаптироваться к санкциям США, компания строит секретные заводы для производства микрочипов. Сейчас для покупки американских чипов Huawei приходится получать специальные разрешения от правительства США. Однако американские политики не оставляют надежды полностью запретить китайскому гиганту использовать американское оборудование.

В ответ на просьбу The Insider прокомментировать поставки серверов Huawei и использование для них технологии Intel председатель Комитета конгресса по международным делам Майкл Маккол заявил:

«Если эти сведения точны, Huawei абсолютно должна быть подвергнута вторичным санкциям. Американским компаниям следует пересмотреть свои деловые отношения с компаниями, напрямую связанными с Коммунистической партией Китая, — особенно с компанией Huawei. Если мы продолжим „бизнес как обычно”, то только больше разожжем амбиции КПК и усиление их военных возможностей, которые будут направлены на американских военнослужащих.
Более сильные действия американского правительства в отношении Huawei давно назрели. Эта ситуация, сопряженная с возможными нарушениями компанией Huawei мер американского экспортного контроля при разработке их недавнего 5G смартфона, — основание для более жесткого экспортного контроля и санкций в отношении этой организации».

The Insider направил запрос об использовании чипов Intel в оборудовании для ТСПУ в Министерство торговли США.

Бóльшую часть серверов и частей для них в 2019–2022 годах Huawei поставляла в Россию сама. Также крупным поставщиком остается британская Mykines Corporation LLP, которая раньше была замечена в поставках электроники в Россию в обход санкций. Однако у кого именно закупает серверы ДЦОА, неизвестно.