Hackerii au piratat pe serverul unui antreprenor major al serviciilor și serviciilor speciale ruse și apoi au împărtășit jurnaliștilor descrieri ale a zeci de proiecte de internet care nu sunt publice: de la deanonizarea utilizatorilor browserului Tor până la investigarea vulnerabilităților torentului.
Este posibil ca aceasta să fie cea mai mare scurgere de date privind activitatea serviciilor speciale ruse pe Internet din istorie.
Hackul a avut loc pe 13 iulie 2019. În locul paginii principale a site-ului companiei IT din Moscova „Saytek”, a apărut o imagine a unui chip cu un zâmbet larg și ochi atrăgători de ochi (în slangul internet - „yoba-face”).
Deface, adică înlocuirea paginii de start a site-ului, este o tactică comună a hackerilor și o demonstrație că au reușit să obțină acces la datele victimei.
O imagine cu „yoba-face” a apărut pe contul de Twitter 0v1ru $, înregistrat în ziua atacului. De asemenea, au apărut capturi de ecran ale folderului „Computer”, care aparține victimei. O imagine arată cantitatea totală de informații - 7,5 terabyți. Următoarea instantanee arată că majoritatea acestor date au fost deja șterse.
De asemenea, hackerii au postat o captură de ecran a interfeței rețelei interne a companiei afectate. Alături de numele proiectelor („Arion”, „Relație”, „Hryvnia” și altele) erau numele curatorilor lor - angajații „Saytek”.
Aparent, înainte de a elimina informațiile de pe computer, hackerii au copiat-o parțial. Au împărtășit documentele cu Digital Revolution, grupul care în decembrie 2018 și-a asumat responsabilitatea pentru hacking-ul serverului Institutului de Cercetare „Kvant”. Această instituție este condusă de FSB.
Hackerii au trimis documentele lui Saytek jurnaliștilor din mai multe publicații.
Video promotional:
Din arhiva, de care a putut cunoaște Serviciul BBC rus, rezultă că Saytek a desfășurat lucrări la cel puțin 20 de proiecte informatice nepublicate comandate de serviciile și departamentele speciale ruse. Aceste lucrări nu conțin note despre secretele de stat sau secretul.
Pentru cine lucrează Saytek?
Compania este condusă de Denis Vyacheslavovici Krayushkin. Unul dintre clienții Saytek este Institutul de Cercetare Kvant, unde, potrivit Runet-ID, Vyacheslav Vladilenovich Krayushkin lucrează ca consultant științific. Krayushkins sunt înregistrați în regiunea Moscova din Zamoskvorechye.
Institutul de cercetare BBC Kvant a refuzat să răspundă la întrebarea dacă Denis și Vyacheslav Krayushkin au legătură cu organizația: „Aceasta este informație confidențială, nu sunt gata să o exprime.”
Corespondentul BBC a fost sfătuit să se uite pe site-ul Institutului și pe portalul de achiziții al guvernului rus pentru informații despre proiectele comune dintre Saytek și Institutul de Cercetare Kvant. Nu a fost posibil să se găsească contracte între Saytek și Institut pe site-urile indicate.
Ultimele rezultate financiare au fost publicate de Saytek în 2017. Veniturile sale s-au ridicat la 46 de milioane de ruble, profit net - 1,1 milioane de ruble.
Valoarea totală a contractelor publice ale companiei pentru anul 2018 este de 40 de milioane de ruble. Printre clienți se numără operatorul național de comunicații prin satelit JSC „RT Komm.ru” și centrul de informații și analitice al departamentului judiciar de la Curtea Supremă a Rusiei.
tatus/1151717992583110657
Cele mai multe dintre proiectele non-publice Saitek derulate prin ordinul unității militare nr. 71330. Experții Centrului Internațional pentru Apărare și Securitate din Tallinn consideră că această unitate militară este parte a celei de-a 16-a direcții a FSB din Rusia, care se ocupă de informații electronice.
În martie 2015, SBU a acuzat centrele 16 și 18 ale FSB că a trimis fișiere umplute cu spyware către e-mailurile personalului militar și ale ofițerilor de informații.
Documentele indică adresa unuia dintre site-urile în care lucrau angajații „Saytek”: Moscova, Samotezia, 9. Anterior, această adresă era al 16-lea departament al KGB al URSS, apoi - Agenția Federală pentru Comunicații și Informații Guvernamentale sub președintele Federației Ruse (FAPSI).
În 2003, agenția a fost desființată, iar puterile sale au fost împărțite între FSB și alte servicii speciale.
Nautilus și Tor
Proiectul Nautilus-C a fost creat pentru a dezanonima utilizatorii browserului Tor.
Tor distribuie la întâmplare conexiunea la Internet la noduri (servere) în diferite părți ale lumii, permițând utilizatorilor săi ocolirea cenzurii și ascunderea datelor lor. De asemenea, vă permite să introduceți darknet - „rețeaua ascunsă”.
Pachetul software Nautilus-S a fost dezvoltat de Saytecom în 2012, prin ordinul Institutului de Cercetare Kvant. Include un nod de ieșire Tor - un server prin care sunt trimise cereri către site-uri. De obicei, aceste site-uri sunt susținute de entuziaști în mod voluntar.
Dar nu în cazul lui Saytek: știind în ce moment un anumit utilizator trimite cereri prin Tor (de exemplu, de la un furnizor de internet), operatorii de programe ar putea, cu puțin noroc, să îi coreleze în timp cu vizitele pe site-uri printr-un nod controlat.
Saitek a planificat de asemenea să înlocuiască traficul pentru utilizatorii care au intrat într-un nod special creat. Site-urile pentru astfel de utilizatori ar putea arăta diferit decât sunt în realitate.
O schemă similară de atacuri de hackeri asupra utilizatorilor Tor a fost descoperită în 2014 de experți de la Universitatea Karlstad din Suedia. Aceștia au descris 19 noduri de ieșire Tor ostile interconectate, dintre care 18 erau controlate direct din Rusia.
Faptul că aceste noduri sunt conectate a fost indicat și de versiunea comună a browserului Tor pentru ei - 0.2.2.37. Aceeași versiune este indicată în „manualul operatorului„ „Nautilus-S”.
În iulie 2019, Rusia și-a actualizat propriul record - aproximativ 600 de mii de utilizatori de browser Tor pe zi.
Unul dintre rezultatele acestei lucrări a fost să fie o „bază de date a utilizatorilor și computerelor care utilizează activ rețeaua Tor”, conform documentelor scurse de hackeri.
"Credem că Kremlinul încearcă să-l anonimizeze pe Tor doar pentru propriile sale scopuri egoiste", au scris hackerii Digital Revolution pentru BBC. „Sub diverse pretexte, autoritățile încearcă să ne limiteze capacitatea de a ne exprima liber opinia.”
„Nautilus” și rețelele sociale
O versiune anterioară a proiectului Nautilus - fără cifra „C” după nume - a fost dedicată culegerii de informații despre utilizatorii de social media.
Documentele indică perioada de lucru (2009-2010) și costul acestora (18,5 milioane de ruble). BBC nu știe dacă Saytek a reușit să găsească un client pentru acest proiect.
Reclama pentru potențiali clienți conținea următoarea expresie: „Există chiar și o vorbă în Anglia:„ Nu postați pe Internet ceea ce nu puteți spune unui polițist.” O astfel de neglijență a utilizatorilor deschide noi oportunități pentru colectarea și rezumarea datelor cu caracter personal, analiza și utilizarea lor ulterioară pentru rezolvarea problemelor speciale."
Dezvoltatorii Nautilus au planificat să strângă date de la utilizatori în rețele sociale precum Facebook, MySpace și LinkedIn.
„Recompensă” și torente
În cadrul lucrărilor de cercetare „Recompensă”, care a fost realizată în 2013-2014, „Saytek” a trebuit să investigheze „posibilitatea dezvoltării unui complex de penetrare și a utilizării ascunse a resurselor rețelelor peer-to-peer și hybrid”, conform documentelor hacked.
Clientul proiectului nu este specificat în documente. Decretul guvernului rus privind ordinul apărării de stat pentru acești ani este menționat ca bază a studiului.
De regulă, astfel de licitații care nu sunt publice sunt efectuate de armată și servicii speciale.
În rețelele peer-to-peer, utilizatorii pot schimba rapid fișiere mari, deoarece acționează ca un server și un client în același timp.
Site-ul avea să găsească o vulnerabilitate în protocolul de rețea BitTorrent (utilizând acesta, utilizatorii pot descărca filme, muzică, programe și alte fișiere prin torrente). Utilizatorii RuTracker, cel mai mare forum în limba rusă pe acest subiect, descarcă peste 1 milion de torenți în fiecare zi.
De asemenea, protocoalele de rețea Jabber, OpenFT și ED2K au intrat în sfera intereselor „Saytek”. Protocolul Jabber este utilizat în mesageria instantanee, popular printre hackerii și vânzătorii de servicii și bunuri ilegale de pe darknet. ED2K a fost cunoscut de utilizatorii de limbă rusă drept „măgar” în anii 2000.
Mentor și e-mail
Clientul pentru o altă lucrare numită „Mentor” a fost unitatea militară 71330 (probabil - informații electronice ale FSB din Rusia). Scopul este monitorizarea e-mailului la opțiunea clientului. Proiectul a fost proiectat pentru 2013-2014, Conform documentației furnizate de hackeri, programul Mentor poate fi configurat astfel încât să verifice poșta respondenților potriviți la un moment dat sau să adune un „grup de loot inteligent” pentru frazele date.
Un exemplu este o căutare pe serverele de poștă a două mari companii rusești de internet. Conform unui exemplu din documentație, căsuțele poștale de pe aceste servere aparțin Nagoniei, o țară fictivă a detectivului spion sovietic „TASS este autorizată să declare” de către Yulian Semenov. Istoria romanului se bazează pe recrutarea unui ofițer KGB de către serviciile de informații americane din Nagonia.
Alte proiecte
Proiectul Nadezhda este dedicat creării unui program care acumulează și vizualizează informații despre modul în care segmentul rusesc de internet este conectat la rețeaua globală. Clientul pentru activitatea desfășurată în 2013-2014 a fost aceeași unitate militară nr. 71330.
Apropo, în noiembrie 2019, legea „Internet suveran” va intra în vigoare în Rusia, al cărei obiectiv declarat este de a asigura integritatea segmentului rus al Internetului în cazul izolării de exterior. Criticii legii consideră că aceasta va oferi autorităților ruse posibilitatea de a-l izola pe Runet din motive politice.
În 2015, prin ordinul unității militare nr. 71330, Saytek a efectuat lucrări de cercetare pentru a crea un „complex hardware și software”, capabil să caute și să colecteze „materiale de informații pe internet” în timp ce ascunde „interesul informațional”. Proiectul a primit numele de „țânțar”.
Cel mai recent proiect din colecția trimisă de hackeri datează din 2018. Acesta a fost comandat de Centrul Principal de Inovare Științifică Științifică, SA din subordinea Serviciului Fiscal Federal.
Programul Tax-3 vă permite să eliminați manual datele de la persoane sub protecție de stat sau de protecție de stat din sistemul de informații FTS.
În special, descrie crearea unui centru de date închis pentru persoanele aflate sub protecție. Acestea includ unii oficiali de stat și municipali, judecători, participanți la procesele penale și alte categorii de cetățeni.
Hackerii susțin că s-au inspirat din mișcarea de rezistență digitală împotriva blocării mesagerului Telegram.
Hackerii Digital Revolution susțin că au dat jurnaliștilor informații sub forma în care au fost furnizate de către participanții la 0v1ru $ (câți dintre ei nu sunt cunoscuți). „Se pare că grupul este mic. Indiferent de numărul lor, salutăm contribuția lor. Ne bucurăm că există oameni care nu își pierd timpul liber, care riscă libertatea lor și ne ajută”, a remarcat Digital Revolution.
Nu a fost posibil să contactați grupul 0v1ru $ la momentul pregătirii materialului. FSB nu a răspuns la solicitarea BBC.
Site-ul „Sayteka” nu este accesibil - nici în forma anterioară, nici în versiunea cu „yoba-face”. Atunci când apelați compania, un robot standard este inclus pe robotul telefonic, în care vi se solicită să așteptați răspunsul secretarului, dar după aceasta sunt semnale sonore scurte.
Andrey Soshnikov, Svetlana Reiter
