Hakerzy włamali się do serwera głównego wykonawcy rosyjskich służb i wydziałów specjalnych, a następnie udostępnili dziennikarzom opisy dziesiątek niepublicznych projektów internetowych: od deanonimizacji użytkowników przeglądarki Tor po badanie luk w torrentach.
Niewykluczone, że jest to największy wyciek danych o pracy rosyjskich służb specjalnych w Internecie w historii.
Hack miał miejsce 13 lipca 2019 roku. Zamiast głównej strony serwisu moskiewskiej firmy informatycznej Saytek pojawiła się twarz z szerokim uśmiechem i zadowolonymi z siebie zmrużonymi oczami (w slangu internetowym - "yoba-face").
Deface, czyli zastąpienie strony głównej serwisu, to powszechna taktyka hakerów i pokazanie, że udało im się uzyskać dostęp do danych ofiary.
Migawka z "twarzą yoba" pojawiła się na koncie Twittera 0v1ru $, zarejestrowanym w dniu ataku. Pojawiły się również zrzuty ekranu folderu „Komputer”, przypuszczalnie należącego do ofiary. Jedno zdjęcie przedstawia całkowitą ilość informacji - 7,5 terabajta. Następna migawka pokazuje, że większość tych danych została już usunięta.
Hakerzy opublikowali również zrzut ekranu interfejsu sieci wewnętrznej firmy, której dotyczy problem. Obok nazw projektów („Arion”, „Relacja”, „Hrywna” i inne) były nazwiska ich kuratorów - pracowników „Saytek”.
Najwyraźniej przed usunięciem informacji z komputera hakerzy częściowo je skopiowali. Dokumenty udostępnili Digital Revolution, grupie, która w grudniu 2018 roku wzięła na siebie odpowiedzialność za włamanie do serwera Instytutu Badawczego „Kvant”. Ta instytucja jest prowadzona przez FSB.
Hakerzy przesłali dziennikarzom dokumenty Sayteka z kilku publikacji.
Film promocyjny:
Z archiwum, z którym rosyjska służba BBC mogła się zapoznać, wynika, że Saytek prowadził prace nad co najmniej 20 niepublicznymi projektami informatycznymi zleconymi przez rosyjskie służby i wydziały specjalne. Dokumenty te nie zawierają notatek dotyczących tajemnic państwowych lub tajemnicy.
Dla kogo Saytek pracuje?
Firmą kieruje Denis Wiaczesławowicz Krayushkin. Jednym z klientów firmy Saytek jest instytut badawczy Kvant, w którym według Runet-ID Wiaczesław Władilenowicz Krayushkin pracuje jako konsultant naukowy. Krayushkins są zarejestrowani w moskiewskim regionie Zamoskvorechye.
BBC Research Institute Kvant odmówił odpowiedzi na pytanie, czy Denis i Wiaczesław Krayushkin są spokrewnieni z organizacją: „To są informacje poufne, nie są gotowi, aby je wypowiedzieć”.
Korespondentowi BBC doradzono, aby zajrzał na stronę internetową instytutu oraz na portal zamówień publicznych rosyjskiego rządu w celu uzyskania informacji o wspólnych projektach Saytek i Instytutu Badań Naukowych Kvant. Nie udało się znaleźć umów pomiędzy Saytek a Instytutem we wskazanych lokalizacjach.
Najnowsze wyniki finansowe Saytek opublikował w 2017 roku. Jego przychody wyniosły 46 mln rubli, zysk netto - 1,1 mln rubli.
Łączna kwota zamówień publicznych firmy na 2018 rok to 40 milionów rubli. Wśród klientów znajduje się krajowy operator łączności satelitarnej RT Komm.ru JSC oraz centrum informacyjno-analityczne wydziału sądowego Sądu Najwyższego Rosji.
tatus/1151717992583110657
Większość niepublicznych projektów Saitek realizowała na zlecenie jednostki wojskowej 71330. Eksperci z Międzynarodowego Centrum Obrony i Bezpieczeństwa w Tallinie uważają, że ta jednostka wojskowa jest częścią XVI Dyrekcji FSB Rosji, która zajmuje się wywiadem elektronicznym.
W marcu 2015 r. SBU oskarżyła 16 i 18 ośrodek FSB o wysyłanie plików zawierających oprogramowanie szpiegujące na e-maile ukraińskiego personelu wojskowego i oficerów wywiadu.
W dokumentach znajduje się adres jednego z miejsc, w których pracowali pracownicy „Saytka”: Moskwa, Samotechnaya, 9. Wcześniej adres ten był 16 wydziałem KGB ZSRR, a następnie Federalnej Agencji ds. Komunikacji i Informacji Rządowej przy Prezydencie Federacji Rosyjskiej (FAPSI).
W 2003 r. Agencja została zlikwidowana, a jej uprawnienia zostały podzielone między FSB a inne służby specjalne.
Nautilus i Tor
Projekt Nautilus-C został stworzony, aby dezanonimizować użytkowników przeglądarki Tor.
Tor rozprowadza połączenie internetowe losowo do węzłów (serwerów) w różnych częściach świata, umożliwiając swoim użytkownikom obejście cenzury i ukrycie swoich danych. Pozwala też wejść do darknetu - „ukrytej sieci”.
Pakiet oprogramowania Nautilus-S został opracowany przez Saytecom w 2012 roku na zlecenie Instytutu Badawczego Kvant. Zawiera węzeł wyjściowy Tora - serwer, przez który wysyłane są żądania do witryn. Zazwyczaj takie strony są wspierane przez pasjonatów na zasadzie dobrowolności.
Ale nie w przypadku Saytek: wiedząc, w którym momencie dany użytkownik wysyła żądania przez Tora (na przykład od dostawcy Internetu), operatorzy programów mogliby, przy odrobinie szczęścia, skorelować je w czasie z wizytami na stronach przez kontrolowany węzeł.
Saitek planował również zastępowanie ruchu użytkownikom, którzy weszli do specjalnie utworzonego węzła. Witryny dla takich użytkowników mogą wyglądać inaczej niż w rzeczywistości.
Podobny schemat ataków hakerów na użytkowników Tora został odkryty w 2014 roku przez ekspertów z Uniwersytetu w Karlstad w Szwecji. Opisali 19 połączonych ze sobą wrogich węzłów wyjściowych Tora, z których 18 było kontrolowanych bezpośrednio z Rosji.
Na fakt, że te węzły są połączone, wskazywała również wspólna dla nich wersja przeglądarki Tor - 0.2.2.37. Ta sama wersja jest wskazana w „instrukcji obsługi” „Nautilus-S”.
W lipcu 2019 roku Rosja zaktualizowała swój własny rekord - około 600 tysięcy użytkowników przeglądarki Tor dziennie.
Jednym z rezultatów tej pracy miała być „baza danych użytkowników i komputerów aktywnie korzystających z sieci Tor”, zgodnie z dokumentami ujawnionymi przez hakerów.
„Uważamy, że Kreml próbuje zdjąć anonimizację Tora wyłącznie dla swoich własnych egoistycznych celów” - napisali hakerzy Digital Revolution do BBC. „Pod różnymi pretekstami władze próbują ograniczyć naszą możliwość swobodnego wyrażania opinii”.
„Nautilus” i sieci społecznościowe
Wcześniejsza wersja projektu Nautilus - bez łącznika „C” po nazwie - była poświęcona zbieraniu informacji o użytkownikach mediów społecznościowych.
Dokumenty wskazują okres prac (2009-2010) i ich koszt (18,5 mln rubli). BBC nie wie, czy Saytekowi udało się znaleźć klienta na ten projekt.
Reklama dla potencjalnych klientów zawierała następującą frazę: „W Anglii jest nawet takie powiedzenie:„ Nie publikuj w Internecie tego, czego nie możesz powiedzieć policjantowi”. Taka nieostrożność użytkowników otwiera nowe możliwości gromadzenia i podsumowywania danych osobowych, ich dalszej analizy i wykorzystania do rozwiązywania szczególnych problemów.”
Twórcy Nautilusa planowali zbierać dane od użytkowników w takich sieciach społecznościowych jak Facebook, MySpace i LinkedIn.
„Nagroda” i torrenty
W ramach prac badawczych „Nagroda”, które były realizowane w latach 2013-2014, „Saytek” musiał zbadać „możliwość stworzenia kompleksu penetracji i niejawnego wykorzystania zasobów sieci peer-to-peer i hybrydowych”, zgodnie z zhakowanymi dokumentami.
Klient projektu nie jest określony w dokumentach. Jako podstawę opracowania wymienia się dekret rządu rosyjskiego w sprawie nakazu obrony państwa na te lata.
Z reguły takie niepubliczne przetargi przeprowadza wojsko i służby specjalne.
W sieciach typu peer-to-peer użytkownicy mogą szybko wymieniać duże pliki, ponieważ działają jednocześnie jako serwer i klient.
Witryna miała znaleźć lukę w protokole sieciowym BitTorrent (za jego pomocą użytkownicy mogą pobierać filmy, muzykę, programy i inne pliki za pośrednictwem torrentów). Użytkownicy RuTracker, największego rosyjskojęzycznego forum na ten temat, codziennie pobierają ponad 1 milion torrentów.
W sferę zainteresowań firmy „Saytek” znalazły się również protokoły sieciowe Jabber, OpenFT i ED2K. Protokół Jabber jest używany w komunikatorach internetowych, popularnych wśród hakerów i sprzedawców nielegalnych usług i towarów w darknecie. ED2K był znany rosyjskojęzycznym użytkownikom jako „osioł” w 2000 roku.
Mentor i poczta elektroniczna
Klientem kolejnej pracy zwanej „Mentorem” była jednostka wojskowa 71330 (przypuszczalnie - wywiad elektroniczny FSB Rosji). Celem jest monitorowanie poczty elektronicznej według uznania klienta. Projekt powstał na lata 2013-2014, Zgodnie z dokumentacją dostarczoną przez hakerów, program Mentor można skonfigurować tak, aby sprawdzał pocztę odpowiednich respondentów w danym momencie lub zbierał „inteligentną grupę lootów” dla podanych fraz.
Przykładem jest wyszukiwanie na serwerach pocztowych dwóch dużych rosyjskich firm internetowych. Zgodnie z przykładem z dokumentacji, skrzynki pocztowe na tych serwerach należą do Nagonii, fikcyjnego państwa radzieckiego detektywa szpiegowskiego „TASS ma pozwolenie” przez Juliana Semenowa. Fabuła powieści opiera się na rekrutacji oficera KGB przez amerykańskie służby wywiadowcze w Nagonii.
Inne projekty
Projekt Nadieżda jest poświęcony stworzeniu programu, który gromadzi i wizualizuje informacje o tym, jak rosyjski segment Internetu jest połączony z globalną siecią. Odbiorcą prac prowadzonych w latach 2013-2014 była ta sama jednostka wojskowa nr 71330.
Nawiasem mówiąc, w listopadzie 2019 r. W Rosji wejdzie w życie ustawa o „suwerennym Internecie”, której deklarowanym celem jest zapewnienie integralności rosyjskiego segmentu Internetu w przypadku izolacji z zewnątrz. Krytycy ustawy uważają, że da ona władzom rosyjskim możliwość izolowania Runetu z powodów politycznych.
W 2015 roku na zlecenie jednostki wojskowej nr 71330 Saytek prowadził prace badawcze nad stworzeniem „kompleksu sprzętowo-programowego” zdolnego do anonimowego przeszukiwania i gromadzenia „materiałów informacyjnych w Internecie”, ukrywając „zainteresowania informacyjne”. Projekt został nazwany „Mosquito”.
Najnowszy szkic z kolekcji wysłanej przez hakerów pochodzi z 2018 roku. Został zamówiony przez Główne Centrum Innowacji i Wdrożeń Naukowych JSC, podlegające Federalnej Służbie Podatkowej.
Program Tax-3 umożliwia ręczne usuwanie danych osób objętych ochroną państwa lub państwa z systemu informatycznego FTS.
W szczególności opisuje tworzenie zamkniętego centrum danych dla osób objętych ochroną. Należą do nich niektórzy urzędnicy państwowi i samorządowi, sędziowie, uczestnicy postępowań karnych i inne kategorie obywateli.
Hakerzy twierdzą, że zainspirował ich cyfrowy ruch oporu przeciwko blokowaniu komunikatora Telegram.
Hakerzy Digital Revolution twierdzą, że przekazali dziennikarzom informacje w takiej formie, w jakiej zostały one przekazane przez uczestników 0v1ru $ (ilu z nich jest nieznanych). „Wygląda na to, że grupa jest mała. Niezależnie od ich liczby, z zadowoleniem przyjmujemy ich wkład. Cieszymy się, że są ludzie, którzy nie szczędzą wolnego czasu, ryzykują swoją wolność i pomagają nam - zaznaczył Digital Revolution.
W momencie przygotowywania materiału kontakt z grupą 0v1ru $ nie był możliwy. FSB nie odpowiedziała na prośbę BBC.
Witryna „Sayteka” jest niedostępna - ani w poprzedniej formie, ani w wersji z „yoba-face”. Gdy dzwonisz do firmy, na automatycznej sekretarce pojawia się standardowa wiadomość, w której jesteś proszony o zaczekanie na odpowiedź sekretarki, ale po niej rozlegają się krótkie sygnały dźwiękowe.
Andrey Soshnikov, Svetlana Reiter