Hakeri su upali u poslužitelj velikog izvođača ruskih specijalnih službi i odjela, a zatim su s novinarima podijelili opise desetaka nejavnih internetskih projekata: od deanonimizacije korisnika preglednika Tor do istrage ranjivosti.
Moguće je da se radi o najvećem curenju podataka o radu ruskih specijalnih službi na Internetu u povijesti.
Hak se dogodio 13. jula 2019. godine. Umjesto glavne stranice web stranice moskovske IT kompanije Saytek pojavilo se lice širokog osmijeha i samozatajno škljocanje očiju (na internetskom slengu - "yoba-face").
Deface, to jest zamjena početne stranice web mjesta, uobičajena je taktika hakera i demonstracija da su uspjeli dobiti pristup podacima o žrtvi.
Snimka s "yoba-licem" pojavila se na Twitter računu 0v1ru $, registriranom na dan napada. Pojavili su se i snimke zaslona mape "Računalo", koja vjerojatno pripada žrtvi. Jedna slika prikazuje ukupnu količinu informacija - 7,5 terabajta. Sljedeći snimak pokazuje da je većina tih podataka već izbrisana.
Hakeri su također objavili snimku internog mrežnog sučelja pogođene tvrtke. Pored imena projekata ("Arion", "Odnos", "Grivna" i drugi) bila su imena njihovih kustosa - zaposlenika "Saytek".
Navodno, prije uklanjanja informacija s računala, hakeri su je djelomično kopirali. Dokumente su podijelili s Digital Revolution, skupinom koja je u prosincu 2018. preuzela odgovornost za hakiranje poslužitelja Istraživačkog instituta "Kvant". Ovom institucijom upravlja FSB.
Hakeri su poslali Saytekove dokumente novinarima iz nekoliko publikacija.
Promotivni video:
Iz arhive, s kojom se ruska služba BBC-a uspjela upoznati, proizlazi da je Saytek obavio rad na najmanje 20 nejavnih IT projekata koje su naručile ruske specijalne službe i odjeli. Ovi radovi ne sadrže bilješke o državnoj tajni ili tajnosti.
Za koga Saytek radi?
Tvrtku vodi Denis Vyacheslavovich Krayushkin. Jedan od kupaca Saytek-a je Kvant Research Institute, gdje, prema Runet-ID-u, Vyacheslav Vladilenovich Krayushkin radi kao znanstveni savjetnik. Krayushkins je registriran u moskovskoj regiji Zamoskvorechye.
BBC Research Institute Kvant odbio je odgovoriti na pitanje jesu li Denis i Vyacheslav Krayushkin povezani s organizacijom: "Ovo su povjerljive informacije, one nisu spremne objaviti ih."
Dopisniku BBC-a savjetovano je da pogleda web stranicu instituta i na ruskom portalu javnih nabava radi podataka o zajedničkim projektima između Sayteka i Znanstveno-istraživačkog instituta Kvant. Na navedenim stranicama nije bilo moguće pronaći ugovore između Sayteka i Instituta.
Posljednje financijske rezultate Saytek je objavio u 2017. godini. Njegovi prihodi iznosili su 46 milijuna rubalja, neto dobit - 1,1 milijuna rubalja.
Ukupni iznos javnih ugovora tvrtke za 2018. godinu je 40 milijuna rubalja. Među kupcima su nacionalni operator satelitske komunikacije RT Komm.ru JSC i informacijsko-analitički centar sudskog odjela pri Vrhovnom sudu Rusije.
tatus/1151717992583110657
Većina nejavnih projekata Saitek provodi po nalogu vojne jedinice br. 71330. Stručnjaci Međunarodnog centra za obranu i sigurnost u Talinu vjeruju da je ta vojna postrojba dio 16. uprave FSB-a Rusije, koja se bavi elektroničkom obavještavanjem.
U ožujku 2015. SBU je optužila 16. i 18. centar FSB-a da su e-mailovima ukrajinskog vojnog osoblja i obavještajnih službenika slali dosjee napunjene špijunskim softverom.
Dokumenti govore o adresi jednog od stranica na kojima su radili zaposlenici "Saytek": Moskva, Samotechnaya, 9. Prije toga, ova adresa je bila 16. odjeljenje KGB-a SSSR-a, zatim - Federalna agencija za vladine komunikacije i informacije pri predsjedniku Ruske Federacije (FAPSI).
2003. godine agencija je ukinuta, a njezine ovlasti podijeljene su između FSB-a i ostalih posebnih službi.
Nautilus i Tor
Projekt Nautilus-C kreiran je kako bi se anonimizirao korisnici preglednika Tor.
Tor distribuira internetsku vezu nasumično na čvorove (servere) u različitim dijelovima svijeta, omogućujući svojim korisnicima da zaobiđu cenzuru i sakriju svoje podatke. Omogućuje vam i ulazak u darknet - "skrivenu mrežu".
Softverski paket Nautilus-S razvio je Saytecom 2012. godine po nalogu istraživačkog instituta Kvant. Sadrži Torov izlazni čvor - poslužitelj putem kojeg se šalju zahtjevi web mjestima. Obično takve stranice entuzijasti podržavaju na dobrovoljnoj osnovi.
Ali ne u slučaju Saytek-a: znajući u kojem trenutku određeni korisnik šalje zahtjeve putem Tor-a (na primjer, od internetskog pružatelja usluga), programski operateri mogli bi ih, s malo sreće, povezati s posjetima web-lokacijama preko kontroliranog čvora.
Saitek je također planirao zamijeniti promet za korisnike koji su ušli u posebno stvoren čvor. Web-lokacije za takve korisnike mogu izgledati drugačije nego što stvarno jesu.
Sličnu shemu hakerskih napada na korisnike Tora otkrili su 2014. stručnjaci sa Sveučilišta Karlstad u Švedskoj. Oni su opisali 19 međusobno povezanih neprijateljskih izlaznih čvorova Tor, od kojih je 18 bilo upravljano izravno iz Rusije.
Činjenica da su ti čvorovi povezani ukazala je i zajednička inačica preglednika Tor za njih - 0.2.2.37. Ista verzija navedena je u "korisničkom priručniku" "Nautilus-S".
U srpnju 2019. Rusija je ažurirala vlastiti rekord - oko 600 tisuća korisnika preglednika Tor dnevno.
Jedan od rezultata ovog rada bio je "baza podataka o korisnicima i računalima koja aktivno koriste Tor mrežu", prema dokumentima koji su procurili hakeri.
"Vjerujemo da Kremlj pokušava dein anonimizirati Tor isključivo u svoje sebične svrhe", napisali su hakeri Digital Revolution za BBC. "Pod raznim izgovorima, vlasti pokušavaju ograničiti našu sposobnost slobodnog izražavanja svog mišljenja."
"Nautilus" i društvene mreže
Ranija verzija projekta Nautilus - bez crtice "C" nakon naziva - bila je posvećena prikupljanju podataka o korisnicima društvenih medija.
Dokumenti navode razdoblje rada (2009–2010) i njihovu cijenu (18,5 milijuna rubalja). BBC ne zna je li Saytek uspio pronaći kupca za ovaj projekt.
Oglas za potencijalne klijente sadržavao je sljedeću frazu: „U Engleskoj čak postoji izreka:„ Ne objavljujte na internetu ono što ne možete reći policajcu. “Takva nepažnja korisnika otvara nove mogućnosti za prikupljanje i sažimanje osobnih podataka, njihovu daljnju analizu i korištenje za rješavanje posebnih problema."
Programeri Nautilusa planirali su prikupiti podatke od korisnika na takvim društvenim mrežama kao što su Facebook, MySpace i LinkedIn.
"Nagrada" i bujica
U sklopu istraživačkog rada "Nagrada", koji je proveden u 2013.-2014., "Saytek" je morao istražiti "mogućnost razvoja kompleksa prodora i prikrivene uporabe resursa vršnjačkih i hibridnih mreža", prema hakiranim dokumentima.
Naručitelj projekta nije naveden u dokumentima. Kao osnova za studiju navedena je uredba ruske vlade o državnom nalogu za obranu ovih godina.
U pravilu takve javne natječaje provode vojska i specijalne službe.
U peer-to-peer mrežama korisnici mogu brzo razmjenjivati velike datoteke jer djeluju kao poslužitelj i klijent istovremeno.
Stranica će pronaći ranjivost u protokolu BitTorrent mreže (uz pomoć kojeg korisnici mogu preuzimati filmove, glazbu, programe i druge datoteke putem bujica). Korisnici RuTracker-a, najvećeg foruma na ruskom jeziku na ovu temu, preuzimaju preko milijun bujica svaki dan.
Također mrežni protokoli Jabber, OpenFT i ED2K ušli su u sferu interesa "Saytek". Jabber protokol koristi se u instant messengerima, popularnim među hakerima i prodavačima ilegalnih usluga i robe na darknetu. ED2K je ruskim govornim korisnicima bio poznat kao "magarac" u 2000-ima.
Mentor i e-pošta
Naručitelj drugog posla pod nazivom "Mentor" bila je vojna postrojba 71330 (vjerojatno - elektronička obavještajna služba FSB-a Rusije). Cilj je nadzirati e-poštu po želji kupca. Projekt je osmišljen za 2013-2014, Prema dokumentaciji koju su dostavili hakeri, program Mentor može se konfigurirati tako da provjeri poštu pravih ispitanika u određenom trenutku ili prikupi "pametnu loot grupu" za dane izraze.
Primjer je pretraživanje na poslužiteljima pošte dviju ruskih internetskih kompanija. Prema primjeru iz dokumentacije, poštanski sandučići na tim poslužiteljima pripadaju Nagoniji, izmišljenoj zemlji sovjetskog špijunskog detektiva "TASS je ovlašten deklarirati" Yuliana Semenova. Radnja romana temelji se na zapošljavanju službenika KGB-a od strane američkih obavještajnih službi u Nagoniji.
Ostali projekti
Projekt Nadežda posvećen je stvaranju programa koji skuplja i vizualizira informacije o tome kako je ruski segment interneta povezan s globalnom mrežom. Kupac za posao obavljen u 2013.-2014. Bila je ista vojna jedinica br. 71330.
Usput, u studenom 2019. godine u Rusiji će stupiti na snagu zakon o "suverenom internetu" čiji je navedeni cilj osigurati integritet ruskog segmenta Interneta u slučaju izolacije izvana. Kritičari zakona vjeruju da će ruskim vlastima pružiti priliku da iz političkih razloga izoliraju Runeta.
U 2015. godini, naredbom vojne jedinice br. 71330, Saytek je proveo istraživačke radove na stvaranju "hardverskog i softverskog kompleksa" sposobnog za anonimno pretraživanje i prikupljanje "informativnog materijala na Internetu", skrivajući "informativni interes". Projekt je nazvan "Komarcem".
Najnoviji nacrt iz kolekcije koji su hakeri poslali datira iz 2018. godine. Naručio ga je Glavni znanstveni centar za inovacije i implementaciju JSC, podređen Federalnoj poreznoj službi.
Program Tax-3 omogućava vam ručno uklanjanje podataka osoba pod državnom zaštitom ili zaštitom države iz informacijskog sustava FTS.
Posebno opisuje stvaranje zatvorenog centra podataka za osobe koje su pod zaštitom. Oni uključuju neke državne i općinske dužnosnike, suce, sudionike u kaznenim postupcima i druge kategorije građana.
Hakeri tvrde da su bili inspirirani digitalnim pokretom otpora protiv blokiranja glasnika Telegram.
Hakeri za digitalnu revoluciju tvrde da su novinarima davali informacije u obliku u kojem su je pružili sudionici od 0v1ru $ (koliko ih je nepoznato). „Izgleda da je skupina mala. Bez obzira na njihov broj, pozdravljamo njihov doprinos. Drago nam je da ima ljudi koji ne štede svoje slobodno vrijeme, koji rizikuju svoju slobodu i pomažu nam “, napomenuo je Digital Revolution.
U vrijeme pripreme materijala nije bilo moguće kontaktirati grupu 0v1ru $. FSB nije odgovorio na BBC-ov zahtjev.
Stranica "Sayteka" nepristupačna - niti u prethodnom obliku, niti u verziji s "yoba-face". Kada nazovete tvrtku, na sekretarici se uključuje standardna poruka u kojoj se traži da pričekate odgovor tajnice, ali nakon nje slijede kratki zvučni signali.
Andrey Soshnikov, Svetlana Reiter