Hackerne hacket seg inn på serveren til en stor entreprenør av de russiske spesialtjenestene og avdelingene, og delte deretter med journalister beskrivelser av dusinvis av ikke-offentlige Internett-prosjekter: fra å designe anonymiserte nettleserbrukere fra Tor til å undersøke torrentsårbarheter.
Det er mulig at dette er den største lekkasjen av data om arbeidet til russiske spesialtjenester på Internett i historien.
Hackingen fant sted 13. juli 2019. I stedet for hovedsiden til nettstedet til det Moskva-IT-selskapet "Saytek", dukket et bilde av et ansikt med et bredt smil og smugly skvisende øyne opp (i internett-slang - "yoba-face").
Deface, det vil si å erstatte hjemmesiden til nettstedet, er en vanlig taktikk for hackere og en demonstrasjon av at de har klart å få tilgang til offerets data.
Et øyeblikksbilde med et "yoba-face" dukket opp på Twitter-kontoen 0v1ru $, registrert på dagen for angrepet. Det dukket også opp skjermbilder av "Computer" -mappen, som antagelig tilhørte offeret. Ett bilde viser den totale mengden informasjon - 7,5 terabyte. Neste øyeblikksbilde viser at de fleste av disse dataene allerede er slettet.
Hackerne la også ut et skjermbilde av det berørte selskapets interne nettverksgrensesnitt. Ved siden av navnene på prosjektene ("Arion", "Relasjon", "Hryvnia" og andre) sto navnene på deres kuratorer - de ansatte i "Saytek".
Angivelig, før hackerne fjernet informasjonen fra datamaskinen, kopierte hackerne det delvis. De delte dokumentene med Digital Revolution, gruppen som i desember 2018 tok ansvar for å hacking serveren til Forskningsinstituttet "Kvant". Denne institusjonen drives av FSB.
Hackerne sendte Saytts dokumenter til journalister fra flere publikasjoner.
Salgsfremmende video:
Fra arkivet, som BBC Russian Service kunne bli kjent med, følger det at Saytek utførte arbeid med minst 20 ikke-offentlige IT-prosjekter bestilt av de russiske spesialtjenestene og avdelingene. Disse papirene inneholder ikke notater om statshemmeligheter eller hemmelighold.
Hvem jobber Saytek for?
Selskapet ledes av Denis Vyacheslavovich Krayushkin. En av Sayteks kunder er forskningsinstituttet Kvant, der ifølge Runet-ID Vyacheslav Vladilenovich Krayushkin jobber som vitenskapelig konsulent. Krayushkins er registrert i Moskva-regionen Zamoskvorechye.
BBC Research Institute Kvant nektet å svare på spørsmålet om Denis og Vyacheslav Krayushkin er relatert til organisasjonen: "Dette er konfidensiell informasjon, de er ikke klare til å tale det."
BBC-korrespondenten ble bedt om å se på instituttets nettsted og på den russiske anskaffelsesportalen for informasjon om felles prosjekter mellom Saytek og Forskningsinstituttet Kvant. Det var ikke mulig å finne kontrakter mellom Saytek og instituttet på de angitte nettstedene.
De siste økonomiske resultatene ble publisert av Saytek i 2017. Inntektene utgjorde 46 millioner rubler, netto overskudd - 1,1 millioner rubler.
Det totale beløpet på offentlige kontrakter for selskapet for 2018 er 40 millioner rubler. Blant kundene er den nasjonale operatøren av satellittkommunikasjon JSC "RT Komm.ru" og informasjons- og analysesenteret for rettsavdelingen ved Høyesterett i Russland.
tatus/1151717992583110657
De fleste av de ikke-offentlige prosjektene Saitek ble utført ved bestilling av militær enhet nr. 71330. Eksperter fra International Centre for Defense and Security i Tallinn mener at denne militære enheten er en del av det 16. direktoratet for FSB of Russia, som driver med elektronisk etterretning.
I mars 2015 anklaget SBU det 16. og 18. sentret til FSB for å sende filer fylt med spyware til e-postene til ukrainsk militært personell og etterretningsoffiserer.
Dokumentene angir adressen til et av nettstedene der de ansatte ved "Saytek" jobbet: Moskva, Samotechnaya, 9. Tidligere var denne adressen den 16. avdelingen for KGB i USSR, den gang - det føderale byrået for myndighetskommunikasjon og informasjon under presidenten for den russiske føderasjonen (FAPSI).
I 2003 ble byrået opphevet, og maktene ble delt mellom FSB og andre spesialtjenester.
Nautilus og Tor
Nautilus-C-prosjektet ble opprettet for å av anonymisere brukerne av nettlesere fra Tor.
Tor distribuerer Internett-tilkoblingen tilfeldig til noder (servere) i forskjellige deler av verden, slik at brukerne kan omgå sensur og skjule dataene sine. Det lar deg også gå inn i darknet - det "skjulte nettverket".
Nautilus-S-programvarepakken ble utviklet av Saytecom i 2012 etter ordre fra Kvant Research Institute. Den inkluderer en Tor exit-node - en server som forespørsler til nettsteder sendes gjennom. Vanligvis støttes slike nettsteder av ildsjeler på frivillig basis.
Men ikke for Saytek: ved å vite i hvilket øyeblikk en bestemt bruker sender forespørsler gjennom Tor (for eksempel fra en internettleverandør), kunne programoperatører, med litt hell, korrelere dem i tide med besøk på nettsteder gjennom en kontrollert node.
Saitek planla også å erstatte trafikk for brukere som skrev inn en spesialopprettet node. Nettsteder for slike brukere kan se annerledes ut enn de egentlig er.
Et lignende opplegg med hackerangrep på Tor-brukere ble oppdaget i 2014 av eksperter fra Karlstad-universitetet i Sverige. De beskrev 19 sammenkoblede fiendtlige Tor exit-noder, hvorav 18 ble kontrollert direkte fra Russland.
At disse nodene er koblet sammen, ble også indikert av den vanlige versjonen av Tor-nettleseren for dem - 0.2.2.37. Den samme versjonen er indikert i "brukerhåndboken" "Nautilus-S".
I juli 2019 oppdaterte Russland sin egen rekord - rundt 600 000 Tor nettlesere brukere per dag.
Et av resultatene av dette arbeidet var å være en "database over brukere og datamaskiner som aktivt bruker Tor-nettverket," ifølge dokumentene som er lekket av hackerne.
"Vi tror at Kreml prøver å av anonymisere Tor rent for sine egne egoistiske formål," skrev hackere Digital Revolution til BBC. "Under forskjellige påskudd prøver myndighetene å begrense vår evne til å fritt uttrykke vår mening."
"Nautilus" og sosiale nettverk
En tidligere versjon av Nautilus-prosjektet - uten bindestrek “C” etter navnet - ble viet til å samle informasjon om brukere av sosiale medier.
Dokumentene viser arbeidsperioden (2009-2010) og kostnadene deres (18,5 millioner rubler). BBC vet ikke om Saytek klarte å finne en kunde til dette prosjektet.
Annonsen for potensielle kunder inneholdt følgende setning: "Det er til og med et ordtak i England:" Ikke legg ut på Internett det du ikke kan fortelle en politimann. " Slik uforsiktighet av brukere åpner for nye muligheter for å samle inn og oppsummere personopplysninger, deres videre analyse og bruk for å løse spesielle problemer."
Nautilus-utviklerne planla å samle inn data fra brukere i sosiale nettverk som Facebook, MySpace og LinkedIn.
"Belønning" og torrenter
Som en del av forskningsarbeidet "Belønning", som ble utført i 2013-2014, måtte "Saytek" undersøke "muligheten for å utvikle et kompleks av penetrasjon og skjult bruk av ressursene til peer-to-peer- og hybrid-nettverk," ifølge de hacket dokumentene.
Kunden til prosjektet er ikke spesifisert i dokumentene. Den russiske regjeringsvedtaket om statsforsvarsordningen for disse årene er nevnt som grunnlag for studien.
Som regel utføres slike ikke-offentlige anbud av hæren og spesialtjenester.
I peer-to-peer nettverk kan brukere raskt utveksle store filer fordi de fungerer som både en server og en klient på samme tid.
Nettstedet skulle finne en sårbarhet i BitTorrent-nettverksprotokollen (med hjelp av hvilke brukere kan laste ned filmer, musikk, programmer og andre filer via torrenter). Brukere av RuTracker, det største russiskspråklige forumet om dette emnet, laster ned over 1 million torrenter hver dag.
Også nettverksprotokollene Jabber, OpenFT og ED2K kom inn i "Saytek" interessesfære. Jabber-protokollen brukes i instant messengers, populær blant hackere og selgere av ulovlige tjenester og varer på darknet. ED2K var kjent for russisktalende brukere som et "esel" på 2000-tallet.
Mentor og e-post
Kunden for et annet arbeid kalt "Mentor" var militær enhet 71330 (antagelig - elektronisk etterretning fra Russlands FSB). Målet er å overvåke e-post etter kundens valg. Prosjektet ble designet for 2013-2014, I henhold til dokumentasjonen som er gitt av hackerne, kan Mentor-programmet konfigureres slik at det sjekker posten til de rette respondentene på et gitt tidspunkt, eller samler en "smart tyvegruppe" for de gitte setningene.
Et eksempel er et søk på postserverne til to store russiske internettfirmaer. I følge et eksempel fra dokumentasjonen tilhører postkassene på disse serverne Nagonia, et fiktivt land fra den sovjetiske spiondetektiven "TASS er autorisert til å erklære" av Yulian Semenov. Handlingen i romanen er basert på rekruttering av en KGB-offiser av de amerikanske etterretningstjenestene i Nagonia.
Andre prosjekter
Nadezhda-prosjektet er dedikert til å lage et program som samler og visualiserer informasjon om hvordan det russiske segmentet av Internett er koblet til det globale nettverket. Kunden for arbeidet som ble utført i 2013-2014 var den samme militære enheten nr. 71330.
For øvrig, i november 2019, vil loven om "suveren internett" tre i kraft i Russland, hvis uttalte mål er å sikre integriteten til det russiske segmentet av Internett i tilfelle isolasjon utenfra. Kritikere av loven mener at det vil gi russiske myndigheter muligheten til å isolere Runet av politiske årsaker.
I 2015 utførte Saytek, på ordre av militær enhet nr. 71330, forskningsarbeid for å lage et "maskinvare- og programvarekompleks" som var i stand til anonymt å søke og samle "informasjonsmateriell på Internett", mens han skjulte "informasjonsinteresse". Prosjektet fikk navnet "Mygg".
Det siste utkastet fra samlingen sendt ut av hackere går tilbake til 2018. Det ble bestilt av Main Scientific Innovation and Implementation Center JSC, underordnet Federal Tax Service.
Tax-3-programmet lar deg fjerne data manuelt fra personer under statlig beskyttelse eller statlig beskyttelse fra FTS-informasjonssystemet.
Spesielt beskriver den etableringen av et lukket datasenter for personer under beskyttelse. Disse inkluderer noen statlige og kommunale tjenestemenn, dommere, deltakere i straffesaker og andre kategorier av innbyggere.
Hackerne hevder de var inspirert av den digitale motstandsbevegelsen mot å blokkere Telegram-messenger.
Digital Revolution-hackere hevder at de ga journalister informasjon i den formen den ble gitt av deltakerne på 0v1ru $ (hvor mange av dem er ukjente).”Det ser ut som gruppen er liten. Uansett antall, ønsker vi innspillene deres velkommen. Vi er glade for at det er mennesker som ikke sparer fritiden, som risikerer deres frihet og hjelper oss,”bemerket Digital Revolution.
Det var ikke mulig å kontakte 0v1ru $ -gruppen ved utarbeidelsen av materialet. FSB svarte ikke på BBCs forespørsel.
Nettstedet til "Sayteka" er utilgjengelig - verken i forrige form eller i versjonen med "yoba-face" Når du ringer til selskapet, er en standardmelding inkludert på telefonsvareren, der du blir bedt om å vente på sekretærens svar, men etter det er det korte pip.
Andrey Soshnikov, Svetlana Reiter
