Hekerji so vdrli v strežnik večjega izvajalca ruskih posebnih služb in oddelkov, nato pa z novinarji delili opise več deset nejavnih internetnih projektov: od deanonimizacije uporabnikov brskalnika Tor do raziskovanja ranljivosti hudournikov.
Možno je, da gre za največje puščanje podatkov o delu ruskih posebnih služb na internetu v zgodovini.
Kramp se je zgodil 13. julija 2019. Namesto glavne strani spletnega mesta moskovskega IT-podjetja "Saytek" se je pojavila podoba obraza s širokim nasmehom in samozadovoljenimi škrtimi očmi (v internetnem slengu - "joba-obraz").
Deface, torej nadomestitev domače strani spletnega mesta, je običajna taktika hekerjev in demonstracija, da jim je uspelo pridobiti dostop do podatkov o žrtvi.
Na Twitter računu 0v1ru $, ki je bil registriran na dan napada, se je pojavil posnetek z "joba-obrazom". Pojavili so se tudi posnetki zaslona mape "Computer", ki naj bi verjetno pripadal žrtvi. Ena slika prikazuje skupno količino informacij - 7,5 terabajtov. Naslednji posnetek kaže, da je večina teh podatkov že izbrisana.
Hekerji so objavili tudi posnetek zaslona notranjega omrežnega vmesnika prizadetega podjetja. Poleg imen projektov ("Arion", "Odnos", "Grivna" in drugi) so bila imena njihovih kustosov - zaposlenih v "Saytek".
Očitno so jo hekerji pred odstranitvijo informacij iz računalnika delno kopirali. Dokumente sta si delila z digitalno revolucijo, skupino, ki je decembra 2018 prevzela odgovornost za krajo strežnika Raziskovalnega inštituta "Kvant". To institucijo vodi FSB.
Hekerji so Saytekove dokumente poslali novinarjem iz več publikacij.
Promocijski video:
Iz arhiva, s katerim se je ruska služba BBC lahko seznanila, izhaja, da je Saytek opravil delo pri vsaj 20 nejavnih projektih IT, ki so jih naročile ruske posebne službe in oddelki. Ti dokumenti ne vsebujejo opomb o državni skrivnosti ali tajnosti.
Za koga dela Saytek?
Podjetje vodi Denis Vyacheslavovich Krayushkin. Ena od strank podjetja Saytek je raziskovalni inštitut Kvant, kjer po besedah Runet-ID Vyacheslav Vladilenovič Krajuškin deluje kot znanstveni svetovalec. Krajuškinke so registrirane v moskovski regiji Zamoskvorechye.
BBC-jev raziskovalni inštitut Kvant ni želel odgovoriti na vprašanje, ali sta Denis in Vjačeslav Krajuškin povezana z organizacijo: "To so zaupni podatki. Niso jih pripravljeni objaviti."
Dopisniku BBC-ja je svetoval, da si ogleda informacije o skupnih projektih med podjetjem Saytek in Raziskovalnim inštitutom Kvant na spletni strani inštituta in na ruskem portalu javnih naročil. Na omenjenih mestih ni bilo mogoče najti pogodb med podjetjem Saytek in inštitutom.
Zadnje finančne rezultate je Saytek objavil leta 2017. Njeni prihodki so znašali 46 milijonov rubljev, čisti dobiček - 1,1 milijona rubljev.
Skupni znesek javnih naročil podjetja za leto 2018 znaša 40 milijonov rubljev. Med strankami sta tudi nacionalni operater satelitske komunikacije JSC "RT Komm.ru" in informacijsko-analitični center pravosodnega oddelka pri Vrhovnem sodišču Rusije.
tatus/1151717992583110657
Večina nejavnih projektov, ki jih je Saitek izvajal po naročilu vojaške enote 71330. Strokovnjaki Mednarodnega centra za obrambo in varnost v Talinu menijo, da je ta vojaška enota del 16. direktorata FSB Rusije, ki se ukvarja z elektronsko obveščanje.
Marca 2015 je SBU obtožila 16. in 18. centre FSB, da so e-poštnim sporočilom ukrajinskih vojaških oseb in obveščevalcev pošiljali datoteke, polnjene s vohunsko programsko opremo.
Dokumenti vsebujejo naslov enega od mest, kjer so delali uslužbenci "Saytek": Moskva, Samotechnaya, 9. Prej je bil ta naslov 16. oddelek KGB ZSSR, nato Zvezna agencija za vladne komunikacije in informacije pri predsedniku Ruske federacije (FAPSI)
Leta 2003 je bila agencija ukinjena, njena pooblastila pa so bila razdeljena med FSB in druge posebne službe.
Nautilus in Tor
Projekt Nautilus-C je bil ustvarjen z namenom anonimiziranja uporabnikov brskalnika Tor.
Tor distribuira internetno povezavo naključno na vozlišča (strežnike) v različnih delih sveta, kar omogoča svojim uporabnikom, da obidejo cenzuro in skrijejo svoje podatke. Omogoča tudi vstop v darknet - "skrito omrežje".
Programski paket Nautilus-S je Saytecom razvil leta 2012 po naročilu raziskovalnega inštituta Kvant. Vključuje izhodno vozlišče Tor - strežnik, preko katerega se pošiljajo zahteve na spletna mesta. Običajno takšna mesta prostovoljno podpirajo navdušenci.
Vendar ne v primeru Saytek: vedoč, v katerem trenutku določeni uporabnik pošlje zahteve prek Tor (na primer pri internetnem ponudniku), programski operaterji bi jih lahko z nekaj sreče časovno povezali z obiski spletnih mest prek nadzorovanega vozlišča.
Saitek je načrtoval tudi nadomestitev prometa za uporabnike, ki so vstopili v posebej ustvarjeno vozlišče. Spletna mesta za take uporabnike so lahko videti drugačna, kot v resnici so.
Podobno shemo hekerskih napadov na uporabnike Tor so leta 2014 odkrili strokovnjaki z univerze Karlstad na Švedskem. Opisovali so 19 medsebojno povezanih sovražnih izhodnih vozlišč Tor, od katerih je bilo 18 nadzorovanih neposredno iz Rusije.
Na to, da so ta vozlišča povezana, je nakazovala tudi skupna različica brskalnika Tor zanje - 0.2.2.37. Ista različica je navedena v "priročniku za uporabo" "Nautilus-S".
Julija 2019 je Rusija posodobila svoj rekord - približno 600 tisoč uporabnikov brskalnika Tor na dan.
Eden od rezultatov tega dela je bil "zbirka podatkov o uporabnikih in računalnikih, ki aktivno uporabljajo omrežje Tor", v skladu z dokumenti, ki so jih prejeli hekerji.
"Verjamemo, da se Kremelj trudi, da bi izključil anonimizacijo Tor izključno za njegove sebične namene," so hekerji Digital Revolution zapisali BBC-ju. "Pod različnimi izgovori oblasti poskušajo omejiti naše zmožnosti svobodnega izražanja mnenja."
"Nautilus" in družbena omrežja
Zgodnja različica projekta Nautilus - brez vezaja "C" po imenu - je bila namenjena zbiranju informacij o uporabnikih družbenih medijev.
V dokumentih je navedeno obdobje dela (2009–2010) in njihovo ceno (18,5 milijona rubljev). BBC ne ve, ali je Saytek uspel najti stranko za ta projekt.
Oglas za potencialne stranke je vseboval naslednjo besedno zvezo: "V Angliji je celo rek:" Ne objavite v internetu tistega, česar ne smete povedati policistu. " Takšna neprevidnost uporabnikov odpira nove priložnosti za zbiranje in povzemanje osebnih podatkov, njihovo nadaljnjo analizo in uporabo za reševanje posebnih težav."
Razvijalci Nautilusa so načrtovali zbiranje podatkov od uporabnikov v takih družbenih omrežjih, kot so Facebook, MySpace in LinkedIn.
"Nagrada" in hudourniki
V okviru raziskovalnega dela "Nagrada", ki je bilo izvedeno v letih 2013–2014, naj bi "Saytek" preučil "možnost razvoja kompleksa penetracije in prikrite uporabe virov medvrstniških in hibridnih omrežij", v skladu s hakiranimi dokumenti.
Stranka projekta ni navedena v dokumentih. Kot osnova za raziskavo je navedena uredba ruske vlade o državnem obrambnem redu za ta leta.
Praviloma take nejavne razpise izvajajo vojska in posebne službe.
V omrežjih enakovrednih lahko uporabniki hitro izmenjujejo velike datoteke, ker delujejo kot strežnik in odjemalec hkrati.
Na spletnem mestu bodo našli ranljivost v omrežnem protokolu BitTorrent (z njim lahko uporabniki prek torrentov prenašajo filme, glasbo, programe in druge datoteke). Uporabniki RuTrackerja, največjega ruskega jezika na to temo, vsak dan prenesejo več kot milijon hudournikov.
Tudi omrežni protokoli Jabber, OpenFT in ED2K so se uvrstili v interesno področje "Saytek". Protokol Jabber se uporablja v hitrih sporočilih, priljubljenih med hekerji in prodajalci ilegalnih storitev in blaga na darknetu. ED2K je bil rusko govorečim uporabnikom v 2000-ih znan kot "osel".
Mentor in e-pošta
Naročnik drugega dela, imenovanega "Mentor", je bila vojaška enota 71330 (predvidoma - elektronska inteligenca FSB Rusije). Cilj je spremljanje e-pošte po želji stranke. Projekt je bil zasnovan za 2013-2014, V skladu z dokumentacijo, ki so jo predložili hekerji, je program Mentor mogoče konfigurirati tako, da v določenem času preveri pošto pravih vprašanih ali zbere "pametno skupino" za dane stavke.
Primer je iskanje na poštnih strežnikih dveh velikih ruskih internetnih podjetij. Po primeru iz dokumentacije poštni nabiralniki na teh strežnikih pripadajo Nagoniji, izmišljeni državi sovjetskega vohunskega detektiva "TASS je pooblaščen za prijavo" Yulian Semenov. Zaplet romana temelji na zaposlovanju ameriškega obveščevalnega urada v Nagoniji uradnika KGB.
Drugi projekti
Projekt Nadežda je namenjen ustvarjanju programa, ki zbira in vizualizira informacije o tem, kako je ruski segment interneta povezan z globalnim omrežjem. Stranka za opravljeno delo v letih 2013–2014 je bila ista vojaška enota št. 71330.
Mimogrede, novembra 2019 bo v Rusiji začel veljati zakon o "suverenem internetu", katerega navedeni cilj je zagotoviti celovitost ruskega segmenta interneta v primeru izolacije od zunaj. Kritiki zakona menijo, da bo ruskim oblastem dal priložnost, da Runeta izolirajo iz političnih razlogov.
Leta 2015 je Saytek z ukazom vojaške enote št. 71330 izvedel raziskovalna dela za ustvarjanje "strojno-programskega kompleksa", ki bi lahko anonimno iskal in zbiral "informativno gradivo po internetu", pri tem pa skrival "informacijski interes". Projekt so poimenovali "Komar".
Najnovejši osnutek iz zbirke, ki so jo poslali hekerji, sega v leto 2018. Naročil ga je Glavni znanstveni center za inovacije in izvajanje JSC, podrejen zvezni davčni službi.
Program Tax-3 omogoča ročno odstranitev podatkov oseb, ki so pod zaščito države ali zaščite države, iz informacijskega sistema FTS.
Zlasti opisuje ustanovitev zaprtega podatkovnega centra za zaščitene osebe. Sem spadajo nekateri državni in občinski uradniki, sodniki, udeleženci v kazenskih postopkih in druge kategorije državljanov.
Hekerji trdijo, da jih je navdihnilo gibanje digitalnega upora proti blokiranju pošiljatelja telegrama Telegram.
Hekerji za digitalno revolucijo trdijo, da so novinarjem posredovali informacije v obliki, v kakršni so jo posredovali udeleženci 0v1ru $ (koliko jih je neznanih). "Videti je, da je skupina majhna. Ne glede na njihovo število pozdravljamo njihov prispevek. Veseli nas, da obstajajo ljudje, ki ne prizanesejo svojemu prostemu času, ki tvegajo svojo svobodo in nam pomagajo, "je poudarila Digital Revolution.
V času priprave gradiva ni bilo mogoče vzpostaviti stika s skupino 0v1ru $. FSB na prošnjo BBC ni odgovoril.
Spletno mesto "Sayteka" je nedostopno - niti v prejšnji obliki niti v različici z "joba-obrazom". Ko pokličete podjetje, je na telefonski odzivnik vključeno standardno sporočilo, v katerem vas čaka, da počakate na odgovor sekretarke, a po njem so kratki piski.
Andrey Soshnikov, Svetlana Reiter