Hackerne hackede sig ind på serveren hos en stor entreprenør af de russiske specialtjenester og afdelinger og delte derefter med journalister beskrivelser af snesevis af ikke-offentlige internetprojekter: fra at deanonymisere Tor browser-brugere til at undersøge torrent sårbarheder.
Det er muligt, at dette er den største lækage af data om russiske specialtjenesters arbejde i historien.
Hacket fandt sted den 13. juli 2019. I stedet for hovedsiden på webstedet for Moskva-IT-firmaet Saytek, dukkede et ansigt med et bredt smil og selvtilfredse skinnende øjne op (i internetslang - "yoba-ansigt").
Deface, det vil sige udskiftning af hjemmesiden på webstedet, er en almindelig taktik for hackere og en demonstration af, at de formåede at få adgang til offerets data.
Et snapshot med et "yoba-ansigt" dukkede op på Twitter-kontoen 0v1ru $, registreret på dagen for angrebet. Der dukkede også op skærmbilleder af mappen "Computer", der formodentlig tilhører offeret. Et billede viser den samlede mængde information - 7,5 terabyte. Det næste snapshot viser, at de fleste af disse data allerede er slettet.
Hackerne postede også et skærmbillede af det berørte selskabs interne netværksgrænseflade. Ved siden af navnene på projekterne ("Arion", "Relation", "Hryvnia" og andre) var navnene på deres kuratorer - medarbejderne i "Saytek".
Tilsyneladende, før hackerne fjernede oplysninger fra computeren, kopierede hackerne det delvist. De delte dokumenterne med Digital Revolution, den gruppe, der i december 2018 tog ansvaret for at hacking serveren til Forskningsinstituttet "Kvant". Denne institution drives af FSB.
Hackerne sendte Sayteks dokumenter til journalister fra flere publikationer.
Salgsfremmende video:
Fra arkivet, som BBC Russian Service var i stand til at blive bekendt med, følger det, at Saytek udførte arbejde på mindst 20 ikke-offentlige it-projekter bestilt af de russiske specialtjenester og afdelinger. Disse papirer indeholder ikke bemærkninger om statshemmeligheder eller hemmeligholdelse.
Hvem arbejder Saytek for?
Virksomheden ledes af Denis Vyacheslavovich Krayushkin. En af kunderne hos Saytek er Kvant Research Institute, hvor Vyacheslav Vladilenovich Krayushkin ifølge Runet-ID arbejder som videnskabelig konsulent. Krayushkins er registreret i Moskva-regionen Zamoskvorechye.
BBC Research Institute Kvant nægtede at besvare spørgsmålet, om Denis og Vyacheslav Krayushkin er relateret til organisationen: "Dette er fortrolige oplysninger, de er ikke klar til at give udtryk for det."
BBC-korrespondenten blev bedt om at se på instituttets hjemmeside og på den russiske offentlige indkøbsportal for information om fælles projekter mellem Saytek og Forskningsinstituttet Kvant. Det var ikke muligt at finde kontrakter mellem Saytek og instituttet på de angivne websteder.
De seneste økonomiske resultater blev offentliggjort af Saytek i 2017. Dens indtægter udgjorde 46 millioner rubler, nettoresultat - 1,1 millioner rubler.
Virksomhedens samlede beløb for offentlige kontrakter for 2018 er 40 millioner rubler. Blandt kunderne er den nationale operatør af satellitkommunikation JSC "RT Komm.ru" og informations- og analysecentret for den retlige afdeling ved Højesteret i Rusland.
tatus/1151717992583110657
De fleste af de ikke-offentlige projekter Saitek udført ved ordre af militær enhed nr. 71330. Eksperter fra Det Internationale Center for Forsvar og Sikkerhed i Tallinn mener, at denne militære enhed er en del af det 16. direktorat for FSB i Rusland, der beskæftiger sig med elektronisk efterretning.
I marts 2015 beskyldte SBU 16. og 18. centre i FSB for at sende filer fyldt med spyware til e-mails fra ukrainsk militærpersonale og efterretningsoffiserer.
Dokumenterne angiver adressen på et af de steder, hvor medarbejderne i "Saytek" arbejdede: Moskva, Samotechnaya, 9. Tidligere var denne adresse den 16. afdeling i KGB for USSR, dengang - det føderale agentur for regeringskommunikation og information under præsidenten for Den Russiske Føderation (FAPSI).
I 2003 blev agenturet afskaffet, og dets beføjelser blev delt mellem FSB og andre særlige tjenester.
Nautilus og Tor
Nautilus-C-projektet blev oprettet til at de-anonymisere Tor browser-brugere.
Tor distribuerer internetforbindelsen tilfældigt til noder (servere) i forskellige dele af verden, hvilket giver brugerne mulighed for at omgå censur og skjule deres data. Det giver dig også mulighed for at komme ind i darknet - det "skjulte netværk".
Nautilus-S-softwarepakken blev udviklet af Saytecom i 2012 efter ordre fra Kvant Research Institute. Det inkluderer en Tor exit-knude - en server, gennem hvilken anmodninger til websteder sendes. Normalt understøttes sådanne steder af entusiaster på frivillig basis.
Men ikke i tilfælde af Saytek: ved at vide, på hvilket tidspunkt en bestemt bruger sender anmodninger via Tor (for eksempel fra en internetudbyder), kunne programoperatører med en vis held korrelere dem i tide med besøg på websteder gennem en kontrolleret node.
Saitek planlagde også at erstatte trafik for brugere, der indtastede en specielt oprettet knude. Websteder for sådanne brugere ser måske anderledes ud, end de virkelig er.
Et lignende skema med hackerangreb på Tor-brugere blev opdaget i 2014 af eksperter fra Karlstad-universitetet i Sverige. De beskrev 19 sammenkoblede fjendtlige Tor exit-knudepunkter, hvoraf 18 blev kontrolleret direkte fra Rusland.
At disse noder er forbundet, blev også indikeret af den almindelige version af Tor-browseren for dem - 0.2.2.37. Den samme version er angivet i "brugervejledning" "Nautilus-S".
I juli 2019 opdaterede Rusland sin egen rekord - omkring 600 tusind Tor-browser-brugere pr. Dag.
Et af resultaterne af dette arbejde var at være en "database over brugere og computere, der aktivt bruger Tor-netværket," ifølge de dokumenter, der er lækket af hackere.
”Vi mener, at Kreml forsøger at de-anonymisere Tor rent til sine egne egoistiske formål,” skrev hackere Digital Revolution til BBC.”Under forskellige påskud prøver myndighederne at begrænse vores evne til frit at udtrykke vores mening.”
"Nautilus" og sociale netværk
En tidligere version af Nautilus-projektet - uden bindestregen”C” efter navnet - blev viet til at indsamle information om brugere på sociale medier.
Dokumenterne angiver arbejdsperioden (2009-2010) og deres omkostninger (18,5 millioner rubler). BBC ved ikke, om Saytek formåede at finde en kunde til dette projekt.
Annonceringen for potentielle kunder indeholdt følgende sætning:”Der er endda et ordsprog i England:” Skriv ikke på Internettet, hvad du ikke kan fortælle en politimand.” Sådan uforsigtighed hos brugerne åbner nye muligheder for at indsamle og sammenfatte personlige data, deres yderligere analyse og anvendelse til at løse særlige problemer."
Nautilus-udviklerne planlagde at indsamle data fra brugere i sådanne sociale netværk som Facebook, MySpace og LinkedIn.
"Belønning" og torrenter
Som en del af forskningsarbejdet "Belønning", der blev udført i 2013-2014, skulle "Saytek" undersøge "muligheden for at udvikle et kompleks af penetration og skjult brug af ressourcerne fra peer-to-peer- og hybridnetværk," siger de hacket dokumenter.
Kundens projekt er ikke specificeret i dokumenterne. Den russiske regerings dekret om statsforsvarsordre for disse år nævnes som grundlaget for undersøgelsen.
Som regel udføres sådanne ikke-offentlige bud af hæren og specialtjenester.
I peer-to-peer-netværk kan brugere hurtigt udveksle store filer, fordi de fungerer som en server og en klient på samme tid.
Webstedet skulle finde en sårbarhed i BitTorrent-netværksprotokollen (ved at bruge den kan brugere downloade film, musik, programmer og andre filer via torrents). Brugere af RuTracker, det største russisk-sproglige forum om dette emne, henter over 1 million torrents hver dag.
Også netværksprotokollerne Jabber, OpenFT og ED2K kom ind i "Saytek" interessesfære. Jabber-protokollen bruges i instant messengers, der er populær blandt hackere og sælgere af ulovlige tjenester og varer på darknet. ED2K blev kendt for russisk-talende brugere som et "æsel" i 2000'erne.
Mentor og e-mail
Kunden for et andet arbejde kaldet "Mentor" var militær enhed 71330 (formodentlig - elektronisk efterretning fra FSB i Rusland). Målet er at overvåge e-mail efter kundens valg. Projektet blev designet til 2013-2014, I henhold til dokumentationen fra hackerne kan Mentor-programmet konfigureres, så det kontrollerer mailen til de rigtige respondenter på et givet tidspunkt eller indsamler en "smart tyvegodsgruppe" for de givne sætninger.
Et eksempel er en søgning på mailserverne fra to store russiske internetfirmaer. Ifølge et eksempel fra dokumentationen tilhører postkasserne på disse servere Nagonia, et fiktivt land fra den sovjetiske spiondetektiv "TASS er autoriseret til at erklære" af Yulian Semenov. Handlingen i romanen er baseret på rekrutteringen af en KGB-officer af de amerikanske efterretningstjenester i Nagonia.
Andre projekter
Nadezhda-projektet er dedikeret til oprettelsen af et program, der akkumulerer og visualiserer information om, hvordan det russiske segment af Internettet er forbundet med det globale netværk. Kunden for det arbejde, der blev udført i 2013-2014, var den samme militære enhed nr. 71330.
I november 2019 træder loven om "suveræn internet" i kraft i Rusland, hvis erklærede mål er at sikre integriteten af det russiske segment af Internettet i tilfælde af isolering udefra. Kritikere af loven mener, at det vil give de russiske myndigheder mulighed for at isolere Runet af politiske grunde.
I 2015 udførte Saytek ved bestilling af militærenhed nr. 71330 forskningsarbejde for at skabe et "hardware- og softwarekompleks", der var i stand til anonymt at søge og indsamle "informationsmateriale på Internettet", mens han skjulte "informativ interesse". Projektet fik navnet "Myg".
Det seneste udkast fra samlingen sendt af hackere går tilbage til 2018. Det blev bestilt af Main Scientific Innovation and Implementation Center JSC, underlagt den føderale skattetjeneste.
Tax-3-programmet giver dig mulighed for manuelt at fjerne data fra personer under statsbeskyttelse eller statsbeskyttelse fra FTS-informationssystemet.
Den beskriver navnlig oprettelsen af et lukket datacenter for personer under beskyttelse. Disse inkluderer nogle statslige og kommunale embedsmænd, dommere, deltagere i straffesager og andre kategorier af borgere.
Hackerne hævder, at de var inspireret af den digitale modstandsbevægelse mod at blokere Telegram-messenger.
Digital Revolution-hackere hævder, at de gav journalister information i den form, i hvilken den blev leveret af deltagerne på 0v1ru $ (hvor mange af dem er ukendt).”Det ser ud til, at gruppen er lille. Uanset deres antal hilser vi deres input velkommen. Vi er glade for, at der er mennesker, der ikke sparer deres fritid, som risikerer deres frihed og hjælper os,”bemærkede Digital Revolution.
Det var ikke muligt at kontakte 0v1ru $ -gruppen på tidspunktet for forberedelse af materialet. FSB svarede ikke på BBCs anmodning.
Webstedet for "Sayteka" er utilgængeligt - hverken i den foregående form eller i versionen med "yoba-face" Når du ringer til virksomheden, er en standardbesked inkluderet på telefonsvareren, hvor du bliver bedt om at vente på sekretærens svar, men efter det er der korte bip.
Andrey Soshnikov, Svetlana Reiter
