Hakkerit tunkeutuivat Venäjän erityispalvelujen ja -osastojen suuren urakoitsijan palvelimelle ja jakoivat sitten toimittajille kuvauksia kymmenistä ei-julkisista Internet-projekteista: Tor-selaimen käyttäjien deanonyymisestä torrent-haavoittuvuuksien tutkimiseen.
On mahdollista, että tämä on historian suurin tietovuoto Venäjän erityispalvelujen toiminnasta Internetissä.
Hakkerointi tapahtui 13. heinäkuuta 2019. Moskovan IT-yrityksen Saytekin sivuston etusivun sijasta ilmestyi kasvot, joissa oli leveä hymy ja hymyilevästi silmäilevät silmät (Internet-slängissä - "yoba-kasvot").
Deface, ts. Sivuston kotisivun korvaaminen, on yleinen hakkereiden taktiikka ja osoitus siitä, että he onnistuivat pääsemään uhrin tietoihin.
Tilannekuva "yoba-kasvoilla" ilmestyi Twitter-tilille 0v1ru $, joka oli rekisteröity hyökkäyksen päivänä. Lisäksi ilmestyi kuvakaappausta Tietokone-kansiosta, joka oletettavasti kuulu uhriin. Yksi kuva näyttää tiedon kokonaismäärän - 7,5 teratavua. Seuraava tilannekuva osoittaa, että suurin osa näistä tiedoista on jo poistettu.
Hakkerit julkaisivat myös kuvakaappauksen asianomaisen yrityksen sisäisestä verkkoliittymästä. Projektien nimien ("Arion", "Suhde", "Hryvnia" ja muut) vieressä olivat heidän kuraattoreidensa - "Saytekin" työntekijät.
Ennen tietojen poistamista tietokoneelta hakkerit kopioivat sen osittain. He jakoivat asiakirjat Digital Revolution -ryhmän kanssa. Ryhmä ryhtyi joulukuussa 2018 vastaamaan Kvantin tutkimuslaitoksen palvelimen hakkeroinnista. Tätä laitosta johtaa FSB.
Hakkerit lähettivät Saytekin asiakirjat toimittajille useista julkaisuista.
Mainosvideo:
Arkistosta, johon BBC Russian Service tutustui, käy ilmi, että Saytek suoritti työtä ainakin 20 Venäjän erityispalvelujen ja -osastojen tilaamien julkisten IT-hankkeiden parissa. Nämä lehdet eivät sisällä huomautuksia valtionsalaisuuksista tai salaisuuksista.
Kenelle Saytek työskentelee?
Yritystä johtaa Denis Vyacheslavovich Krayushkin. Yksi Saytekin asiakkaista on Kvantin tutkimuslaitos, jossa Runet-ID: n mukaan Vjatseslav Vladilenovitš Krayushkin toimii tieteellisenä konsultttina. Krayushkins on rekisteröity Moskovan alueelle Zamoskvorechyessä.
BBC: n tutkimuslaitos Kvant kieltäytyi vastaamasta kysymykseen, liittyvätkö Denis ja Vjačeslav Krayushkin organisaatioon: "Tämä on luottamuksellista tietoa, he eivät ole valmiita ilmaisemaan sitä."
BBC: n kirjeenvaihtajaa kehotettiin hakemaan instituutin verkkosivustolta ja Venäjän julkisten hankintojen portaalista tietoja Saytekin ja tieteellisen tutkimuslaitoksen Kvantin yhteisistä hankkeista. Saytekin ja instituutin välillä ei ollut mahdollista löytää sopimuksia mainituista sivustoista.
Saytek julkaisi viimeisimmät taloudelliset tulokset vuonna 2017. Sen liikevaihto oli 46 miljoonaa ruplaa, voitto 1,1 miljoonaa ruplaa.
Yrityksen julkisten hankintojen kokonaismäärä vuodelle 2018 on 40 miljoonaa ruplaa. Asiakkaiden joukossa on satelliittiviestinnän kansallinen operaattori RT Komm.ru JSC ja Venäjän korkeimmassa oikeudessa oikeudellisen osaston tieto- ja analyyttinen keskus.
tatus/1151717992583110657
Suurin osa ei-julkisista hankkeista, jotka Saitek toteutti sotilasyksikön nro 71330 tilauksella. Tallinnan kansainvälisen puolustus- ja turvallisuuskeskuksen asiantuntijat uskovat, että tämä sotilasyksikkö kuuluu Venäjän FSB: n 16. osastoon, joka harjoittaa sähköistä tiedustelua.
Maaliskuussa 2015 SBU syytti FSB: n 16. ja 18. keskusta lähettämästä vakoiluohjelmilla varustettuja tiedostoja Ukrainan armeijan ja tiedustelupalvelijoiden sähköposteihin.
Asiakirjoista käy ilmi yhden sivustojen, joissa "Saytek" -henkilöt työskentelivät, osoite: Moskova, Samotechnaya, 9. Aiemmin tämä osoite oli Neuvostoliiton KGB: n 16. osasto, sitten - Venäjän federaation presidentin alainen liittovaltion hallituksen viestintä- ja tiedotustoimisto (FAPSI).
Vuonna 2003 virasto lakkautettiin, ja sen toimivalta jaettiin FSB: n ja muiden erityispalvelujen kesken.
Nautilus ja Tor
Nautilus-C-projekti luotiin poistamaan Tor-selaimen käyttäjien nimettömyys.
Tor jakaa Internet-yhteyden satunnaisesti solmuihin (palvelimiin) eri puolilla maailmaa, jolloin sen käyttäjät voivat ohittaa sensuurin ja piilottaa tietonsa. Sen avulla voit myös syöttää darknetin - "piilotetun verkon".
Saytecom kehitti Nautilus-S-ohjelmistopaketin vuonna 2012 Kvantin tutkimuslaitoksen tilauksesta. Se sisältää Tor-poistosolmun - palvelimen, jonka kautta sivustoille lähetetään pyyntöjä. Yleensä harrastajat tukevat tällaisia sivustoja vapaaehtoisesti.
Mutta ei Saytekin tapauksessa: tietäen, milloin tietty käyttäjä lähettää pyyntöjä Torin kautta (esimerkiksi Internet-palveluntarjoajalta), ohjelmaoperaattorit voisivat jonkin verran onnea korreloida ne ajoissa vierailuihin sivustoille valvotun solmun kautta.
Saitek suunnitteli myös liikenteen korvaamista käyttäjille, jotka tulivat erityisesti luotuun solmuun. Tällaisten käyttäjien sivustot saattavat näyttää erilaisilta kuin todellisuudessa ovat.
Ruotsin Karlstad-yliopiston asiantuntijat löysivät vuonna 2014 samanlaisen kaavan Tor-käyttäjiä koskevista hakkereista. He kuvasivat 19 toisiinsa kytkettyä vihamielistä Tor-poistosolmua, joista 18 ohjattiin suoraan Venäjältä.
Tosiasia, että nämä solmut ovat yhteydessä toisiinsa, osoitti myös heille tarkoitettu Tor-selaimen yhteinen versio - 0.2.2.37. Sama versio on mainittu käyttöohjeessa "Nautilus-S".
Heinäkuussa 2019 Venäjä päivitti oman ennätysnsä - noin 600 tuhatta Tor-selaimen käyttäjää päivässä.
Yksi tämän työn tuloksista oli olla "tietokanta käyttäjistä ja tietokoneista, jotka käyttävät aktiivisesti Tor-verkkoa", hakkereiden vuotaneiden asiakirjojen mukaan.
"Uskomme, että Kreml pyrkii poistamaan Torin nimettömyyden puhtaasti omien itsekuntiensa tarkoituksiin", hakkerit Digital Revolution kirjoitti BBC: lle. "Eri tekosyillä viranomaiset yrittävät rajoittaa kykyämme ilmaista mielipiteemme vapaasti."
"Nautilus" ja sosiaaliset verkostot
Nautilus-projektin aikaisempi versio - ilman tavutettua C-nimeä - oli omistettu tiedon keräämiseen sosiaalisen median käyttäjistä.
Asiakirjat osoittavat työjakson (2009-2010) ja niiden kustannukset (18,5 miljoonaa ruplaa). BBC ei tiedä onko Saytek löytänyt asiakkaan projektille.
Potentiaalisten asiakkaiden mainos sisälsi seuraavan lauseen: "Englannissa on jopa sanonta:" Älä julkaise Internetissä sitä, mitä et voi kertoa poliisille. " Tällainen käyttäjien huolimattomuus avaa uusia mahdollisuuksia kerätä ja tiivistää henkilötietoja, analysoida niitä edelleen ja käyttää niitä erityisten ongelmien ratkaisemiseksi."
Nautilus-kehittäjät suunnittelivat keräävänsä tietoja käyttäjiltä sellaisissa sosiaalisissa verkostoissa kuten Facebook, MySpace ja LinkedIn.
"Palkinto" ja torrentit
Osana vuosina 2013-2014 suoritettua tutkimustyötä "Palkinto", "Saytekin" piti hakkeroitujen asiakirjojen mukaan tutkia "mahdollisuutta kehittää vertaisverkkojen ja hybridiverkkojen resurssien tunkeutumis- ja peitelty käyttö".
Projektin asiakasta ei määritetä asiakirjoissa. Tutkimuksen perustana mainitaan Venäjän hallituksen asetus valtion puolustusmääräyksestä näille vuosille.
Sellaiset ei-julkiset tarjoukset suorittavat yleensä armeija ja erityispalvelut.
Vertaisverkoissa käyttäjät voivat vaihtaa nopeasti suuria tiedostoja, koska ne toimivat samanaikaisesti palvelimena ja asiakkaana.
Sivusto aikoi löytää haavoittuvuuden BitTorrent-verkkoprotokollassa (sen avulla käyttäjät voivat ladata elokuvia, musiikkia, ohjelmia ja muita tiedostoja torrentien kautta). Aiheen suurimman venäjänkielisen foorumin RuTracker-käyttäjät lataavat yli miljoona torrenttia päivittäin.
Myös Jabber, OpenFT ja ED2K-verkkoprotokollat päästiin "Saytekin" eturyhmään. Jabber-protokollaa käytetään pikaviestimissä, ja se on suosittu hakkereiden ja laittomien palvelujen ja tavaroiden myyjien keskuudessa darknetissä. ED2K tunnetaan venäjänkielisten käyttäjien "aasina" 2000-luvulla.
Mentori ja sähköposti
Toisen "Mentor" -nimisen työn asiakas oli sotilasyksikkö 71330 (oletettavasti - Venäjän FSB: n sähköinen tiedustelu). Tavoitteena on seurata sähköpostia asiakkaan valinnan mukaan. Hanke on suunniteltu vuosille 2013-2014, Hakkereiden toimittamien asiakirjojen mukaan Mentor-ohjelma voidaan konfiguroida siten, että se tarkistaa oikeiden vastaajien postit tiettynä ajankohtana tai kerää”älykäs ryöstöryhmä” annetuille lauseille.
Esimerkki on haku kahden suuren venäläisen Internet-yrityksen postipalvelimilta. Asiakirjoista esitetyn esimerkin mukaan näiden palvelimien postilaatikot kuuluvat Nagonialle, joka on Yulian Semenovin kuvitteellinen maa Neuvostoliiton vakoojadetektiiviltä "TASS, jolla on valtuudet ilmoittaa". Romaanin juoni perustuu KGB: n upseerin rekrytointiin Yhdysvaltain tiedustelupalvelun Nagoniassa.
Muut hankkeet
Nadezhda-projekti on omistettu ohjelman luomiseen, joka kerää ja visualisoi tietoa siitä, kuinka Venäjän Internet-segmentti on kytketty globaaliin verkkoon. Vuosina 2013-2014 tehdyn työn asiakas oli sama sotilasyksikkö nro 71330.
Muuten, marraskuussa 2019 Venäjällä tulee voimaan "suvereeni Internet" -laki, jonka tavoitteena on varmistaa venäläisen Internet-segmentin eheys, jos se on eristetty ulkopuolelta. Lain kriitikot uskovat, että se antaa Venäjän viranomaisille mahdollisuuden eristää Runet poliittisista syistä.
Vuonna 2015 Saytek toteutti armeijan yksikön nro 71330 tilauksesta tutkimuksen "laitteisto- ja ohjelmistokompleksin" luomiseksi, joka pystyy etsimään ja keräämään nimettömästi "tietoaineistoa Internetistä" piilottaen samalla "informaation edun". Projekti nimettiin "Mosquito".
Hakkereiden lähettämä kokoelman viimeisin luonnos on vuodelta 2018. Sen tilasi liittovaltion veropalvelun alainen tärkein tieteellinen innovaatio- ja toteutuskeskus JSC.
Tax-3-ohjelman avulla voit poistaa manuaalisesti tietoja FTS-tietojärjestelmästä valtion tai valtion suojassa olevilta henkilöiltä.
Erityisesti siinä kuvataan suljetun tietokeskuksen luominen suojattaville henkilöille. Näihin kuuluvat eräät valtion ja kuntien virkamiehet, tuomarit, rikosoikeudellisissa menettelyissä osallistuvat ja muut kansalaisryhmät.
Hakkerit väittävät, että heidät inspiroi digitaalinen vastusliike Telegram-sanoman estämistä vastaan.
Digitaalisen vallankumouksen hakkerit väittävät antaneen toimittajille tietoja muodossa, jonka 0v1ru $ osallistujat antoivat (kuinka moni heistä on tuntematon).”Näyttää siltä, että ryhmä on pieni. Riippumatta heidän lukumäärästä, olemme tyytyväisiä heidän panokseensa. Olemme iloisia, että jotkut ihmiset, jotka eivät säästä vapaa-ajallaan, riskittävät vapaudellaan ja auttavat meitä”, totesi Digital Revolution.
Materiaalin valmisteluhetkellä ei ollut mahdollista ottaa yhteyttä 0v1ru $ -ryhmään. FSB ei vastannut BBC: n pyyntöön.
"Saytekan" sivustoon ei pääse pääsyä - ei edellisessä muodossa eikä "yoba-face" -versiossa. Kun soitat yritykselle, puhelinvastaajaan sisältyy vakioviesti, jossa sinua pyydetään odottamaan sihteerin vastausta, mutta sen jälkeen kuuluu lyhyitä piippauksia.
Andrey Soshnikov, Svetlana Reiter