A hackerek becsapódtak az orosz különleges szolgálatok és osztályok egyik fő vállalkozójának szerverére, majd tucatnyi nem nyilvános internetes projekt leírását osztották meg az újságírókkal: a Tor böngésző felhasználói deononimizálásától a torrent sebezhetőség vizsgálatáig.
Lehetséges, hogy ez a történelem során az orosz speciális szolgálatok internetes munkájára vonatkozó legnagyobb adatszivárgás.
A csapkodásra 2019. július 13-án került sor. A moszkvai Saytek informatikai cég weboldalának főoldala helyett széles mosollyal és önelégül összehúzódó szemmel arca jelent meg (internetes szlengben - "yoba-arc").
A hamisítás, vagyis a weboldal kezdőlapjának helyettesítése, a hackerek általános taktikája és annak bizonyítása, hogy sikerült hozzáférniük az áldozat adataihoz.
A "yoba-arc" pillanatkép megjelent a 0v1ru $ Twitter-fiókban, amelyet a támadás napján regisztráltak. Megjelent képernyőképeket a "Számítógép" mappáról is, amely feltehetően az áldozathoz tartozik. Az egyik kép az összes információmennyiséget mutatja - 7,5 terabyte. A következő pillanatkép azt mutatja, hogy ezen adatok nagy részét már törölték.
A hackerek képernyőképeket is közzétettek az érintett társaság belső hálózati felületéről. A projektek nevei mellett ("Arion", "Kapcsolat", "Hrivnya" és mások) szerepeltek kurátoraik - a "Saytek" alkalmazottai.
Nyilvánvaló, hogy az információ eltávolítása előtt a számítógépről a hackerek részben lemásolták azt. Megosztották a dokumentumokat a Digital Revolution, a csoporttal, amely 2018 decemberében vállalta a felelősséget a Kvant Kutatóintézet szerverének feltöréséért. Ezt az intézményt az FSB működteti.
A hackerek több publikáció újságíróinak küldték Saytek dokumentumait.
Promóciós videó:
Az archívumból, amelyhez a BBC Orosz Szolgálat megismerkedhetett, az következik, hogy Saytek legalább 20 nem nyilvános informatikai projekten dolgozott, amelyeket az orosz különleges szolgálatok és osztályok rendeltek el. Ezek az iratok nem tartalmaznak megjegyzéseket az államtitokról vagy a titoktartásról.
Kinek dolgozik a Saytek?
A társaságot Denis Vyacheslavovich Krayushkin vezet. A Saytek egyik ügyfele a Kvanti Kutatóintézet, ahol a Runet-ID szerint Vjačeslav Vladilenovics Krayushkin tudományos tanácsadóként dolgozik. A Krayushkins a moszkvai Zamoskvorechye régióban vannak bejegyezve.
A BBC Kvant Kutatóintézete nem válaszolt arra a kérdésre, hogy Denis és Vjačeslav Krayushkin kapcsolatban állnak-e a szervezettel: "Ez bizalmas információ, nem hajlandóak megszólalni."
A BBC tudósítójának azt tanácsolták, hogy keresse meg az intézet honlapját és az orosz kormányzati beszerzési portált a Saytek és a Kvant Kutatóintézet közös projektjeiről. A megadott helyszíneken nem lehetett szerződést találni a Saytek és az Intézet között.
A legfrissebb pénzügyi eredményeket a Saytek közzétette 2017-ben. Bevétele 46 millió rubelt, nettó profit - 1,1 millió rubelt tett ki.
A társaság közbeszerzési szerződéseinek teljes összege 2018-ban 40 millió rubel. Az ügyfelek között szerepel a műholdas hírközlés nemzeti üzemeltetője, a JSC "RT Komm.ru", valamint az Oroszországi Legfelsőbb Bíróság igazságügyi osztályának információs és elemző központja.
tatus/1151717992583110657
A Saitek nem nyilvános projektjeinek nagy részét a 71330 katonai egység megrendelésével hajtották végre. A tallini Nemzetközi Védelmi és Biztonsági Központ szakértői úgy vélik, hogy ez a katonai egység az Orosz FSB 16. igazgatóságának része, amely az elektronikus hírszerzéssel foglalkozik.
2015 márciusában az SBU azzal vádolta az FSB 16. és 18. központját, hogy kémprogramokkal töltött fájlokat küldtek az ukrán katonák és hírszerző tisztviselők e-mailbe.
A dokumentumok tartalmazzák a "Saytek" alkalmazottainak egyikének címét: Moszkva, Samotechnaya, 9. Korábban ez a cím volt a Szovjetunió KGB 16. osztálya, majd az Orosz Föderáció elnöke alatt működő Szövetségi Kormányzati Kommunikációs és Információs Ügynökség (FAPSI).
2003-ban az ügynökséget megszüntették, és hatásköreit megosztották az FSB és az egyéb különleges szolgálatok között.
Nautilus és Tor
A Nautilus-C projektet azzal a céllal hozták létre, hogy anonimizálják a Tor böngésző felhasználóit.
A Tor véletlenszerűen osztja szét az internetet a világ különböző részein található csomópontokra (kiszolgálókra), lehetővé téve a felhasználók számára, hogy megkerüljék a cenzúrát és elrejtsék adataikat. Azt is lehetővé teszi, hogy belépjen a darknetbe - a "rejtett hálózatba".
A Nautilus-S szoftvercsomagot a Saytecom 2012-ben fejlesztette ki a Kvant Kutatóintézet megbízásából. Ez magában foglalja a Tor exit csomópontot - egy kiszolgálót, amelyen keresztül a webhelyekhez kéréseket küldenek. Az ilyen webhelyeket általában a rajongók önkéntes alapon támogatják.
De nem a Saytek esetében: tudva, hogy egy adott felhasználó mikor küld kéréseket Tor-on keresztül (például egy Internet szolgáltatótól), a programüzemeltetők némi szerencsével időben összekapcsolhatják azokat egy ellenőrzött csomóponton keresztüli helyszíni látogatásokkal.
A Saitek azt is tervezte, hogy a speciálisan létrehozott csomópontba belépő felhasználók forgalmát helyettesítse. Az ilyen felhasználók webhelyei valószínűleg eltérőek lehetnek.
A svédországi Karlstad Egyetem szakértői 2014-ben fedezték fel a Tor-felhasználók elleni támadók hasonló sémáját. Leírtak 19 összekapcsolt ellenséges Tor kilépő csomópontot, amelyek közül 18 közvetlenül Oroszországból irányult.
Az a tény, hogy ezek a csomópontok össze vannak kapcsolva, a Tor böngésző általuk közösen használt verziója - 0.2.2.37 - is rámutatott. Ugyanezt a verziót jelzi a „Nautilus-S” kezelési útmutatója is.
2019 júliusában Oroszország frissítette saját rekordját - napi 600 ezer Tor böngésző-felhasználót.
Ennek a munkának az egyik eredménye a "Tor-hálózatot aktívan használó felhasználók és számítógépek adatbázisa" volt, a hackerek által kiszivárogtatott dokumentumok szerint.
"Úgy gondoljuk, hogy a Kreml pusztán önző céljaira próbálja anonimizálni Torot" - írta a hackerek a Digital Revolution a BBC-hez. "Különböző ürügyek mellett a hatóságok megpróbálják korlátozni a véleményünk szabadon kifejezésének képességét."
"Nautilus" és a szociális hálózatok
A Nautilus projekt korábbi verzióját - a név után a kötőjelet „C” nélkül - a közösségi média felhasználóival kapcsolatos információk gyűjtésére fordították.
A dokumentumok feltüntetik a munka időtartamát (2009-2010) és költségét (18,5 millió rubelt). A BBC nem tudja, vajon Sayteknek sikerült-e ügyfelet találnia a projekthez.
A potenciális ügyfeleknek szóló hirdetés a következő mondatot tartalmazza: „Angliában is van egy mondás:“Ne tegye közzé az interneten azt, amit nem mondhat el egy rendőrnek.” A felhasználók ilyen óvatossága új lehetőségeket nyit meg a személyes adatok gyűjtésére és összegzésére, további elemzésére és felhasználására speciális problémák megoldására."
A Nautilus fejlesztői adatgyűjtést terveztek a közösségi hálózatoktól, mint például a Facebook, a MySpace és a LinkedIn, származó felhasználóktól.
"Jutalom" és a torrentek
A 2013-ban és 2014-ben elvégzett "Jutalom" kutatási munka részeként a "Saytek" megvizsgálta "a peer-to-peer és hibrid hálózatok erőforrásainak komplex beépítésének és rejtett felhasználásának lehetőségét".
A projekt ügyfelét a dokumentumok nem határozzák meg. A tanulmány alapja az orosz kormány rendelete az ezekre az évekre vonatkozó állami védelmi rendről.
Az ilyen nem nyilvános pályázatokat általában a hadsereg és a különleges szolgálatok végzik.
A peer-to-peer hálózatokban a felhasználók gyorsan cserélhetnek nagy fájlokat, mivel egyszerre szerver és ügyfélként működnek.
A webhely egy sebezhetőséget keresett a BitTorrent hálózati protokollban (ennek használatával a felhasználók filmeket, zenéket, programokat és egyéb fájlokat tölthetnek le torrent segítségével). A témával foglalkozó legnagyobb orosz nyelvű fórum, a RuTracker felhasználói minden nap több mint 1 millió torrentet tölthetnek le.
A Jabber, az OpenFT és az ED2K hálózati protokollok szintén bekerültek a "Saytek" érdeklődési körébe. A Jabber protokollt azonnali üzenetküldőkben használják, népszerűek a hackerek és az illegális szolgáltatások és áruk eladói körében a sötéthálón. Az ED2K-t az orosz nyelvű felhasználók "szamárnak" hívták a 2000-es években.
Mentor és e-mail
A „Mentor” elnevezésű másik munka megrendelője a 71330 katonai egység volt (feltehetően az orosz FSB elektronikus hírszerzése). A cél az e-mail figyelése az ügyfél választása szerint. A projektet 2013-2014-re tervezték, A hackerek által biztosított dokumentáció szerint a Mentor program úgy konfigurálható, hogy ellenőrizze a megfelelő válaszadók adott időben küldött leveleit, vagy összegyűjtsön egy „intelligens zsákmánycsoportot” az adott mondatokhoz.
Példa erre a keresés két nagy orosz internetes cég e-mail szerverein. A dokumentációból származó példa szerint ezeknek a szervereknek a postafiókjai Nagonia tulajdona, Yulian Semenov szovjet "TASS felhatalmazással rendelkező szovjet kémdetektívája" fiktív országa. A regény cselekménye egy KGB-tiszt tisztének az amerikai hírszerző szolgálatok Nagoniában történő felvételén alapul.
Egyéb projektek
A Nadezhda projekt célja egy olyan program létrehozása, amely összegyűjti és megjeleníti az internet orosz szegmensének a globális hálózathoz való kapcsolódásáról szóló információkat. A 2013–2014-ben elvégzett munkák ügyfele ugyanaz a 71330 katonai egység volt.
Egyébként 2019 novemberében Oroszországban lép hatályba az "szuverén internet" törvény, amelynek kijelentett célja az internet orosz szegmensének integritásának biztosítása kívülről történő elszigetelés esetén. A törvény kritikusai úgy vélik, hogy ez az orosz hatóságoknak lehetőséget ad arra, hogy politikai okokból elkülönítsék Runetet.
2015-ben, a 71330 katonai egység megrendelésével, a Saytek kutatási munkát végzett egy „hardver és szoftver komplex” létrehozására, amely képes anonim módon keresni és összegyűjteni az „információs anyagokat az interneten”, miközben elrejti az „információs érdeklődést”. A projektet "Szúnyog" -nak hívták.
A gyűjtemény legfrissebb vázlata, amelyet a hackerek küldtek ki, 2018-ra nyúlik vissza. Ezt a Fő tudományos Innovációs és Végrehajtó Központ, a szövetségi adószolgálat alárendelt JSC rendelte el.
A Tax-3 program lehetővé teszi az állami vagy állami védelem alatt álló személyek adatainak manuális eltávolítását az FTS információs rendszerből.
Különösen leírja a védett személyek számára zárt adatközpont létrehozását. Ide tartoznak egyes állami és önkormányzati tisztviselők, bírák, a büntetőeljárások résztvevői és a polgárok más kategóriái.
A hackerek azt állítják, hogy a digitális ellenállás mozgalma ihlette őket a Telegram messenger blokkolása ellen.
A digitális forradalom hackerei azt állítják, hogy az újságíróknak a 0v1ru $ résztvevők által megadott formában adtak információt (hányan ismeretlenek). „Úgy tűnik, hogy a csoport kicsi. Számától függetlenül üdvözöljük a hozzászólást. Örülünk, hogy vannak olyan emberek, akik nem szabadítják el szabadidejüket, és kockáztatják szabadságukat, és segítenek nekünk”- jegyezte meg a Digital Revolution.
Az anyag elkészítésekor nem lehetett kapcsolatba lépni a 0v1ru $ csoporttal. Az FSB nem válaszolt a BBC kérésére.
A "Sayteka" oldala elérhetetlen - sem az előző formában, sem a "yoba-face" változatban. Amikor felhívja a céget, az üzenetrögzítőn egy normál üzenet jelenik meg, amelyben felkérik, hogy várja meg a titkár válaszát, de utána rövid sípoló hangok jelennek meg.
Andrey Soshnikov, Svetlana Reiter