Хакерите хакнаха в сървъра на голям изпълнител на руските специални служби и отдели и след това споделиха с журналисти описания на десетки непублични интернет проекти: от деанонимизиране на потребителите на браузъра Tor до разследване на торент уязвимости.
Възможно е това да е най-големият теч на данни за работата на руските специални служби в интернет в историята.
Хакът се състоя на 13 юли 2019 г. Вместо основната страница на сайта на московската IT-компания Saytek се появи лице с широка усмивка и самодоволно присвити очи (в интернет сленг - „йоба-лице“).
Deface, тоест замяната на началната страница на сайта, е често срещана тактика на хакерите и демонстрация, че те успяха да получат достъп до данните на жертвата.
Снимка с "йоба-лице" се появи в акаунта в Twitter 0v1ru $, регистриран в деня на атаката. Появиха се и скрийншоти на папката „Компютър“, предполагаемо принадлежащи на жертвата. Една снимка показва общото количество информация - 7,5 терабайта. Следващият момент показва, че повечето от тези данни вече са изтрити.
Хакерите също публикуваха екранна снимка на вътрешния мрежов интерфейс на засегнатата компания. До имената на проектите ("Арион", "Връзка", "Гривна" и други) бяха имената на техните уредници - служителите на "Сайтек".
Очевидно, преди да премахнат информация от компютъра, хакерите частично я копираха. Те споделиха документите с Digital Revolution - групата, която през декември 2018 г. пое отговорността за хакване на сървъра на Изследователския институт „Квант“. Тази институция се управлява от ФСБ.
Хакерите изпратиха документите на Saytek на журналисти от няколко публикации.
Промоционално видео:
От архива, с който руската служба на BBC успя да се запознае, следва, че Saytek извърши работа по поне 20 непублични ИТ проекта, поръчани от руските специални служби и служби. Тези документи не съдържат бележки за държавна тайна или секретност.
За кого работи Saytek?
Компанията се ръководи от Денис Вячеславович Краюшкин. Един от клиентите на Saytek е изследователският институт на Квант, където според Runet-ID Вячеслав Владиленович Краюшкин работи като научен консултант. Краюшкините са регистрирани в района на Москва Замоскворечие.
Изследователският институт на BBC Kvant отказа да отговори на въпроса дали Денис и Вячеслав Краюшкин са свързани с организацията: „Това е поверителна информация, те не са готови да я огласят“.
Кореспондентът на BBC бе посъветван да потърси уебсайта на института и на руския портал за държавни поръчки за информация за съвместни проекти между Saytek и Научноизследователския институт Квант. Не беше възможно да се намерят договори между Saytek и Института на посочените сайтове.
Последните финансови резултати бяха публикувани от Saytek през 2017 г. Приходите му възлизат на 46 милиона рубли, чиста печалба - 1,1 милиона рубли.
Общата сума на обществените поръчки на компанията за 2018 г. е 40 милиона рубли. Сред клиентите са националният оператор на сателитни комуникации RT Komm.ru АД и информационно-аналитичният център на съдебния отдел във Върховния съд на Русия.
tatus/1151717992583110657
Повечето от непубличните проекти Saitek са осъществени по поръчка на военна част 71330. Експерти от Международния център за отбрана и сигурност в Талин смятат, че това военно поделение е част от 16-та дирекция на ФСБ на Русия, която се занимава с електронното разузнаване.
През март 2015 г. СБУ обвини 16-ти и 18-ти център на ФСБ в изпращане на файлове, пълни със шпионски софтуер, до имейлите на украински военни и разузнавачи.
Документите съдържат адреса на един от сайтовете, където работеха служителите на „Сайтек“: Москва, Самотехная, 9. Преди това този адрес беше 16-ти отдел на КГБ на СССР, след това Федерална агенция за правителствени комуникации и информация при президента на Руската федерация (FAPSI).
През 2003 г. агенцията беше премахната и правомощията й бяха разделени между ФСБ и други специални служби.
Наутилус и Тор
Проектът Nautilus-C е създаден с цел деанонимност на потребителите на браузъра Tor.
Tor разпространява интернет връзката на случаен принцип до възли (сървъри) в различни части на света, позволявайки на потребителите си да заобиколят цензурата и да скрият данните си. Освен това ви позволява да влезете в тъмнета - „скритата мрежа“.
Софтуерният пакет Nautilus-S е разработен от Saytecom през 2012 г. по поръчка на Научния институт на Квант. Той включва изходен възел на Tor - сървър, чрез който се изпращат заявки към сайтове. Обикновено такива сайтове се поддържат от ентусиасти на доброволна основа.
Но не в случая на Saytek: като знаят в кой момент определен потребител изпраща заявки през Tor (например от интернет доставчик), програмните оператори биха могли с известен късмет да ги съпоставят с посещения на сайтове през контролиран възел.
Saitek също планира да замести трафика за потребители, които влязоха в специално създаден възел. Сайтовете за такива потребители може да изглеждат по-различно, отколкото са в действителност.
Подобна схема на хакерски атаки срещу потребители на Tor беше открита през 2014 г. от експерти от университета в Карлстад в Швеция. Те описаха 19 взаимосвързани враждебни изходни възли Tor, 18 от които бяха контролирани директно от Русия.
Фактът, че тези възли са свързани, е посочен и от общата версия на браузъра Tor за тях - 0.2.2.37. Същата версия е посочена в "ръководството на оператора" "Nautilus-S".
През юли 2019 г. Русия актуализира собствен рекорд - около 600 хиляди потребители на браузъра Tor на ден.
Един от резултатите от тази работа беше да бъде „база данни на потребители и компютри, активно използващи мрежата Tor“, според документите, изтичани от хакерите.
„Ние вярваме, че Кремъл се опитва да денонимира Tor чисто за собствените си егоистични цели“, пише хакери Digital Revolution пред BBC. „Под различни предлози властите се опитват да ограничат способността ни да изразяваме свободно своето мнение.“
„Наутилус“и социалните мрежи
По-ранна версия на проекта Nautilus - без тирето „C“след името - беше посветена на събирането на информация за потребителите на социалните медии.
Документите посочват периода на работа (2009-2010 г.) и тяхната цена (18,5 милиона рубли). BBC не знае дали Saytek е успял да намери клиент за този проект.
Рекламата за потенциални клиенти съдържа следната фраза: „В Англия има дори поговорка:„ Не публикувайте в интернет това, което не можете да кажете на полицай. “Подобна небрежност на потребителите отваря нови възможности за събиране и обобщаване на лични данни, по-нататъшния им анализ и използване за решаване на специални проблеми."
Разработчиците на Nautilus планираха да събират данни от потребители в такива социални мрежи като Facebook, MySpace и LinkedIn.
„Награда“и торенти
Като част от изследователската работа „Възнаграждение“, която беше извършена през 2013-2014 г., „Сайтек“трябваше да проучи „възможността за разработване на комплекс за проникване и скрито използване на ресурсите на партньорска и хибридна мрежа“, според хакерските документи.
Клиентът на проекта не е посочен в документите. Руското правителствено постановление за държавната отбранителна поръчка за тези години е посочено като основа за проучването.
По правило подобни непублични търгове се провеждат от армията и специалните служби.
В партньорските мрежи потребителите могат бързо да обменят големи файлове, защото те действат като сървър и клиент едновременно.
Сайтът щеше да намери уязвимост в протокола на мрежата на BitTorrent (с помощта на който потребителите могат да изтеглят филми, музика, програми и други файлове чрез торенти). Потребителите на RuTracker, най-големият рускоезичен форум по тази тема, изтеглят над 1 милион торента всеки ден.
Също мрежовите протоколи Jabber, OpenFT и ED2K попаднаха в сферата на интересите на "Saytek". Протоколът Jabber се използва в месинджъри, популярни сред хакери и продавачи на нелегални услуги и стоки в darknet. ED2K беше известен на рускоезичните потребители като "магаре" през 2000-те.
Ментор и имейл
Клиентът за друга работа, наречена "Ментор", беше военно поделение 71330 (вероятно - електронно разузнаване на ФСБ на Русия). Целта е да се следи имейл по избор на клиента. Проектът е проектиран за 2013-2014 г., Според документацията, предоставена от хакерите, програмата Mentor може да бъде конфигурирана така, че да проверява пощата на правилните респонденти в даден момент или да събира „група с интелигентни плячки“за дадените фрази.
Пример е търсене на пощенските сървъри на две големи руски интернет компании. Според пример от документацията пощенските кутии на тези сървъри принадлежат на Нагония, измислена страна от съветския шпионски детектив „ТАСС е упълномощен да декларира“от Юлиян Семенов. Сюжетът на романа е базиран на наемането на офицер от КГБ от американските разузнавателни служби в Нагония.
Други проекти
Проектът „Надежда“е посветен на създаването на програма, която акумулира и визуализира информация за това как руският сегмент на интернет е свързан с глобалната мрежа. Клиентът за извършената работа през 2013-2014 г. беше същата военна част № 71330.
Между другото, през ноември 2019 г. в Русия ще влезе в сила законът за "суверенния Интернет", чиято декларирана цел е да се осигури целостта на руския сегмент на Интернет в случай на изолация отвън. Критиците на закона смятат, че той ще даде възможност на руските власти да изолират Рунет по политически причини.
През 2015 г. със заповед на военно поделение № 71330 Saytek извърши изследователска работа за създаване на „хардуерен и софтуерен комплекс“, способен да анонимно търси и събира „информационни материали в Интернет“, като същевременно крие „информационния интерес“. Проектът беше наречен "Комар".
Най-новата чернова от колекцията, изпратена от хакери, датира от 2018 година. Тя е поръчана от Главния научен център за иновации и внедряване АД, подчинен на Федералната данъчна служба.
Програмата Tax-3 ви позволява ръчно да премахвате данни от лица под държавна защита или държавна защита от информационната система FTS.
По-конкретно, тя описва създаването на затворен център за данни за лица под закрила. Те включват някои държавни и общински служители, съдии, участници в наказателни производства и други категории граждани.
Хакерите твърдят, че са били вдъхновени от движението за цифрово съпротивление срещу блокиране на пратеника на Telegram.
Хакерите за цифрова революция твърдят, че са предоставили на журналистите информация във вида, в който тя е била предоставена от участниците от 0v1ru $ (колко от тях са неизвестни). „Изглежда, че групата е малка. Независимо от техния брой, ние приветстваме техния принос. Радваме се, че има хора, които не щадят свободното си време, които рискуват свободата си и ни помагат “, отбеляза Digital Revolution.
Не беше възможно да се свържете с групата 0v1ru $ по време на подготовката на материала. ФСБ не отговори на молбата на Би Би Си.
Сайтът на „Sayteka“е недостъпен - нито в предишния вид, нито във версията с „йоба-лице“. Когато се обаждате на компанията, на телефонния секретар се включва стандартно съобщение, в което се изисква да изчакате отговора на секретаря, но след него има кратки звукови сигнали.
Андрей Сошников, Светлана Райтер