Gli hacker hanno violato il server di un importante appaltatore dei servizi e dipartimenti speciali russi, e poi hanno condiviso con i giornalisti le descrizioni di dozzine di progetti Internet non pubblici: dalla deanonimizzazione degli utenti del browser Tor allo studio delle vulnerabilità dei torrent.
È possibile che questa sia la più grande fuga di dati sul lavoro dei servizi speciali russi su Internet nella storia.
L'hacking è avvenuto il 13 luglio 2019. Invece della pagina principale del sito della società informatica di Mosca Saytek, è apparsa una faccia con un ampio sorriso e occhi socchiusi compiaciuti (in gergo di Internet - "yoba-face").
Deface, cioè sostituire la home page del sito, è una tattica comune degli hacker e una dimostrazione che sono riusciti a ottenere l'accesso ai dati della vittima.
Un'istantanea con una "faccia da yoba" è apparsa sull'account Twitter 0v1ru $, registrato il giorno dell'attacco. Sono apparsi anche screenshot della cartella "Computer", presumibilmente appartenente alla vittima. Un'immagine mostra la quantità totale di informazioni: 7,5 terabyte. La prossima istantanea mostra che la maggior parte di questi dati è già stata eliminata.
Gli hacker hanno anche pubblicato uno screenshot dell'interfaccia di rete interna dell'azienda interessata. Accanto ai nomi dei progetti ("Arion", "Relation", "Hryvnia" e altri) c'erano i nomi dei loro curatori, i dipendenti di "Saytek".
Apparentemente, prima di rimuovere le informazioni dal computer, gli hacker le hanno parzialmente copiate. Hanno condiviso i documenti con Digital Revolution, il gruppo che nel dicembre 2018 si è assunto la responsabilità di hackerare il server dell'Istituto di ricerca "Kvant". Questa istituzione è gestita dall'FSB.
Gli hacker hanno inviato i documenti di Saytek ai giornalisti di diverse pubblicazioni.
Video promozionale:
Dall'archivio, che il servizio russo della BBC ha potuto conoscere, risulta che Saytek ha svolto lavori su almeno 20 progetti IT non pubblici ordinati dai servizi e dipartimenti speciali russi. Questi documenti non contengono note su segreti di stato o segretezza.
Per chi lavora Saytek?
L'azienda è guidata da Denis Vyacheslavovich Krayushkin. Uno dei clienti di Saytek è l'istituto di ricerca Kvant, dove, secondo Runet-ID, Vyacheslav Vladilenovich Krayushkin lavora come consulente scientifico. I Krayushkin sono registrati nella regione di Mosca di Zamoskvorechye.
Il BBC Research Institute Kvant ha rifiutato di rispondere alla domanda se Denis e Vyacheslav Krayushkin siano imparentati con l'organizzazione: "Queste sono informazioni riservate, non sono pronti a darne voce".
Al corrispondente della BBC è stato consigliato di consultare il sito web dell'Istituto e il portale degli appalti del governo russo per informazioni sui progetti comuni tra Saytek e l'Istituto di ricerca Kvant. Non è stato possibile trovare contratti tra Saytek e l'Istituto nei siti indicati.
Gli ultimi risultati finanziari sono stati pubblicati da Saytek nel 2017. I suoi ricavi sono stati pari a 46 milioni di rubli, utile netto - 1,1 milioni di rubli.
L'importo totale degli appalti pubblici dell'azienda per il 2018 è di 40 milioni di rubli. Tra i clienti ci sono l'operatore nazionale di comunicazioni satellitari JSC "RT Komm.ru" e il centro di informazione e analisi del dipartimento giudiziario presso la Corte suprema della Russia.
tatus/1151717992583110657
La maggior parte dei progetti non pubblici realizzati da Saitek per ordine dell'unità militare n. 71330. Gli esperti del Centro internazionale per la difesa e la sicurezza di Tallinn ritengono che questa unità militare faccia parte della 16a direzione dell'FSB della Russia, impegnata nell'intelligence elettronica.
Nel marzo 2015, l'SBU ha accusato i centri 16 ° e 18 ° dell'FSB di aver inviato file pieni di spyware alle e-mail del personale militare ucraino e degli ufficiali dell'intelligence.
I documenti indicano l'indirizzo di uno dei siti in cui lavoravano i dipendenti di "Saytek": Mosca, Samotechnaya, 9. In precedenza, questo indirizzo era il 16 ° dipartimento del KGB dell'URSS, quindi - l'Agenzia federale per le comunicazioni e le informazioni governative sotto il presidente della Federazione Russa (FAPSI).
Nel 2003 l'agenzia è stata abolita e i suoi poteri sono stati divisi tra l'FSB e altri servizi speciali.
Nautilus e Tor
Il progetto Nautilus-C è stato creato per de-anonimizzare gli utenti del browser Tor.
Tor distribuisce la connessione Internet in modo casuale a nodi (server) in diverse parti del mondo, consentendo ai suoi utenti di aggirare la censura e nascondere i propri dati. Ti permette anche di entrare nella darknet - la "rete nascosta".
Il pacchetto software Nautilus-S è stato sviluppato da Saytecom nel 2012 per ordine del Kvant Research Institute. Include un nodo di uscita Tor, un server attraverso il quale vengono inviate le richieste ai siti. Di solito tali siti sono supportati da appassionati su base volontaria.
Ma non nel caso di Saytek: sapendo in quale momento un determinato utente sta inviando richieste tramite Tor (ad esempio da un provider Internet), gli operatori del programma potrebbero, con un po 'di fortuna, correlarle in tempo con le visite ai siti tramite un nodo controllato.
Saitek prevedeva inoltre di sostituire il traffico per gli utenti che entravano in un nodo creato appositamente. I siti per tali utenti potrebbero avere un aspetto diverso da come sono realmente.
Uno schema simile di attacchi degli hacker agli utenti Tor è stato scoperto nel 2014 da esperti dell'Università di Karlstad in Svezia. Hanno descritto 19 nodi di uscita Tor ostili interconnessi, 18 dei quali erano controllati direttamente dalla Russia.
Il fatto che questi nodi siano collegati è stato indicato anche dalla versione comune del browser Tor per loro - 0.2.2.37. La stessa versione è indicata nel "manuale dell'operatore" "Nautilus-S".
A luglio 2019, la Russia ha aggiornato il proprio record: circa 600mila utenti di browser Tor al giorno.
Uno dei risultati di questo lavoro doveva essere un "database di utenti e computer che utilizzavano attivamente la rete Tor", secondo i documenti trapelati dagli hacker.
"Crediamo che il Cremlino stia cercando di de-anonimizzare Tor esclusivamente per i propri scopi egoistici", ha scritto alla BBC gli hacker Digital Revolution. "Con vari pretesti, le autorità stanno cercando di limitare la nostra capacità di esprimere liberamente la nostra opinione".
"Nautilus" e social network
Una versione precedente del progetto Nautilus - senza il trattino "C" dopo il nome - era dedicata alla raccolta di informazioni sugli utenti dei social media.
I documenti indicano il periodo di lavoro (2009-2010) e il loro costo (18,5 milioni di rubli). La BBC non sa se Saytek sia riuscito a trovare un cliente per questo progetto.
L'annuncio per potenziali clienti conteneva la seguente frase: "C'è persino un detto in Inghilterra:" Non pubblicare su Internet ciò che non puoi dire a un poliziotto ". Tale disattenzione degli utenti apre nuove opportunità per la raccolta e il riepilogo dei dati personali, la loro ulteriore analisi e l'utilizzo per la risoluzione di problemi speciali ".
Gli sviluppatori di Nautilus hanno pianificato di raccogliere dati dagli utenti in social network come Facebook, MySpace e LinkedIn.
"Premio" e torrent
Nell'ambito del lavoro di ricerca "Reward", che è stato svolto nel 2013-2014, "Saytek" è stato quello di indagare "la possibilità di sviluppare un complesso di penetrazione e uso nascosto delle risorse di reti peer-to-peer e ibride", dicono i documenti compromessi.
Il cliente del progetto non è specificato nei documenti. Come base dello studio viene citato il decreto del governo russo sull'ordinanza di difesa dello stato per questi anni.
Di norma, tali offerte non pubbliche vengono eseguite dall'esercito e dai servizi speciali.
Nelle reti peer-to-peer, gli utenti possono scambiare rapidamente file di grandi dimensioni perché agiscono contemporaneamente come server e client.
Il sito stava per trovare una vulnerabilità nel protocollo di rete BitTorrent (utilizzandolo, gli utenti possono scaricare film, musica, programmi e altri file tramite torrent). Gli utenti di RuTracker, il più grande forum in lingua russa su questo argomento, scaricano oltre 1 milione di torrent ogni giorno.
Anche i protocolli di rete Jabber, OpenFT e ED2K sono entrati nella sfera degli interessi di "Saytek". Il protocollo Jabber viene utilizzato nella messaggistica istantanea, popolare tra gli hacker e i venditori di servizi e beni illegali sulla darknet. ED2K era noto agli utenti di lingua russa come un "asino" negli anni 2000.
Mentore ed e-mail
Il cliente per un altro lavoro chiamato "Mentore" era l'unità militare 71330 (presumibilmente - intelligence elettronica dell'FSB della Russia). L'obiettivo è monitorare la posta elettronica a discrezione del cliente. Il progetto è stato concepito per il 2013-2014, Secondo la documentazione fornita dagli hacker, il programma Mentor può essere configurato in modo che controlli la posta degli intervistati giusti in un dato momento, o raccolga un "gruppo bottino intelligente" per le frasi date.
Un esempio è una ricerca sui server di posta di due grandi società Internet russe. Secondo un esempio tratto dalla documentazione, le caselle di posta su questi server appartengono a Nagonia, un paese immaginario del detective della spia sovietico "TASS è autorizzato a dichiarare" di Yulian Semenov. La trama del romanzo è basata sul reclutamento di un ufficiale del KGB da parte dei servizi segreti statunitensi a Nagonia.
Altri progetti
Il progetto Nadezhda è dedicato alla creazione di un programma che accumuli e visualizzi informazioni su come il segmento russo di Internet è connesso alla rete globale. Il cliente per i lavori eseguiti nel 2013-2014 era la stessa unità militare n. 71330.
A proposito, nel novembre 2019 entrerà in vigore in Russia una legge su "Internet sovrano", il cui obiettivo dichiarato è garantire l'integrità del segmento russo di Internet in caso di isolamento dall'esterno. I critici della legge ritengono che darà alle autorità russe l'opportunità di isolare Runet per motivi politici.
Nel 2015, per ordine dell'unità militare n. 71330, Saytek ha svolto un lavoro di ricerca per creare un "complesso hardware e software" in grado di cercare e raccogliere in modo anonimo "materiale informativo su Internet", nascondendo "interesse informativo". Il progetto è stato chiamato "Mosquito".
La bozza più recente della raccolta inviata dagli hacker risale al 2018. È stato ordinato dal Centro principale di innovazione e implementazione scientifica JSC, subordinato al servizio fiscale federale.
Il programma Tax-3 consente di rimuovere manualmente i dati da persone sotto protezione statale o protezione statale dal sistema informativo FTS.
In particolare, descrive la creazione di un data center chiuso per le persone sotto protezione. Questi includono alcuni funzionari statali e municipali, giudici, partecipanti a procedimenti penali e altre categorie di cittadini.
Gli hacker affermano di essere stati ispirati dal movimento di resistenza digitale contro il blocco del messenger di Telegram.
Gli hacker di Digital Revolution affermano di aver fornito ai giornalisti informazioni nella forma in cui sono state fornite dai partecipanti a 0v1ru $ (quanti di loro sono sconosciuti). “Sembra che il gruppo sia piccolo. Indipendentemente dal loro numero, accogliamo con favore il loro contributo. Siamo lieti che ci siano persone che non risparmiano il loro tempo libero, che rischiano la loro libertà e ci aiutano”, ha osservato Digital Revolution.
Non è stato possibile contattare il gruppo 0v1ru $ al momento della preparazione del materiale. L'FSB non ha risposto alla richiesta della BBC.
Il sito di "Sayteka" è inaccessibile - né nella forma precedente, né nella versione con "yoba-face". Quando si chiama l'azienda, viene attivato un messaggio standard sulla segreteria telefonica, in cui viene chiesto di attendere la risposta della segretaria, ma dopo di essa vengono emessi dei brevi bip.
Andrey Soshnikov, Svetlana Reiter
