Hakeri uzlauzti Krievijas specdienestu un departamentu galvenā darbuzņēmēja serverī un pēc tam dalījušies ar žurnālistiem ap desmitiem publiski pieejamu interneta projektu aprakstiem: sākot ar Tor pārlūka lietotāju deanonimizēšanu un beidzot ar torrentu ievainojamību izmeklēšanu.
Iespējams, ka šī ir vēsturē lielākā datu noplūde par Krievijas speciālo dienestu darbu internetā.
Hakešana notika 2019. gada 13. jūlijā. Maskavas IT kompānijas "Saytek" vietnes galvenās lapas vietā parādījās sejas attēls ar platu smaidu un smieklīgi raustītām acīm (interneta slengā - "yoba-face").
Deface, tas ir, vietnes mājas lapas aizstāšana, ir izplatīta hakeru taktika un demonstrācija, ka viņiem izdevās piekļūt upura datiem.
Twitter kontā 0v1ru $, kas reģistrēts uzbrukuma dienā, parādījās momentuzņēmums ar “yoba-face”. Parādījās arī mapes “Dators” ekrānuzņēmumi, domājams, ka tie pieder cietušajam. Vienā attēlā redzams kopējais informācijas daudzums - 7,5 terabaiti. Nākamais momentuzņēmums parāda, ka lielākā daļa šo datu jau ir izdzēsti.
Hakeri arī ievietoja skartā uzņēmuma iekšējā tīkla saskarnes ekrānuzņēmumu. Blakus projektu nosaukumiem ("Arion", "Attiecības", "Grivna" un citi) bija viņu kuratoru vārdi - "Saytek" darbinieki
Acīmredzot, pirms informācijas noņemšanas no datora, hakeri to daļēji nokopēja. Viņi dalījās ar dokumentiem ar Digital Revolution, grupu, kas 2018. gada decembrī uzņēmās atbildību par Pētniecības institūta "Kvant" servera uzlaušanu. Šo iestādi pārvalda FSB.
Hakeri nosūtīja Saytek dokumentus žurnālistiem no vairākām publikācijām.
Reklāmas video:
No arhīva, ar kuru varēja iepazīties BBC krievu dienestam, izriet, ka Saytek veica darbu pie vismaz 20 publiskiem IT projektiem, kurus pasūtīja Krievijas specdienesti un departamenti. Šajos dokumentos nav piezīmju par valsts noslēpumu vai slepenību.
Kam darbojas Saytek?
Uzņēmumu vada Deniss Vjačeslavovičs Krauškins. Viens no Saytek klientiem ir Kvānas pētniecības institūts, kur saskaņā ar Runet-ID datiem Vjačeslavs Vladilenovičs Krauškins strādā kā zinātniskais konsultants. Krayushkins ir reģistrēti Maskavas reģionā Zamoskvorechye.
BBC pētījumu institūts Kvants atteicās atbildēt uz jautājumu, vai Deniss un Vjačeslavs Krauškins ir saistīti ar organizāciju: "Šī ir konfidenciāla informācija, viņi nav gatavi to paust."
BBC korespondentam tika ieteikts ieskatīties institūta tīmekļa vietnē un Krievijas valsts iepirkumu portālā, lai iegūtu informāciju par Saytek un Pētniecības institūta Kvant kopīgiem projektiem. Norādītajās vietnēs nebija iespējams atrast līgumus starp Saytek un institūtu.
Jaunākos finanšu rezultātus Saytek publicēja 2017. gadā. Tās ieņēmumi sasniedza 46 miljonus rubļu, tīrā peļņa - 1,1 miljonu rubļu.
Uzņēmuma publisko līgumu kopsumma 2018. gadā ir 40 miljoni rubļu. Starp klientiem ir nacionālais satelīta sakaru operators a / s "RT Komm.ru" un Krievijas Augstākajā tiesā esošais tiesu departamenta informācijas un analītiskais centrs.
tatus/1151717992583110657
Lielākā daļa nepublisko projektu, ko Saitek realizēja pēc militārās vienības Nr. 71330 pasūtījuma. Eksperti no Tallinas Starptautiskā aizsardzības un drošības centra uzskata, ka šī militārā vienība ir daļa no Krievijas FSB 16. direktorāta, kas nodarbojas ar elektronisko izlūkošanu.
SBU 2015. gada martā apsūdzēja FSB 16. un 18. centru par spiegprogrammatūru piepildītu failu nosūtīšanu uz Ukrainas militārpersonu un izlūkošanas virsnieku e-pastiem.
Dokumenti norāda adreses vienai no vietnēm, kurā strādāja "Saytek" darbinieki: Maskavā, Samotečnajā, 9. Iepriekš šī adrese bija PSRS VDK 16. nodaļa, pēc tam - Federālā valdības komunikāciju un informācijas aģentūra Krievijas Federācijas prezidenta pakļautībā (FAPSI).
2003. gadā aģentūra tika likvidēta, un tās pilnvaras tika sadalītas starp FSB un citiem speciālajiem dienestiem.
Nautilus un Tor
Nautilus-C projekts tika izveidots, lai anonimizētu Tor pārlūka lietotājus.
Tors izlases veidā izplata interneta savienojumu mezgliem (serveriem) dažādās pasaules daļās, ļaujot tā lietotājiem apiet cenzūru un slēpt savus datus. Tas ļauj arī ievadīt darknet - “slēpto tīklu”.
Nautilus-S programmatūras pakotni Saytecom izstrādāja 2012. gadā pēc Kvanta pētniecības institūta pasūtījuma. Tas ietver Tor izejas mezglu - serveri, caur kuru tiek nosūtīti pieprasījumi vietnēm. Parasti šādas vietnes entuziasti atbalsta brīvprātīgi.
Bet ne Saytek gadījumā: zinot, kurā brīdī konkrēts lietotājs sūta pieprasījumus caur Tor (piemēram, no interneta pakalpojumu sniedzēja), programmu operatori ar nelielu veiksmi varētu tos savlaicīgi saistīt ar vietņu apmeklēšanu caur kontrolētu mezglu.
Saitek arī plānoja aizstāt trafiku lietotājiem, kuri ienāca speciāli izveidotā mezglā. Šādu lietotāju vietnes var izskatīties savādāk, nekā ir patiesībā.
Līdzīgu hakeru uzbrukumu shēmu Tor lietotājiem shēmu 2014. gadā atklāja eksperti no Karlstades universitātes Zviedrijā. Viņi aprakstīja 19 savstarpēji naidīgus Tor izejas mezglus, no kuriem 18 tika kontrolēti tieši no Krievijas.
To, ka šie mezgli ir savienoti, norādīja arī viņiem kopīgā Tor pārlūka versija - 0.2.2.37. Tāda pati versija ir norādīta "lietotāja rokasgrāmatā" "Nautilus-S".
2019. gada jūlijā Krievija atjaunināja savu rekordu - aptuveni 600 tūkstoši Tor pārlūka lietotāju dienā.
Viens no šī darba rezultātiem bija "lietotāju un datoru datu bāze, kas aktīvi izmanto Tor tīklu", saskaņā ar dokumentiem, no kuriem noplūduši hakeri.
"Mēs uzskatām, ka Kremlis mēģina de-anonimizēt Tor tikai savtīgiem mērķiem," BBC rakstīja hakeri Digital Revolution. "Dažādos ieganstos varas iestādes cenšas ierobežot mūsu iespējas brīvi paust savu viedokli."
"Nautilus" un sociālie tīkli
Iepriekšējā Nautilus projekta versija - bez defises “C” pēc nosaukuma - bija paredzēta informācijas apkopošanai par sociālo mediju lietotājiem.
Dokumenti norāda darba periodu (no 2009. līdz 2010. gadam) un to izmaksas (18,5 miljoni rubļu). BBC nezina, vai Saytek izdevās atrast klientam šim projektam.
Potenciālo klientu reklāmā bija šāda frāze: “Anglijā ir pat teiciens:“Nelieciet internetā to, ko nevarat pateikt policistam.” Šāda lietotāju neuzmanība paver jaunas iespējas personas datu vākšanai un apkopošanai, to turpmākai analīzei un izmantošanai īpašu problēmu risināšanai."
Nautilus izstrādātāji plānoja apkopot datus no lietotājiem tādos sociālajos tīklos kā Facebook, MySpace un LinkedIn.
"Atalgojums" un straumēm
Pētniecības darba "Atalgojums" ietvaros, kas tika veikts 2013.-2014. Gadā, "Saytek" bija jāizpēta "iespēja attīstīt vienādranga un hibrīda tīklu resursu iespiešanās un slēptas izmantošanas iespēju", teikts uzlauztajos dokumentos.
Projekta klients dokumentos nav norādīts. Par pētījuma pamatu tiek minēts Krievijas valdības dekrēts par valsts aizsardzības rīkojumu šiem gadiem.
Parasti šādus publiskus konkursus veic armija un specdienesti.
Vienādranga tīklos lietotāji var ātri apmainīties ar lieliem failiem, jo tie vienlaikus darbojas kā serveris un klients.
Vietne meklēja BitTorrent tīkla protokola ievainojamību (ar kuras palīdzību lietotāji var lejupielādēt filmas, mūziku, programmas un citus failus caur straumēm). RuTracker, lielākā krievu valodas foruma par šo tēmu, lietotāji katru dienu lejupielādē vairāk nekā 1 miljonu straumju.
Arī tīkla protokoli Jabber, OpenFT un ED2K iekļuva "Saytek" interešu sfērā. Jabber protokols tiek izmantots tūlītējos kurjeros, tas ir populārs hakeru un nelegālo pakalpojumu un preču pārdevēju vidū tumšajā tīklā. ED2K 2000. gadā krievvalodīgajiem lietotājiem bija pazīstams kā “ēzelis”.
Mentors un e-pasts
Cita darba ar nosaukumu “Mentor” pasūtītājs bija militārā vienība 71330 (domājams - Krievijas FSB elektroniskā izlūkošana). Mērķis ir uzraudzīt e-pastu pēc klienta izvēles. Projekts tika izstrādāts 2013.-2014.
Saskaņā ar hakeru sniegto dokumentāciju, programmu Mentor var konfigurēt tā, lai tā noteiktā laikā pārbaudītu pareizo respondentu pastu vai savāktu “viedu laupījumu grupu” dotajām frāzēm.
Piemērs ir meklēšana divu lielu Krievijas interneta kompāniju pasta serveros. Saskaņā ar piemēru no dokumentācijas, šo serveru pastkastītes pieder Nagonijai, kas ir izdomāta valsts no padomju spiegu detektīva "TASS ir pilnvarota deklarēt", kuru sagatavojis Yulian Semenov. Romāna sižeta pamatā ir KGB virsnieka vervēšana, ko ASV izlūkdienesti veica Nagonijā.
Citi projekti
Nadeždas projekts ir veltīts programmas izveidošanai, kas uzkrāj un vizualizē informāciju par to, kā Krievijas interneta segments ir savienots ar globālo tīklu. Pasūtītājs par darbu, kas veikts 2013.-2014. Gadā, bija tā pati militārā vienība Nr. 71330.
Starp citu, 2019. gada novembrī Krievijā stāsies spēkā likums "par suverēnu internetu", kura noteiktais mērķis ir nodrošināt Krievijas interneta segmenta integritāti izolācijas gadījumā no ārpuses. Likuma kritiķi uzskata, ka tas Krievijas varas iestādēm dos iespēju izolēt Runetu politisku iemeslu dēļ.
2015. gadā ar militārās vienības Nr. 71330 rīkojumu Saytek veica izpētes darbu, lai izveidotu "aparatūras un programmatūras kompleksu", kas spētu anonīmi meklēt un apkopot "informācijas materiālus internetā", vienlaikus slēpjot "informācijas intereses". Projekta nosaukums bija “Moskīts”.
Jaunākais hakeru uzmetums, ko izsūtījuši hakeri, datēts ar 2018. gadu. To pasūtīja Galvenais zinātnisko jauninājumu un ieviešanas centrs JSC, kas ir pakļauts Federālajam nodokļu dienestam.
Programma Tax-3 ļauj no FTS informācijas sistēmas manuāli noņemt datus no personām, kuras atrodas valsts vai valsts aizsardzībā.
Jo īpaši tas apraksta slēgta datu centra izveidi aizsargājamām personām. To skaitā ir dažas valsts un pašvaldību amatpersonas, tiesneši, kriminālprocesa dalībnieki un citas pilsoņu kategorijas.
Hakeri apgalvo, ka viņus iedvesmojusi digitālā pretestības kustība, kas bloķēja Telegram sūtītāja darbību.
Digitālās revolūcijas hakeri apgalvo, ka viņi žurnālistiem sniedza informāciju tādā formā, kādā to sniedza 0v1ru $ dalībnieki (cik no viņiem nav zināms). “Izskatās, ka grupa ir maza. Neatkarīgi no viņu skaita, mēs atzinīgi vērtējam viņu ieguldījumu. Mēs priecājamies, ka ir cilvēki, kuri nežēlo brīvo laiku, kuri riskē ar savu brīvību un mums palīdz,”atzīmēja Digitālā revolūcija.
Materiāla sagatavošanas laikā nebija iespējams sazināties ar grupu 0v1ru $. FSB neatbildēja uz BBC lūgumu.
Vietne "Sayteka" nav pieejama - ne iepriekšējā formā, ne versijā ar "yoba-face" Zvanot uzņēmumam, automātiskajā atbildētājā tiek ieslēgts standarta ziņojums, kurā jums tiek lūgts gaidīt sekretāra atbildi, bet pēc tā atskan īsi pīkstieni.
Andrejs Sošņikovs, Svetlana Reitere