De hackers hackten de server van een grote aannemer van de Russische speciale diensten en afdelingen, en deelden vervolgens beschrijvingen met journalisten van tientallen niet-openbare internetprojecten: van het deanonimiseren van Tor-browsergebruikers tot het onderzoeken van torrent-kwetsbaarheden.
Het is mogelijk dat dit het grootste lek is van gegevens over het werk van Russische speciale diensten op internet in de geschiedenis.
De hack vond plaats op 13 juli 2019. In plaats van de hoofdpagina van de site van het IT-bedrijf "Saytek" in Moskou, verscheen een afbeelding van een gezicht met een brede glimlach en zelfvoldane loensende ogen (in internettaal - "yoba-face").
Deface, dat wil zeggen, het vervangen van de startpagina van de site, is een veelgebruikte tactiek van hackers en een demonstratie dat ze erin geslaagd zijn toegang te krijgen tot de gegevens van het slachtoffer.
Een momentopname met een "yoba-gezicht" verscheen op het Twitter-account 0v1ru $, geregistreerd op de dag van de aanval. Er verschenen ook screenshots van de map "Computer", vermoedelijk van het slachtoffer. Een afbeelding toont de totale hoeveelheid informatie - 7,5 terabyte. De volgende momentopname laat zien dat de meeste van deze gegevens al zijn verwijderd.
De hackers plaatsten ook een screenshot van de interne netwerkinterface van het getroffen bedrijf. Naast de namen van de projecten ("Arion", "Relation", "Hryvnia" en anderen) stonden de namen van hun curatoren - de medewerkers van "Saytek".
Blijkbaar hebben de hackers deze gedeeltelijk gekopieerd voordat ze informatie van de computer verwijderden. Ze deelden de documenten met Digital Revolution, de groep die in december 2018 de verantwoordelijkheid op zich nam voor het hacken van de server van het onderzoeksinstituut "Kvant". Deze instelling wordt gerund door de FSB.
De hackers stuurden Sayteks documenten uit verschillende publicaties naar journalisten.
Promotie video:
Uit het archief, waarmee de BBC Russian Service kennis heeft kunnen maken, volgt dat Saytek werkzaamheden heeft verricht aan ten minste 20 niet-openbare IT-projecten in opdracht van de Russische speciale diensten en afdelingen. Deze documenten bevatten geen aantekeningen over staatsgeheimen of geheimhouding.
Voor wie werkt Saytek?
Het bedrijf wordt geleid door Denis Vyacheslavovich Krayushkin. Een van de klanten van Saytek is het Kvant Research Institute, waar Vyacheslav Vladilenovich Krayushkin volgens Runet-ID als wetenschappelijk adviseur werkt. De Krayushkins zijn geregistreerd in de regio Zamoskvorechye in Moskou.
Het BBC Research Institute Kvant weigerde de vraag te beantwoorden of Denis en Vyacheslav Krayushkin verwant zijn aan de organisatie: "Dit is vertrouwelijke informatie, ze zijn niet bereid om het uit te spreken."
De BBC-correspondent kreeg het advies om op de website van het instituut en op het Russische aanbestedingsportaal te kijken voor informatie over gezamenlijke projecten tussen Saytek en het onderzoeksinstituut Kvant. Op de aangegeven sites was het niet mogelijk om contracten tussen Saytek en het Instituut te vinden.
In 2017 publiceerde Saytek de laatste financiële resultaten. De inkomsten bedroegen 46 miljoen roebel, de nettowinst - 1,1 miljoen roebel.
Het totale bedrag aan overheidsopdrachten van het bedrijf voor 2018 is 40 miljoen roebel. Onder de klanten bevinden zich de nationale operator van satellietcommunicatie JSC "RT Komm.ru" en het informatie- en analysecentrum van de juridische afdeling van het Hooggerechtshof van Rusland.
tatus/1151717992583110657
De meeste niet-openbare projecten "Saitek" werden uitgevoerd in opdracht van militaire eenheid nr. 71330. Deskundigen van het Internationaal Centrum voor Defensie en Veiligheid in Tallinn geloven dat deze militaire eenheid deel uitmaakt van het 16e directoraat van de FSB van Rusland, dat zich bezighoudt met elektronische inlichtingen.
In maart 2015 beschuldigde de SBU de 16e en 18e centra van de FSB ervan bestanden vol spyware naar de e-mails van Oekraïense militairen en inlichtingenofficieren te sturen.
De documenten geven het adres aan van een van de locaties waar de werknemers van "Saytek" werkten: Moskou, Samotechnaya, 9. Voorheen was dit adres de 16e afdeling van de KGB van de USSR, toen - het Federaal Agentschap voor Overheidscommunicatie en Informatie onder de president van de Russische Federatie (FAPSI).
In 2003 werd het agentschap opgeheven en werden de bevoegdheden verdeeld over de FSB en andere speciale diensten.
Nautilus en Tor
Het Nautilus-C-project is gemaakt om Tor-browsergebruikers te de-anonimiseren.
Tor verdeelt de internetverbinding willekeurig naar knooppunten (servers) in verschillende delen van de wereld, waardoor gebruikers de censuur kunnen omzeilen en hun gegevens kunnen verbergen. Het stelt je ook in staat om het darknet binnen te gaan - het "verborgen netwerk".
Het softwarepakket Nautilus-S is in 2012 door Saytecom ontwikkeld in opdracht van het Kvant Research Institute. Het bevat een Tor-exitknooppunt - een server waarmee verzoeken naar sites worden verzonden. Meestal worden dergelijke sites op vrijwillige basis ondersteund door enthousiastelingen.
Maar niet in het geval van Saytek: wetende op welk moment een bepaalde gebruiker verzoeken verstuurt via Tor (bijvoorbeeld van een internetprovider), zouden programma-operators deze, met een beetje geluk, op tijd kunnen correleren met bezoeken aan sites via een gecontroleerd knooppunt.
Saitek was ook van plan om verkeer te vervangen door gebruikers die een speciaal gemaakt knooppunt binnengingen. Sites voor dergelijke gebruikers kunnen er anders uitzien dan ze in werkelijkheid zijn.
Een soortgelijk schema van hackeraanvallen op Tor-gebruikers werd in 2014 ontdekt door experts van de Karlstad University in Zweden. Ze beschreven 19 onderling verbonden vijandige Tor-exitknooppunten, waarvan er 18 rechtstreeks vanuit Rusland werden bestuurd.
Het feit dat deze knooppunten zijn verbonden, werd ook aangegeven door de gebruikelijke versie van de Tor-browser voor hen - 0.2.2.37. Dezelfde versie wordt aangegeven in de "bedieningshandleiding" "Nautilus-S".
In juli 2019 heeft Rusland zijn eigen record bijgewerkt - ongeveer 600 duizend Tor-browsergebruikers per dag.
Een van de resultaten van dit werk was een "database van gebruikers en computers die actief gebruik maken van het Tor-netwerk", aldus de documenten die door de hackers waren gelekt.
"Wij geloven dat het Kremlin probeert Tor te de-anonimiseren, puur voor zijn eigen egoïstische doeleinden", schreef hackers Digital Revolution aan de BBC. "Onder verschillende voorwendsels proberen de autoriteiten ons vermogen om vrijelijk onze mening te uiten te beperken."
"Nautilus" en sociale netwerken
Een eerdere versie van het Nautilus-project - zonder het koppelteken 'C' achter de naam - was gewijd aan het verzamelen van informatie over gebruikers van sociale media.
De documenten geven de werkperiode (2009-2010) en hun kosten (18,5 miljoen roebel) aan. De BBC weet niet of Saytek erin geslaagd is een klant voor dit project te vinden.
De advertentie voor potentiële klanten bevatte de volgende zin: "Er is zelfs een gezegde in Engeland:" Post niet op internet wat je een politieagent niet kunt vertellen. " Dergelijke onzorgvuldigheid van gebruikers opent nieuwe mogelijkheden voor het verzamelen en samenvatten van persoonlijke gegevens, hun verdere analyse en gebruik voor het oplossen van speciale problemen."
De Nautilus-ontwikkelaars waren van plan gegevens te verzamelen van gebruikers in sociale netwerken zoals Facebook, MySpace en LinkedIn.
"Beloning" en torrents
Als onderdeel van het onderzoekswerk "Reward", dat werd uitgevoerd in 2013-2014, was "Saytek" het onderzoeken van "de mogelijkheid om een complex van penetratie en heimelijk gebruik van de bronnen van peer-to-peer en hybride netwerken te ontwikkelen", zeggen de gehackte documenten.
De klant van het project wordt niet gespecificeerd in de documenten. Als basis voor het onderzoek wordt het Russische regeringsbesluit over het staatsbeschermingsbevel voor deze jaren genoemd.
Dergelijke niet-openbare aanbestedingen worden in de regel uitgevoerd door het leger en speciale diensten.
In peer-to-peer-netwerken kunnen gebruikers snel grote bestanden uitwisselen omdat ze tegelijkertijd als server en client fungeren.
De site zou een kwetsbaarheid vinden in het BitTorrent-netwerkprotocol (hiermee kunnen gebruikers films, muziek, programma's en andere bestanden downloaden via torrents). Gebruikers van RuTracker, het grootste Russisch-talige forum over dit onderwerp, downloaden elke dag meer dan 1 miljoen torrents.
Ook de netwerkprotocollen Jabber, OpenFT en ED2K raakten in de interessesfeer van "Saytek". Het Jabber-protocol wordt gebruikt in instant messengers, populair onder hackers en verkopers van illegale diensten en goederen op het darknet. ED2K stond in de jaren 2000 bij Russisch sprekende gebruikers bekend als een "ezel".
Mentor en e-mail
De klant voor een ander werk genaamd "Mentor" was militaire eenheid 71330 (vermoedelijk - elektronische intelligentie van de FSB van Rusland). Het doel is om e-mail te monitoren naar keuze van de klant. Het project is ontworpen voor 2013-2014, Volgens de documentatie die door de hackers is verstrekt, kan het Mentor-programma zo worden geconfigureerd dat het de mail van de juiste respondenten op een bepaald moment controleert of een "slimme buitgroep" verzamelt voor de gegeven zinnen.
Een voorbeeld is een zoekopdracht op de mailservers van twee grote Russische internetbedrijven. Volgens een voorbeeld uit de documentatie behoren de mailboxen op deze servers toe aan Nagonia, een fictief land van de Sovjet-spionagedetective "TASS is geautoriseerd om aan te geven" door Yulian Semenov. De plot van de roman is gebaseerd op de rekrutering van een KGB-officier door de Amerikaanse inlichtingendiensten in Nagonia.
Andere projecten
Het Nadezhda-project is gewijd aan het creëren van een programma dat informatie verzamelt en visualiseert over hoe het Russische deel van internet is verbonden met het wereldwijde netwerk. De klant voor de in 2013-2014 uitgevoerde werkzaamheden was dezelfde militaire eenheid nr. 71330.
Trouwens, in november 2019 zal in Rusland een wet inzake "soeverein internet" in werking treden, met als doel de integriteit van het Russische deel van het internet te waarborgen in geval van isolatie van buitenaf. Critici van de wet zijn van mening dat het de Russische autoriteiten de mogelijkheid zal geven om Runet om politieke redenen te isoleren.
In 2015 voerde Saytek in opdracht van militaire eenheid nr. 71330 onderzoek uit om een "hardware- en softwarecomplex" te creëren dat in staat is om anoniem "informatiemateriaal op internet" te doorzoeken en te verzamelen, terwijl het "informatief belang" verbergt. Het project kreeg de naam "Mosquito".
Het meest recente concept uit de collectie dat door hackers is verzonden, dateert uit 2018. Het werd besteld door het Hoofd Wetenschappelijk Innovatie- en Implementatiecentrum JSC, ondergeschikt aan de Federale Belastingdienst.
Met het Tax-3-programma kunt u handmatig gegevens van personen die onder staatsbescherming of staatsbescherming staan, verwijderen uit het FTS-informatiesysteem.
Het beschrijft in het bijzonder de oprichting van een gesloten datacenter voor personen onder bescherming. Deze omvatten enkele staats- en gemeenteambtenaren, rechters, deelnemers aan strafprocedures en andere categorieën burgers.
De hackers beweren dat ze zijn geïnspireerd door de digitale verzetsbeweging tegen het blokkeren van de Telegram-messenger.
Hackers van de digitale revolutie beweren dat ze journalisten informatie hebben gegeven in de vorm waarin deze werd verstrekt door de deelnemers van 0v1ru $ (hoeveel van hen zijn onbekend). “Het lijkt erop dat de groep klein is. Ongeacht hun aantal, we verwelkomen hun inbreng. We zijn blij dat er mensen zijn die hun vrije tijd niet sparen, die hun vrijheid op het spel zetten en ons helpen,”aldus Digital Revolution.
Het was niet mogelijk om contact op te nemen met de 0v1ru $ -groep op het moment dat het materiaal werd voorbereid. De FSB reageerde niet op het verzoek van de BBC.
De site van "Sayteka" is niet toegankelijk - noch in het vorige formulier, noch in de versie met "yoba-face". Wanneer u het bedrijf belt, wordt er een standaardbericht op het antwoordapparaat opgenomen waarin u wordt gevraagd te wachten op het antwoord van de secretaresse, maar daarna zijn er korte pieptonen.
Andrey Soshnikov, Svetlana Reiter
