Penggodam meretas pelayan kontraktor utama perkhidmatan dan jabatan khas Rusia, dan kemudian berkongsi dengan wartawan penerangan mengenai puluhan projek Internet bukan awam: dari menyah nama pengguna penyemak imbas Tor hingga menyiasat kelemahan torrent.
Ada kemungkinan bahawa ini adalah kebocoran data terbesar mengenai pekerjaan perkhidmatan khas Rusia di Internet dalam sejarah.
Peretasan berlaku pada 13 Julai 2019. Daripada halaman utama laman web syarikat IT Moscow, Saytek, wajah dengan senyum lebar dan mata berkepul-kepul muncul (dalam slanga Internet - "wajah yoba").
Deface, iaitu mengganti halaman utama laman web, adalah taktik umum penggodam dan demonstrasi bahawa mereka berjaya mendapatkan akses ke data mangsa.
Gambar dengan "muka yoba" muncul di akaun Twitter 0v1ru $, didaftarkan pada hari serangan. Terdapat juga tangkapan skrin folder "Komputer", yang mungkin milik mangsa. Satu gambar menunjukkan jumlah maklumat - 7.5 terabyte. Petikan seterusnya menunjukkan bahawa sebahagian besar data ini telah dihapuskan.
Penggodam juga menyiarkan tangkapan skrin antara muka rangkaian dalaman syarikat yang terjejas. Di sebelah nama-nama projek ("Arion", "Relation", "Hryvnia" dan lain-lain) terdapat nama kurator mereka - pegawai "Saytek".
Nampaknya, sebelum mengeluarkan maklumat dari komputer, penggodam menyalinnya sebahagiannya. Mereka berkongsi dokumen dengan Digital Revolution, kumpulan yang pada bulan Disember 2018 bertanggungjawab untuk menggodam pelayan Institut Penyelidikan "Kvant". Institusi ini dikendalikan oleh FSB.
Penggodam menghantar dokumen Saytek kepada wartawan dari beberapa penerbitan.
Video promosi:
Dari arkib, yang dapat diketahui oleh BBC Russian Service, ini menunjukkan bahawa Saytek telah menjalankan sekurang-kurangnya 20 projek IT bukan awam yang diperintahkan oleh perkhidmatan dan jabatan khas Rusia. Kertas kerja ini tidak mengandungi catatan mengenai rahsia atau kerahsiaan negara.
Untuk siapa Saytek bekerja?
Syarikat ini diketuai oleh Denis Vyacheslavovich Krayushkin. Salah satu pelanggan Saytek adalah Institut Penyelidikan Kvant, di mana, menurut Runet-ID, Vyacheslav Vladilenovich Krayushkin bekerja sebagai perunding saintifik. Krayushkins didaftarkan di wilayah Moscow Zamoskvorechye.
Institut Penyelidikan BBC Kvant enggan menjawab pertanyaan sama ada Denis dan Vyacheslav Krayushkin berkaitan dengan organisasi: "Ini adalah maklumat sulit, mereka tidak bersedia menyuarakannya."
Wartawan BBC disarankan untuk melihat laman web Institut dan di portal pemerolehan kerajaan Rusia untuk mendapatkan maklumat mengenai projek bersama antara Saytek dan Institut Penyelidikan Kvant. Tidak mungkin mencari kontrak antara Saytek dan Institut di laman web yang ditunjukkan.
Hasil kewangan terkini diterbitkan oleh Saytek pada tahun 2017. Pendapatannya berjumlah 46 juta rubel, keuntungan bersih - 1,1 juta rubel.
Jumlah kontrak awam syarikat untuk 2018 adalah 40 juta rubel. Antara pelanggan adalah pengendali nasional komunikasi satelit JSC "RT Komm.ru" dan pusat maklumat dan analitik jabatan kehakiman di Mahkamah Agung Rusia.
tatus/1151717992583110657
Sebilangan besar projek bukan awam Saitek dilaksanakan dengan perintah unit ketenteraan No. 71330. Pakar dari Pusat Pertahanan dan Keselamatan Antarabangsa di Tallinn percaya bahawa unit ketenteraan ini merupakan sebahagian dari Direktorat ke-16 FSB Rusia, yang terlibat dalam perisik elektronik.
Pada bulan Mac 2015, SBU menuduh pusat FSB ke-16 dan ke-18 menghantar fail yang disumbat dengan perisian intip ke e-mel anggota tentera Ukraine dan pegawai perisik.
Dokumen tersebut menunjukkan alamat salah satu laman web di mana pekerja "Saytek" bekerja: Moscow, Samotechnaya, 9. Sebelumnya, alamat ini adalah jabatan ke-16 KGB USSR, ketika itu - Agensi Persekutuan untuk Komunikasi dan Maklumat Kerajaan di bawah Presiden Persekutuan Rusia (FAPSI).
Pada tahun 2003, agensi tersebut dihapuskan, dan kuasanya dibahagikan antara FSB dan perkhidmatan khas lain.
Nautilus dan Tor
Projek Nautilus-C dibuat untuk menyahsebutkan nama pengguna penyemak imbas Tor.
Tor mengedarkan sambungan Internet secara rawak ke nod (pelayan) di berbagai belahan dunia, yang membolehkan penggunanya memintas penapisan dan menyembunyikan datanya. Ini juga membolehkan anda memasuki darknet - "rangkaian tersembunyi".
Pakej perisian Nautilus-S dikembangkan oleh Saytecom pada tahun 2012 atas perintah Kvant Research Institute. Ini merangkumi simpul keluar Tor - pelayan yang menghantar permintaan ke laman web. Biasanya laman web seperti ini disokong oleh peminat secara sukarela.
Tetapi tidak dalam hal Saytek: mengetahui pada saat mana pengguna tertentu mengirim permintaan melalui Tor (misalnya, dari penyedia Internet), pengendali program dapat, dengan sedikit keberuntungan, dapat mengaitkannya tepat pada waktunya dengan lawatan ke laman web melalui simpul terkawal.
Saitek juga merancang untuk menggantikan lalu lintas untuk pengguna yang memasuki nod yang dibuat khas. Laman web untuk pengguna tersebut mungkin kelihatan berbeza daripada yang sebenarnya.
Skema serangan penggodam yang serupa terhadap pengguna Tor ditemui pada tahun 2014 oleh pakar dari Universiti Karlstad di Sweden. Mereka menggambarkan 19 simpul keluar Tor bermusuhan yang saling berkaitan, 18 di antaranya dikendalikan secara langsung dari Rusia.
Fakta bahawa nod ini dihubungkan juga ditunjukkan oleh versi biasa penyemak imbas Tor untuk mereka - 0.2.2.37. Versi yang sama ditunjukkan dalam "manual operator" "Nautilus-S".
Pada bulan Julai 2019, Rusia mengemas kini rekodnya sendiri - sekitar 600 ribu pengguna penyemak imbas Tor setiap hari.
Salah satu hasil karya ini adalah menjadi "pangkalan data pengguna dan komputer yang aktif menggunakan jaringan Tor," menurut dokumen yang dibocorkan oleh para penggodam.
"Kami percaya bahawa Kremlin berusaha untuk menghilangkan nama angan-angan Tor semata-mata untuk tujuan mementingkan diri sendiri," tulis penggodam Digital Revolution kepada BBC. "Dengan pelbagai dalih, pihak berkuasa berusaha untuk membatasi kemampuan kita untuk bebas menyatakan pendapat kita."
"Nautilus" dan rangkaian sosial
Versi sebelumnya dari projek Nautilus - tanpa tanda hubung "C" setelah nama - dikhaskan untuk mengumpulkan maklumat mengenai pengguna media sosial.
Dokumen menunjukkan tempoh kerja (2009-2010) dan kosnya (18.5 juta rubel). BBC tidak tahu sama ada Saytek berjaya mencari pelanggan untuk projek ini.
Iklan untuk calon pelanggan berisi frasa berikut: "Bahkan ada pepatah di England:" Jangan hantar di Internet apa yang tidak dapat anda sampaikan kepada seorang polisi. " Kecerobohan pengguna seperti itu membuka peluang baru untuk mengumpulkan dan meringkaskan data peribadi, analisis dan penggunaan lebih lanjut mereka untuk menyelesaikan masalah khas."
Pembangun Nautilus merancang untuk mengumpulkan data dari pengguna di rangkaian sosial seperti Facebook, MySpace dan LinkedIn.
"Ganjaran" dan torrents
Sebagai bagian dari pekerjaan penelitian "Reward", yang dilakukan pada tahun 2013-2014, "Saytek" harus menyelidiki "kemungkinan mengembangkan kompleks penembusan dan penggunaan rahasia sumber-sumber jaringan peer-to-peer dan hybrid," menurut dokumen yang diretas.
Pelanggan projek tidak dinyatakan dalam dokumen. Keputusan pemerintah Rusia mengenai perintah pertahanan negara selama bertahun-tahun disebut sebagai asas kajian ini.
Sebagai peraturan, tender bukan awam dilakukan oleh tentera dan perkhidmatan khas.
Dalam rangkaian peer-to-peer, pengguna dapat menukar fail besar dengan cepat kerana mereka bertindak sebagai pelayan dan klien pada masa yang sama.
Laman web ini akan menemui kerentanan dalam protokol rangkaian BitTorrent (menggunakannya, pengguna dapat memuat turun filem, muzik, program dan fail lain melalui torrents). Pengguna RuTracker, forum berbahasa Rusia terbesar mengenai topik ini, memuat turun lebih dari 1 juta torrents setiap hari.
Juga protokol rangkaian Jabber, OpenFT dan ED2K memasuki bidang minat "Saytek". Protokol Jabber digunakan dalam utusan segera, yang popular di kalangan penggodam dan penjual perkhidmatan dan barang haram di darknet. ED2K dikenali oleh pengguna berbahasa Rusia sebagai "keldai" pada tahun 2000-an.
Mentor dan E-mel
Pelanggan untuk karya lain yang disebut "Mentor" adalah unit ketenteraan 71330 (mungkin - kecerdasan elektronik FSB Rusia). Tujuannya adalah untuk memantau e-mel mengikut pilihan pelanggan. Projek ini dirancang untuk 2013-2014, Menurut dokumentasi yang disediakan oleh penggodam, program Mentor dapat dikonfigurasi sehingga dapat memeriksa surat responden yang tepat pada waktu tertentu, atau mengumpulkan "kumpulan penjarah pintar" untuk frasa yang diberikan.
Contohnya ialah carian di pelayan mel dua syarikat Internet Rusia yang besar. Menurut contoh dari dokumentasi, peti surat pada pelayan ini adalah milik Nagonia, sebuah negara fiksyen dari detektif perisik Soviet "TASS diberi kuasa untuk menyatakan" oleh Yulian Semenov. Plot novel ini berdasarkan pengambilan pegawai KGB oleh perkhidmatan perisik AS di Nagonia.
Projek lain
Projek Nadezhda didedikasikan untuk penciptaan program yang mengumpulkan dan memvisualisasikan maklumat mengenai bagaimana segmen Internet Rusia dihubungkan dengan rangkaian global. Pelanggan untuk kerja yang dilakukan pada 2013-2014 adalah unit ketenteraan yang sama No. 71330.
Ngomong-ngomong, pada bulan November 2019, undang-undang mengenai "Internet berdaulat" akan berkuatkuasa di Rusia, tujuan yang dinyatakan adalah untuk memastikan integriti segmen Internet Rusia sekiranya berlaku pengasingan dari luar. Pengkritik undang-undang percaya bahawa ia akan memberi peluang kepada pihak berkuasa Rusia untuk mengasingkan Runet kerana alasan politik.
Pada tahun 2015, dengan perintah unit ketenteraan No. 71330, Saytek melakukan kerja penyelidikan untuk membuat "kompleks perkakasan dan perisian" yang mampu mencari dan mengumpulkan "bahan maklumat di Internet" tanpa nama, sambil menyembunyikan "minat maklumat". Projek ini diberi nama "Nyamuk".
Draf terbaru dari koleksi yang dihantar oleh penggodam bermula pada tahun 2018. Ia diperintahkan oleh Pusat Inovasi dan Pelaksanaan Ilmiah Utama JSC, tunduk kepada Perkhidmatan Cukai Persekutuan.
Program Tax-3 membolehkan anda membuang data secara manual dari orang yang berada di bawah perlindungan negara atau perlindungan negara dari sistem maklumat FTS.
Secara khusus, ia menerangkan tentang pembentukan pusat data tertutup untuk orang yang dilindungi. Ini termasuk beberapa pegawai negeri dan perbandaran, hakim, peserta dalam prosiding jenayah dan kategori warganegara yang lain.
Penggodam mendakwa mereka diilhami oleh gerakan perlawanan digital untuk menghalang penyekat utusan Telegram.
Penggodam Revolusi Digital mendakwa bahawa mereka memberikan maklumat kepada wartawan dalam bentuk yang diberikan oleh para peserta $ 0v1ru (berapa banyak dari mereka yang tidak diketahui). Kelihatannya kumpulan itu kecil. Tanpa mengira jumlahnya, kami mengalu-alukan input mereka. Kami gembira kerana ada orang yang tidak meluangkan masa lapang, yang mempertaruhkan kebebasan mereka dan menolong kami,”kata Digital Revolution.
Tidak dapat menghubungi kumpulan $ 0v1ru pada masa penyediaan bahan. FSB tidak menanggapi permintaan BBC.
Laman "Sayteka" tidak dapat diakses - baik dalam bentuk sebelumnya, atau dalam versi dengan "yoba-face". Apabila anda menghubungi syarikat tersebut, satu pesan standard disertakan di mesin penjawab, di mana anda diminta untuk menunggu jawapan setiausaha, tetapi setelah itu terdapat bunyi bip pendek.
Andrey Soshnikov, Svetlana Reiter
