Häkkerid tungisid Venemaa eriteenistuste ja osakondade peatöövõtja serverisse ning jagasid seejärel ajakirjanikele kümnete mitteavalike Interneti-projektide kirjeldusi: Tor-brauseri kasutajate deanonüümimisest torrent-haavatavuste uurimiseni.
Võimalik, et see on ajaloo suurim andmeleke Venemaa eriteenistuste töö kohta Internetis.
Häkkimine toimus 13. juulil 2019. Moskva IT-ettevõtte Saytek saidi avalehe asemel ilmus laia naeratuse ja õrnalt siristavate silmadega nägu (Interneti slängis - "yoba-face").
Deface, see tähendab saidi avalehe asendamine, on häkkerite tavaline taktika ja tõestus, et neil õnnestus pääseda ligi ohvri andmetele.
Rünnaku päeval registreeritud Twitteri kontole 0v1ru $ ilmus hetkega pilt "yoba-face". Samuti ilmusid ekraanipildid kaustast "Arvuti", mis arvatavasti kuulusid ohvrile. Ühel pildil on kogu teabe maht - 7,5 terabaiti. Järgmine ülevaade näitab, et suurem osa neist andmetest on juba kustutatud.
Häkkerid postitasid ka ekraanipildi mõjutatud ettevõtte sisevõrgu liidesest. Projektide nimede ("Arion", "Suhe", "Grivna" jt) kõrval olid nende kuraatorite - "Sayteki" töötajate nimed.
Ilmselt enne hävitamist arvutist kopeerisid häkkerid selle osaliselt. Nad jagasid dokumente rühmale Digital Revolution, kes võttis 2018. aasta detsembris vastutuse uurimisinstituudi "Kvant" serveri häkkimise eest. Seda asutust juhib FSB.
Häkkerid saatsid Sayteki dokumendid mitme väljaande ajakirjanikele.
Reklaamvideo:
Arhiivist, millega BBC Vene talitus sai tutvuda, järeldub, et Saytek viis läbi vähemalt 20 Venemaa eriteenistuste ja osakondade tellitud mitteavaliku IT-projekti tööd. Need paberid ei sisalda märkusi riigisaladuse ega salastatuse kohta.
Kelle heaks Saytek töötab?
Ettevõtet juhib Denis Vjatšeslavovitš Krajuškin. Sayteki üks kliente on Kvanti teadusinstituut, kus Runet-ID andmetel töötab Vjatšeslav Vladilenovitš Krajaškin teaduskonsultandina. Krausauskid on registreeritud Moskva oblastis Zamoskvorechjes.
BBC teadusinstituut Kvant keeldus vastamast küsimusele, kas Denis ja Vjatšeslav Krajuškin on organisatsiooniga seotud: "See on konfidentsiaalne teave, nad pole valmis seda välja ütlema."
BBC korrespondendil soovitati uurida instituudi veebisaidil ja Venemaa riigihangete portaalis teavet Sayteki ja Teadusuuringute Instituudi Kanti ühisprojektide kohta. Sayteki ja instituudi vahel ei olnud nimetatud saitidel võimalik lepinguid leida.
Viimased majandustulemused avaldas Saytek 2017. aastal. Selle müügitulu oli 46 miljonit rubla, puhaskasum - 1,1 miljonit rubla.
Ettevõtte 2018. aasta riigihankelepingute kogusumma on 40 miljonit rubla. Klientide hulgas on satelliitside riiklik operaator JSC "RT Komm.ru" ning Venemaa Ülemkohtu kohtute osakonna teabe- ja analüüsikeskus.
tatus/1151717992583110657
Enamik Saiteki mitteavalikke projekte, mis viidi läbi väeosa nr 71330 korraldusel. Tallinna Rahvusvahelise Kaitse- ja Julgeolekukeskuse eksperdid usuvad, et see sõjaväeüksus kuulub Venemaa FSB 16. direktoraati, mis tegeleb elektroonilise luurega.
SBU süüdistas 2015. aasta märtsis FSB 16. ja 18. keskust nuhkvaraga failide saatmises Ukraina sõjaväelaste ja luureohvitseride e-kirjadele.
Dokumentides on märgitud ühe saidi, kus töötasid "Sayteki" töötajad, aadress: Moskva, Samotechnaya, 9. Varem oli see aadress NSVL KGB 16. osakond, seejärel - Vene Föderatsiooni presidendi alluvuses asuv valitsuse kommunikatsiooni ja teabe föderaalne agentuur (FAPSI).
2003. aastal see amet likvideeriti ja selle volitused jagati FSB ja muude eriteenistuste vahel.
Nautilus ja Tor
Nautilus-C projekt loodi Tor-brauseri kasutajate anonüümseks muutmiseks.
Tor jaotab Interneti-ühenduse juhuslikult sõlmedesse (serveritesse) erinevates maailma osades, võimaldades selle kasutajatel tsensuurist mööda minna ja oma andmeid varjata. See võimaldab teil sisestada ka darkneti - "varjatud võrgu".
Nautilus-S tarkvarapaketi töötas välja Saytecom 2012. aastal Kvanti teadusinstituudi tellimusel. See sisaldab Tor-väljumissõlme - serverit, mille kaudu saitidele taotlusi saadetakse. Tavaliselt toetavad entusiastid selliseid saite vabatahtlikult.
Kuid mitte Sayteki puhul: teades, millisel hetkel konkreetne kasutaja Tori kaudu päringuid saadab (näiteks Interneti-pakkujalt), võiksid programmioperaatorid mõne õnnega sobitada need õigel ajal kontrollitud sõlme kaudu saitide külastustega.
Samuti plaanis Saitek liikluse asendada kasutajatel, kes sisenesid spetsiaalselt loodud sõlme. Selliste kasutajate saidid võivad tunduda teistsugused kui nad tegelikult on.
Sarnase skeemi häkkerirünnakutest Tor-kasutajate vastu avastasid 2014. aastal Rootsi Karlstadi ülikooli eksperdid. Nad kirjeldasid 19 omavahel ühendatud vaenulikku Tori väljumissõlme, millest 18 kontrolliti otse Venemaalt.
Seda, et need sõlmed on ühendatud, näitas ka nende jaoks mõeldud Tor-brauseri ühine versioon - 0.2.2.37. Sama versioon on märgitud kasutusjuhendis "Nautilus-S".
2019. aasta juulis värskendas Venemaa oma rekordit - umbes 600 tuhat Tor-brauseri kasutajat päevas.
Selle töö üheks tulemuseks pidi olema häkkerite poolt lekitatud dokumentide kohaselt "Tor-võrku aktiivselt kasutavate kasutajate ja arvutite andmebaas".
"Me usume, et Kreml üritab Torit anonüümseks muuta ainult oma isekastel eesmärkidel," kirjutasid häkkerid Digital Revolution BBC-le. "Erinevatel ettekäändel üritavad võimud piirata meie võimalust oma arvamust vabalt avaldada."
"Nautilus" ja sotsiaalsed võrgustikud
Nautiluse projekti varasem versioon - ilma nime järel sidekriipsuta - oli pühendatud sotsiaalmeedia kasutajate kohta teabe kogumisele.
Dokumendid näitavad tööperioodi (2009-2010) ja nende maksumust (18,5 miljonit rubla). BBC ei tea, kas Saytekil õnnestus sellele projektile klient leida.
Potentsiaalsetele klientidele suunatud reklaam sisaldas järgmist fraasi: “Inglismaal on isegi ütlus:“Ärge postitage Internetti seda, mida te ei saa politseinikule öelda.” Selline kasutajate hoolimatus avab uusi võimalusi isikuandmete kogumiseks ja kokkuvõtmiseks, nende edasiseks analüüsimiseks ja kasutamiseks eriprobleemide lahendamisel."
Nautiluse arendajad plaanisid koguda andmeid kasutajatelt sellistes sotsiaalvõrgustikes nagu Facebook, MySpace ja LinkedIn.
"Preemia" ja torrentsid
Aastatel 2013-2014 läbi viidud uurimistöö "Premeerimine" raames pidi "Saytek" häkkinud dokumentide kohaselt uurima "võimaluste arendamist vastastikuste võrkude ja hübriidvõrkude ressursside hõlvamise ja varjatud kasutamise jaoks".
Projekti tellijat dokumentides ei täpsustata. Uuringu aluseks on nimetatud Venemaa valitsuse määrus nende aastate riigikaitselise korra kohta.
Reeglina korraldavad selliseid mitteavalikke hankeid armee ja eriteenistused.
Peer-to-peer-võrkudes saavad kasutajad kiiresti suuri faile vahetada, kuna nad toimivad samal ajal nii serveri kui ka kliendina.
Sait otsis BitTorrenti võrguprotokollis turvaauku (seda kasutades saavad kasutajad torrentite kaudu alla laadida filme, muusikat, programme ja muid faile). Selle teema suurima venekeelse foorumi RuTracker kasutajad laadivad iga päev alla miljoni torrenti.
"Sayteki" huvisfääri sattusid ka võrguprotokollid Jabber, OpenFT ja ED2K. Jabberi protokolli kasutatakse kiirsõnumite saatjate seas, see on häkkerite ja ebaseaduslike teenuste ja kaupade müüjate seas populaarne darknetis. ED2K oli venekeelsetele kasutajatele tuntud kui eesel 2000. aastal.
Mentor ja e-post
Teise "Mentori" töö tellijaks oli sõjaväeosa 71330 (arvatavasti - Venemaa FSB elektrooniline luure). Eesmärk on jälgida e-posti kliendi valikul. Projekt oli mõeldud aastateks 2013-2014, Häkkerite esitatud dokumentide kohaselt saab Mentori programmi konfigureerida nii, et see kontrollib õigel ajal õigete vastajate postitusi või kogub antud fraaside jaoks nutika rüüstamisrühma.
Näitena võib tuua otsingu kahe suure Venemaa Interneti-ettevõtte postiserverites. Dokumentatsiooni näite kohaselt kuuluvad nende serverite postkastid Nagoniale, Nõukogude spioonidetektiivi "TASS on volitatud deklareerima" väljamõeldud riigile Yulian Semenovile. Romaani süžee põhineb USA luureteenistuste Nagonias KGB ohvitseri värbamisel.
Muud projektid
Nadezhda projekt on pühendatud programmi loomisele, mis kogub ja visualiseerib teavet selle kohta, kuidas Venemaa Interneti-segment on ühendatud globaalse võrguga. Aastatel 2013-2014 tehtud töö tellija oli sama sõjaväeosa nr 71330.
Muide, 2019. aasta novembris jõustub Venemaal "suveräänse Interneti" seadus, mille väljakuulutatud eesmärk on tagada Venemaa Interneti-segmendi terviklikkus välisest eraldatuse korral. Seaduse kriitikud usuvad, et see annab Venemaa võimudele võimaluse eraldada Runeti poliitilistel põhjustel.
Aastal 2015 viis Saytek väeosa nr 71330 korraldusega läbi uurimistöö "riist- ja tarkvarakompleksi" loomiseks, mis oleks võimeline anonüümselt otsima ja koguma "infomaterjale Internetis", varjates samal ajal "teabehuvi". Projekti nimi oli "Mosquito".
Häkkerite välja saadetud kollektsiooni värskeim mustand pärineb 2018. aastast. Selle tellis föderaalsele maksuteenistusele alluv teaduslik innovatsiooni- ja rakenduskeskus JSC.
Programm Tax-3 võimaldab teil käsitsi eemaldada riikliku kaitse või riikliku kaitse all olevate isikute andmed FTS-i infosüsteemist.
Eelkõige kirjeldab see suletud andmekeskuse loomist kaitse all olevatele isikutele. Nende hulka kuuluvad mõned riigi- ja vallaametnikud, kohtunikud, kriminaalmenetluses osalejad ja muud kategooria kodanikud.
Häkkerid väidavad, et neid inspireeris digitaalne vastupanuliikumine Telegrami messengeri blokeerimise vastu.
Digitaalse revolutsiooni häkkerid väidavad, et nad andsid ajakirjanikele teavet sellisel kujul, nagu 0v1ru $ osalejad selle pakkusid (kui paljud neist on teadmata). “Paistab, et grupp on väike. Sõltumata nende arvust, tervitame nende panust. Meil on hea meel, et leidub inimesi, kes ei säästa oma vaba aega, kes riskivad oma vabadusega ja aitavad meid, “märkis Digital Revolution.
Materjali ettevalmistamise ajal ei olnud grupiga 0v1ru $ võimalik ühendust võtta. FSB ei vastanud BBC taotlusele.
Sayteka sait on ligipääsmatu - ei eelneval kujul ega ka versioonis, millel on "yoba-face" Ettevõttele helistades lisatakse automaatvastajasse standardsõnum, milles palutakse oodata sekretäri vastust, kuid pärast seda kostub lühike piiks.
Andrei Soshnikov, Svetlana Reiter
