Die Hacker hackten sich in den Server eines Großauftragnehmers der russischen Spezialdienste und -abteilungen und teilten dann den Journalisten Beschreibungen von Dutzenden nicht öffentlicher Internetprojekte mit: von der Dekanonymisierung der Benutzer des Tor-Browsers bis zur Untersuchung von Torrent-Schwachstellen.
Es ist möglich, dass dies das größte Datenleck über die Arbeit russischer Spezialdienste im Internet in der Geschichte ist.
Der Hack fand am 13. Juli 2019 statt. Anstelle der Hauptseite der Website der Moskauer IT-Firma "Saytek" erschien ein Bild eines Gesichts mit einem breiten Lächeln und selbstgefällig zusammengekniffenen Augen (im Internet-Slang - "Yoba-Gesicht").
Deface, dh das Ersetzen der Homepage der Website, ist eine gängige Taktik von Hackern und eine Demonstration, dass sie Zugriff auf die Daten des Opfers erhalten haben.
Ein Schnappschuss mit einem "Yoba-Gesicht" erschien auf dem Twitter-Konto 0v1ru $, das am Tag des Angriffs registriert wurde. Es erschienen auch Screenshots des Ordners "Computer", der vermutlich dem Opfer gehörte. Ein Bild zeigt die Gesamtinformationsmenge - 7,5 Terabyte. Der nächste Schnappschuss zeigt, dass die meisten dieser Daten bereits gelöscht wurden.
Die Hacker veröffentlichten auch einen Screenshot der internen Netzwerkschnittstelle des betroffenen Unternehmens. Neben den Namen der Projekte ("Arion", "Relation", "Hryvnia" und andere) standen die Namen ihrer Kuratoren - der Mitarbeiter von "Saytek".
Anscheinend haben die Hacker die Informationen teilweise kopiert, bevor sie sie vom Computer entfernt haben. Sie teilten die Dokumente mit Digital Revolution, der Gruppe, die im Dezember 2018 die Verantwortung für das Hacken des Servers des Forschungsinstituts "Kvant" übernahm. Diese Einrichtung wird vom FSB betrieben.
Die Hacker schickten Sayteks Dokumente aus mehreren Publikationen an Journalisten.
Werbevideo:
Aus dem Archiv, das der BBC Russian Service kennenlernen konnte, geht hervor, dass Saytek Arbeiten an mindestens 20 nicht öffentlichen IT-Projekten durchgeführt hat, die von den russischen Spezialdiensten und -abteilungen in Auftrag gegeben wurden. Diese Papiere enthalten keine Hinweise auf Staatsgeheimnisse oder Geheimhaltung.
Für wen arbeitet Saytek?
Das Unternehmen wird von Denis Vyacheslavovich Krayushkin geleitet. Einer der Kunden von Saytek ist das Kvant Research Institute, an dem laut Runet-ID Vyacheslav Vladilenovich Krayushkin als wissenschaftlicher Berater arbeitet. Die Krayushkins sind in der Moskauer Region Zamoskvorechye registriert.
Das BBC-Forschungsinstitut Kvant weigerte sich, die Frage zu beantworten, ob Denis und Vyacheslav Krayushkin mit der Organisation verwandt sind: "Dies sind vertrauliche Informationen, sie sind nicht bereit, sie auszusprechen."
Dem BBC-Korrespondenten wurde empfohlen, auf der Website des Instituts und auf dem Beschaffungsportal der russischen Regierung nach Informationen über gemeinsame Projekte von Saytek und dem Wissenschaftlichen Forschungsinstitut Kvant zu suchen. An den angegebenen Standorten konnten keine Verträge zwischen Saytek und dem Institut gefunden werden.
Die neuesten Finanzergebnisse wurden 2017 von Saytek veröffentlicht. Der Umsatz belief sich auf 46 Millionen Rubel, der Nettogewinn auf 1,1 Millionen Rubel.
Die Gesamtzahl der öffentlichen Aufträge des Unternehmens für 2018 beträgt 40 Millionen Rubel. Zu den Kunden zählen der nationale Betreiber der Satellitenkommunikation JSC "RT Komm.ru" und das Informations- und Analysezentrum der Justizabteilung am Obersten Gerichtshof Russlands.
tatus/1151717992583110657
Die meisten nicht öffentlichen Projekte, die Saitek im Auftrag der Militäreinheit 71330 durchgeführt hat. Experten des Internationalen Zentrums für Verteidigung und Sicherheit in Tallinn glauben, dass diese Militäreinheit Teil der 16. Direktion des FSB Russlands ist, die sich mit elektronischer Intelligenz befasst.
Im März 2015 beschuldigte die SBU das 16. und 18. FSB-Zentrum, mit Spyware gefüllte Dateien an die E-Mails des ukrainischen Militärpersonals und der Geheimdienstoffiziere gesendet zu haben.
Die Dokumente geben die Adresse eines der Standorte an, an denen die Mitarbeiter von "Saytek" arbeiteten: Moskau, Samotechnaya, 9. Zuvor war diese Adresse die 16. Abteilung des KGB der UdSSR, damals die Bundesagentur für Regierungskommunikation und Information unter dem Präsidenten der Russischen Föderation (FAPSI).
Im Jahr 2003 wurde die Agentur abgeschafft und ihre Befugnisse zwischen dem FSB und anderen Sonderdiensten aufgeteilt.
Nautilus und Tor
Das Nautilus-C-Projekt wurde erstellt, um Benutzer des Tor-Browsers zu de-anonymisieren.
Tor verteilt die Internetverbindung zufällig auf Knoten (Server) in verschiedenen Teilen der Welt, sodass seine Benutzer die Zensur umgehen und ihre Daten verbergen können. Sie können damit auch das Darknet betreten - das "versteckte Netzwerk".
Das Nautilus-S-Softwarepaket wurde 2012 von Saytecom im Auftrag des Kvant Research Institute entwickelt. Es enthält einen Tor-Exit-Knoten - einen Server, über den Anforderungen an Sites gesendet werden. Normalerweise werden solche Websites von Enthusiasten auf freiwilliger Basis unterstützt.
Aber nicht im Fall von Saytek: Wenn Programmbetreiber wissen, zu welchem Zeitpunkt ein bestimmter Benutzer Anforderungen über Tor sendet (z. B. von einem Internetanbieter), können sie diese mit etwas Glück rechtzeitig mit Besuchen von Websites über einen kontrollierten Knoten abgleichen.
Saitek plante auch, Benutzer, die einen speziell erstellten Knoten betreten, durch Datenverkehr zu ersetzen. Websites für solche Benutzer sehen möglicherweise anders aus als sie wirklich sind.
Ein ähnliches Schema von Hackerangriffen auf Tor-Benutzer wurde 2014 von Experten der Universität Karlstad in Schweden entdeckt. Sie beschrieben 19 miteinander verbundene feindliche Tor-Ausgangsknoten, von denen 18 direkt von Russland aus kontrolliert wurden.
Die Tatsache, dass diese Knoten verbunden sind, wurde auch durch die für sie übliche Version des Tor-Browsers angezeigt - 0.2.2.37. Die gleiche Version ist in der "Bedienungsanleitung" "Nautilus-S" angegeben.
Im Juli 2019 aktualisierte Russland seinen eigenen Rekord - ungefähr 600.000 Tor-Browser-Benutzer pro Tag.
Eines der Ergebnisse dieser Arbeit war eine "Datenbank von Benutzern und Computern, die das Tor-Netzwerk aktiv nutzen", wie aus den von den Hackern durchgesickerten Dokumenten hervorgeht.
"Wir glauben, dass der Kreml versucht, Tor nur für seine eigenen egoistischen Zwecke zu de-anonymisieren", schrieb Hacker Digital Revolution an die BBC. "Unter verschiedenen Vorwänden versuchen die Behörden, unsere Fähigkeit, unsere Meinung frei zu äußern, einzuschränken."
"Nautilus" und soziale Netzwerke
Eine frühere Version des Nautilus-Projekts - ohne das getrennte „C“nach dem Namen - widmete sich dem Sammeln von Informationen über Social-Media-Benutzer.
Die Dokumente geben die Arbeitszeit (2009-2010) und ihre Kosten (18,5 Millionen Rubel) an. Die BBC weiß nicht, ob es Saytek gelungen ist, einen Kunden für dieses Projekt zu finden.
Die Werbung für potenzielle Kunden enthielt den folgenden Satz: „In England gibt es sogar ein Sprichwort:„ Posten Sie nicht im Internet, was Sie einem Polizisten nicht sagen können. “Diese Nachlässigkeit der Benutzer eröffnet neue Möglichkeiten für die Erfassung und Zusammenfassung personenbezogener Daten, ihre weitere Analyse und Verwendung zur Lösung spezieller Probleme."
Die Nautilus-Entwickler planten, Daten von Benutzern in sozialen Netzwerken wie Facebook, MySpace und LinkedIn zu sammeln.
"Belohnung" und Ströme
Im Rahmen der 2013-2014 durchgeführten Forschungsarbeit "Reward" musste "Saytek" laut den gehackten Dokumenten "die Möglichkeit untersuchen, einen Komplex aus Penetration und verdeckter Nutzung der Ressourcen von Peer-to-Peer- und Hybrid-Netzwerken zu entwickeln".
Der Kunde des Projekts ist in den Dokumenten nicht angegeben. Als Grundlage für die Studie wird das Dekret der russischen Regierung über die staatliche Verteidigungsordnung für diese Jahre genannt.
Solche nicht öffentlichen Ausschreibungen werden in der Regel von der Armee und Sonderdiensten durchgeführt.
In Peer-to-Peer-Netzwerken können Benutzer schnell große Dateien austauschen, da sie sowohl als Server als auch als Client fungieren.
Die Site würde eine Sicherheitslücke im BitTorrent-Netzwerkprotokoll finden (mit dieser können Benutzer Filme, Musik, Programme und andere Dateien über Torrents herunterladen). Benutzer von RuTracker, dem größten russischsprachigen Forum zu diesem Thema, laden täglich über 1 Million Torrents herunter.
Auch die Netzwerkprotokolle Jabber, OpenFT und ED2K sind in den Interessenbereich von "Saytek" geraten. Das Jabber-Protokoll wird in Instant Messenger verwendet, die bei Hackern und Verkäufern illegaler Dienste und Waren im Darknet beliebt sind. ED2K war russischsprachigen Anwendern in den 2000er Jahren als "Esel" bekannt.
Mentor und E-Mail
Der Kunde für eine andere Arbeit namens "Mentor" war die Militäreinheit 71330 (vermutlich - elektronische Intelligenz des FSB von Russland). Ziel ist es, E-Mails nach Wahl des Kunden zu überwachen. Das Projekt wurde für 2013-2014 konzipiert, Gemäß der von den Hackern bereitgestellten Dokumentation kann das Mentor-Programm so konfiguriert werden, dass es die E-Mails der richtigen Befragten zu einem bestimmten Zeitpunkt überprüft oder eine „Smart-Loot-Gruppe“für die angegebenen Phrasen sammelt.
Ein Beispiel ist eine Suche auf den Mailservern zweier großer russischer Internetunternehmen. Nach einem Beispiel aus der Dokumentation gehören die Postfächer auf diesen Servern zu Nagonia, einem fiktiven Land des sowjetischen Spionagedetektivs "TASS ist berechtigt zu erklären" von Yulian Semenov. Die Handlung des Romans basiert auf der Rekrutierung eines KGB-Offiziers durch die US-Geheimdienste in Nagonien.
Weitere Projekte
Das Nadezhda-Projekt widmet sich der Erstellung eines Programms, das Informationen darüber sammelt und visualisiert, wie das russische Segment des Internets mit dem globalen Netzwerk verbunden ist. Der Kunde für die in den Jahren 2013 bis 2014 durchgeführten Arbeiten war dieselbe Militäreinheit Nr. 71330.
Übrigens wird im November 2019 in Russland das Gesetz über das "souveräne Internet" in Kraft treten, dessen erklärtes Ziel es ist, die Integrität des russischen Internetsegments im Falle einer Isolation von außen sicherzustellen. Gesetzeskritiker glauben, dass es den russischen Behörden die Möglichkeit geben wird, Runet aus politischen Gründen zu isolieren.
Im Jahr 2015 führte Saytek im Auftrag der Militäreinheit Nr. 71330 Forschungsarbeiten durch, um einen "Hardware- und Softwarekomplex" zu schaffen, der anonym "Informationsmaterial im Internet" suchen und sammeln und dabei "Informationsinteresse" verbergen kann. Das Projekt wurde "Mosquito" genannt.
Der jüngste Entwurf aus der Sammlung, der von Hackern verschickt wurde, stammt aus dem Jahr 2018. Es wurde vom Hauptzentrum für wissenschaftliche Innovation und Umsetzung JSC, das dem Bundessteuerdienst unterstellt ist, bestellt.
Mit dem Tax-3-Programm können Sie Daten von Personen, die unter staatlichem Schutz oder staatlichem Schutz stehen, manuell aus dem FTS-Informationssystem entfernen.
Insbesondere wird die Schaffung eines geschlossenen Rechenzentrums für geschützte Personen beschrieben. Dazu gehören einige Staats- und Gemeindebeamte, Richter, Teilnehmer an Strafverfahren und andere Kategorien von Bürgern.
Die Hacker behaupten, sie seien von der digitalen Widerstandsbewegung gegen die Blockierung des Telegrammboten inspiriert worden.
Hacker von Digital Revolution behaupten, sie hätten Journalisten Informationen in der Form gegeben, in der sie von den Teilnehmern von 0v1ru $ bereitgestellt wurden (wie viele von ihnen sind unbekannt). „Es sieht so aus, als wäre die Gruppe klein. Unabhängig von ihrer Anzahl freuen wir uns über ihre Beiträge. Wir sind froh, dass es Menschen gibt, die ihre Freizeit nicht verschonen, die ihre Freiheit riskieren und uns helfen “, so Digital Revolution.
Zum Zeitpunkt der Materialvorbereitung war es nicht möglich, die 0v1ru $ -Gruppe zu kontaktieren. Der FSB antwortete nicht auf die Anfrage der BBC.
Die Seite von "Sayteka" ist nicht zugänglich - weder in der vorherigen Form noch in der Version mit "yoba-face". Wenn Sie das Unternehmen anrufen, wird auf dem Anrufbeantworter eine Standardnachricht angezeigt, in der Sie aufgefordert werden, auf die Antwort der Sekretärin zu warten. Danach ertönen kurze Pieptöne.
Andrey Soshnikov, Svetlana Reiter
