Les pirates ont piraté le serveur d'un grand sous-traitant des services et départements spéciaux russes, puis ont partagé avec des journalistes des descriptions de dizaines de projets Internet non publics: de la désanonymisation des utilisateurs du navigateur Tor à l'enquête sur les vulnérabilités des torrent.
Il est possible que ce soit la plus grande fuite de données sur le travail des services spéciaux russes sur Internet dans l'histoire.
Le hack a eu lieu le 13 juillet 2019. Au lieu de la page principale du site de la société informatique moscovite "Saytek", une image d'un visage avec un large sourire et des yeux béatement plissés est apparue (en argot Internet - "yoba-face").
La déformation, c'est-à-dire le remplacement de la page d'accueil du site, est une tactique courante des pirates informatiques et une démonstration qu'ils ont réussi à accéder aux données de la victime.
Un instantané avec un "yoba-face" est apparu sur le compte Twitter 0v1ru $, enregistré le jour de l'attaque. Des captures d'écran du dossier «Ordinateur» sont également apparues, appartenant vraisemblablement à la victime. Une image montre la quantité totale d'informations - 7,5 téraoctets. Le prochain instantané montre que la plupart de ces données ont déjà été supprimées.
Les pirates ont également publié une capture d'écran de l'interface réseau interne de l'entreprise concernée. À côté des noms des projets ("Arion", "Relation", "Hryvnia" et autres) se trouvaient les noms de leurs conservateurs - les employés de "Saytek"
Apparemment, avant de supprimer des informations de l'ordinateur, les pirates les ont partiellement copiées. Ils ont partagé les documents avec Digital Revolution, le groupe qui a pris en charge en décembre 2018 le piratage du serveur de l'Institut de recherche «Kvant». Cette institution est dirigée par le FSB.
Les pirates ont envoyé les documents de Saytek aux journalistes de plusieurs publications.
Vidéo promotionelle:
D'après les archives, dont le service russe de la BBC a pu prendre connaissance, il ressort que Saytek a réalisé des travaux sur au moins 20 projets informatiques non publics commandés par les services et départements spéciaux russes. Ces documents ne contiennent pas de notes sur les secrets d'État ou le secret.
Pour qui travaille Saytek?
La société est dirigée par Denis Vyacheslavovich Krayushkin. L'un des clients de Saytek est l'Institut de recherche Kvant, où, selon Runet-ID, Vyacheslav Vladilenovich Krayushkin travaille comme consultant scientifique. Les Krayushkins sont enregistrés dans la région de Moscou de Zamoskvorechye.
Le BBC Research Institute Kvant a refusé de répondre à la question de savoir si Denis et Vyacheslav Krayushkin sont liés à l'organisation: «Ce sont des informations confidentielles, ils ne sont pas prêts à les exprimer.
Le correspondant de la BBC a été invité à consulter le site Web de l'Institut et le portail des marchés publics de la Russie pour obtenir des informations sur les projets conjoints entre Saytek et l'Institut de recherche de Kvant. Il n'a pas été possible de trouver des contrats entre Saytek et l'Institut sur les sites indiqués.
Les derniers résultats financiers ont été publiés par Saytek en 2017. Ses revenus s'élevaient à 46 millions de roubles, le bénéfice net - 1,1 million de roubles.
Le montant total des marchés publics de l'entreprise pour 2018 est de 40 millions de roubles. Parmi les clients figurent l'opérateur national de communications par satellite RT Komm.ru JSC et le centre d'information et d'analyse du département judiciaire de la Cour suprême de Russie.
tatus/1151717992583110657
La plupart des projets non publics Saitek réalisés par ordre de l'unité militaire n ° 71330. Les experts du Centre international de défense et de sécurité de Tallinn estiment que cette unité militaire fait partie de la 16e direction du FSB de Russie, qui est engagée dans le renseignement électronique.
En mars 2015, le SBU a accusé les 16e et 18e centres du FSB d'avoir envoyé des fichiers remplis de logiciels espions aux e-mails du personnel militaire et des officiers du renseignement ukrainiens.
Les documents indiquent l'adresse de l'un des sites où travaillaient les employés de "Saytek": Moscou, Samotechnaya, 9. Auparavant, cette adresse était le 16e département du KGB de l'URSS, puis - l'Agence fédérale pour la communication et l'information du gouvernement sous la présidence de la Fédération de Russie (FAPSI).
En 2003, l'agence a été abolie et ses pouvoirs ont été répartis entre le FSB et d'autres services spéciaux.
Nautilus et Tor
Le projet Nautilus-C a été créé pour désanonymiser les utilisateurs du navigateur Tor.
Tor distribue la connexion Internet au hasard à des nœuds (serveurs) dans différentes parties du monde, permettant à ses utilisateurs de contourner la censure et de cacher leurs données. Il vous permet également d'entrer dans le darknet - le "réseau caché".
Le progiciel Nautilus-S a été développé par Saytecom en 2012 sur ordre du Kvant Research Institute. Il comprend un nœud de sortie Tor - un serveur par lequel les demandes aux sites sont envoyées. Habituellement, ces sites sont soutenus par des passionnés sur une base volontaire.
Mais pas dans le cas de Saytek: sachant à quel moment un utilisateur particulier envoie des demandes via Tor (par exemple, d'un fournisseur Internet), les opérateurs de programme pourraient, avec un peu de chance, les corréler dans le temps avec des visites de sites via un nœud contrôlé.
Saitek a également prévu de substituer le trafic aux utilisateurs qui sont entrés dans un nœud spécialement créé. Les sites destinés à ces utilisateurs peuvent sembler différents de ce qu'ils sont réellement.
Un schéma similaire d'attaques de pirates contre les utilisateurs de Tor a été découvert en 2014 par des experts de l'Université de Karlstad en Suède. Ils ont décrit 19 nœuds de sortie de Tor hostiles interconnectés, dont 18 étaient contrôlés directement depuis la Russie.
Le fait que ces nœuds soient connectés a également été indiqué par la version commune du navigateur Tor pour eux - 0.2.2.37. La même version est indiquée dans le «manuel d'utilisation» «Nautilus-S».
En juillet 2019, la Russie a mis à jour son propre record - environ 600000 utilisateurs de navigateur Tor par jour.
L'un des résultats de ce travail était d'être une "base de données d'utilisateurs et d'ordinateurs utilisant activement le réseau Tor", selon les documents divulgués par les pirates.
«Nous pensons que le Kremlin essaie de désanonymiser Tor uniquement pour ses propres fins égoïstes», ont écrit les hackers Digital Revolution à la BBC. «Sous divers prétextes, les autorités tentent de limiter notre capacité à exprimer librement notre opinion.»
"Nautilus" et les réseaux sociaux
Une version antérieure du projet Nautilus - sans le «C» après le nom - était consacrée à la collecte d'informations sur les utilisateurs des médias sociaux.
Les documents indiquent la période de travail (2009-2010) et leur coût (18,5 millions de roubles). La BBC ne sait pas si Saytek a réussi à trouver un client pour ce projet.
La publicité destinée aux clients potentiels contenait la phrase suivante: «Il y a même un dicton en Angleterre:« Ne publiez pas sur Internet ce que vous ne pouvez pas dire à un policier. » Une telle insouciance des utilisateurs ouvre de nouvelles opportunités pour la collecte et la synthèse des données personnelles, leur analyse plus approfondie et leur utilisation pour résoudre des problèmes particuliers."
Les développeurs de Nautilus prévoyaient de collecter des données auprès des utilisateurs de réseaux sociaux tels que Facebook, MySpace et LinkedIn.
"Récompense" et torrents
Dans le cadre du travail de recherche "Reward", qui a été réalisé en 2013-2014, "Saytek" a dû enquêter sur "la possibilité de développer un complexe de pénétration et d'utilisation secrète des ressources des réseaux peer-to-peer et hybrides", selon les documents piratés.
Le client du projet n'est pas spécifié dans les documents. Le décret du gouvernement russe sur l'ordre de défense de l'État pour ces années est mentionné comme base de l'étude.
En règle générale, ces appels d'offres non publics sont exécutés par l'armée et les services spéciaux.
Dans les réseaux peer-to-peer, les utilisateurs peuvent échanger rapidement des fichiers volumineux car ils fonctionnent à la fois comme serveur et comme client.
Le site allait trouver une vulnérabilité dans le protocole réseau BitTorrent (en l'utilisant, les utilisateurs peuvent télécharger des films, de la musique, des programmes et d'autres fichiers via des torrents). Les utilisateurs de RuTracker, le plus grand forum de langue russe sur ce sujet, téléchargent plus d'un million de torrents chaque jour.
Les protocoles réseau Jabber, OpenFT et ED2K sont également entrés dans la sphère des intérêts de "Saytek". Le protocole Jabber est utilisé dans les messageries instantanées, populaire parmi les pirates et les vendeurs de services et de produits illégaux sur le darknet. ED2K était connu des utilisateurs russophones comme un «âne» dans les années 2000.
Mentor et courriel
Le client pour un autre travail appelé "Mentor" était l'unité militaire 71330 (vraisemblablement - le renseignement électronique du FSB de Russie). L'objectif est de surveiller les e-mails au choix du client. Le projet a été conçu pour 2013-2014, Selon la documentation fournie par les hackers, le programme Mentor peut être configuré pour vérifier le courrier des bons répondants dans une période de temps donnée, ou collecter un "groupe de butin intelligent" selon des phrases spécifiées.
Un exemple est une recherche sur les serveurs de messagerie de deux grandes sociétés Internet russes. Selon un exemple tiré de la documentation, les boîtes aux lettres de ces serveurs appartiennent à Nagonia, un pays fictif du détective d'espionnage soviétique «TASS est autorisé à déclarer» par Yulian Semenov. L'intrigue du roman est basée sur le recrutement d'un officier du KGB par les services de renseignement américains en Nagonie.
Autres projets
Le projet Nadezhda est dédié à la création d'un programme qui accumule et visualise des informations sur la manière dont le segment russe d'Internet est connecté au réseau mondial. Le client pour les travaux réalisés en 2013-2014 était la même unité militaire n ° 71330.
D'ailleurs, en novembre 2019, la loi sur «Internet souverain» entrera en vigueur en Russie, dont l'objectif affiché est de garantir l'intégrité du segment russe de l'Internet en cas d'isolement de l'extérieur. Les détracteurs de la loi estiment qu'elle donnera aux autorités russes la possibilité d'isoler Runet pour des raisons politiques.
En 2015, par ordre de l'unité militaire n ° 71330, Saytek a mené des travaux de recherche pour créer un «complexe matériel et logiciel» capable de rechercher et de collecter de manière anonyme «des informations sur Internet», tout en cachant «l'intérêt informationnel». Le projet a été nommé "Mosquito".
Le dernier brouillon de la collection envoyé par les pirates remonte à 2018. Il a été commandé par le Centre principal d'innovation scientifique et de mise en œuvre JSC, subordonné au Service fédéral des impôts.
Le programme Tax-3 vous permet de supprimer manuellement les données des personnes sous protection de l'État ou protection de l'État du système d'information FTS.
En particulier, il décrit la création d'un centre de données fermé pour les personnes sous protection. Il s'agit notamment de certains fonctionnaires des États et des municipalités, des juges, des participants aux procédures pénales et d'autres catégories de citoyens.
Les hackers affirment qu'ils ont été inspirés par le mouvement de résistance numérique contre le blocage du messager Telegram.
Les hackers de la révolution numérique affirment avoir donné aux journalistes des informations sous la forme dans laquelle elles ont été fournies par les participants de 0v1ru $ (combien d'entre eux sont inconnus). «On dirait que le groupe est petit. Quel que soit leur nombre, nous apprécions leur contribution. Nous sommes heureux qu'il y ait des gens qui n'épargnent pas leur temps libre, qui risquent leur liberté et nous aident », a noté Digital Revolution.
Il n'a pas été possible de contacter le groupe 0v1ru $ au moment de la préparation du matériel. Le FSB n'a pas répondu à la demande de la BBC.
Le site de "Sayteka" est inaccessible - ni dans la forme précédente, ni dans la version avec "yoba-face". Lorsque vous appelez l'entreprise, un message standard est inclus sur le répondeur, dans lequel vous êtes invité à attendre la réponse de la secrétaire, mais après cela, il y a de courts bips.
Andrey Soshnikov, Svetlana Reiter
