Los piratas informáticos piratearon el servidor de un importante contratista de los departamentos y servicios especiales rusos, y luego compartieron con los periodistas descripciones de docenas de proyectos de Internet no públicos: desde desanonimizar a los usuarios del navegador Tor hasta investigar vulnerabilidades de torrents.
Es posible que esta sea la mayor filtración de datos sobre el trabajo de los servicios especiales rusos en Internet en la historia.
El hackeo tuvo lugar el 13 de julio de 2019. En lugar de la página principal del sitio de la empresa de TI de Moscú "Saytek", apareció una imagen de un rostro con una amplia sonrisa y ojos entrecerrados con aire de suficiencia (en la jerga de Internet - "yoba-face").
Deface, es decir, reemplazar la página de inicio del sitio, es una táctica común de los piratas informáticos y una demostración de que lograron obtener acceso a los datos de la víctima.
norte
Una instantánea con una "cara de yoba" apareció en la cuenta de Twitter 0v1ru $, registrada el día del ataque. También aparecieron capturas de pantalla de la carpeta "Computadora", presuntamente perteneciente a la víctima. Una imagen muestra la cantidad total de información: 7,5 terabytes. La siguiente instantánea muestra que la mayoría de estos datos ya se han eliminado.
Los piratas informáticos también publicaron una captura de pantalla de la interfaz de red interna de la empresa afectada. Junto a los nombres de los proyectos ("Arion", "Relation", "Hryvnia" y otros) estaban los nombres de sus curadores, los empleados de "Saytek".
Al parecer, antes de eliminar información de la computadora, los piratas informáticos la copiaron parcialmente. Compartieron los documentos con Digital Revolution, el grupo que en diciembre de 2018 se responsabilizó de hackear el servidor del Instituto de Investigación "Kvant". Esta institución está dirigida por el FSB.
Los piratas informáticos enviaron los documentos de Saytek a periodistas de varias publicaciones.
Video promocional:
Del archivo, con el que pudo familiarizarse el Servicio Ruso de la BBC, se deduce que Saytek realizó trabajos en al menos 20 proyectos de TI no públicos encargados por los servicios y departamentos especiales rusos. Estos documentos no contienen notas sobre secretos de estado o secreto.
¿Para quién trabaja Saytek?
La empresa está dirigida por Denis Vyacheslavovich Krayushkin. Uno de los clientes de Saytek es el instituto de investigación Kvant, donde, según Runet-ID, Vyacheslav Vladilenovich Krayushkin trabaja como consultor científico. Los Krayushkins están registrados en la región moscovita de Zamoskvorechye.
El Instituto de Investigación de la BBC Kvant se negó a responder a la pregunta de si Denis y Vyacheslav Krayushkin están relacionados con la organización: "Esta es información confidencial, no están listos para expresarla".
Se recomendó al corresponsal de la BBC que consultara el sitio web del Instituto y el portal de adquisiciones del gobierno ruso para obtener información sobre proyectos conjuntos entre Saytek y el Instituto de Investigación Kvant. No fue posible encontrar contratos entre Saytek y el Instituto en los sitios indicados.
Los últimos resultados financieros fueron publicados por Saytek en 2017. Sus ingresos ascendieron a 46 millones de rublos, beneficio neto: 1,1 millones de rublos.
La cantidad total de contratos públicos de la empresa para 2018 es de 40 millones de rublos. Entre los clientes se encuentran el operador nacional de comunicaciones por satélite JSC "RT Komm.ru" y el centro de información y análisis del departamento judicial de la Corte Suprema de Rusia.
tatus/1151717992583110657
La mayoría de los proyectos privados que Saitek llevó a cabo por orden de la unidad militar 71330. Expertos del Centro Internacional de Defensa y Seguridad de Tallin creen que esta unidad militar forma parte de la 16ª Dirección del FSB de Rusia, que se ocupa de la inteligencia electrónica.
En marzo de 2015, la SBU acusó a los centros 16 y 18 del FSB de enviar archivos llenos de software espía a los correos electrónicos del personal militar y los oficiales de inteligencia ucranianos.
Los documentos contienen la dirección de uno de los sitios donde trabajaban los empleados de "Saytek": Moscú, Samotechnaya, 9. Anteriormente, esta dirección era el departamento 16 de la KGB de la URSS, luego la Agencia Federal de Comunicaciones e Información del Gobierno bajo el presidente de la Federación de Rusia (FAPSI).
En 2003, la agencia fue abolida y sus poderes se dividieron entre el FSB y otros servicios especiales.
Nautilus y Tor
El proyecto Nautilus-C se creó para anonimizar a los usuarios del navegador Tor.
Tor distribuye la conexión a Internet de forma aleatoria a nodos (servidores) en diferentes partes del mundo, lo que permite a sus usuarios eludir la censura y ocultar sus datos. También le permite ingresar a la darknet, la "red oculta".
El paquete de software Nautilus-S fue desarrollado por Saytecom en 2012 por orden del Instituto de Investigación Kvant. Incluye un nodo de salida Tor, un servidor a través del cual se envían las solicitudes a los sitios. Por lo general, estos sitios cuentan con el apoyo de entusiastas de forma voluntaria.
Pero no en el caso de Saytek: sabiendo en qué momento un usuario en particular envía solicitudes a través de Tor (por ejemplo, de un proveedor de Internet), los operadores del programa podrían, con algo de suerte, correlacionarlas en el tiempo con visitas a sitios a través de un nodo controlado.
Saitek también planeó sustituir el tráfico por los usuarios que ingresaron a un nodo creado especialmente. Los sitios para estos usuarios pueden verse diferentes de lo que realmente son.
Un esquema similar de ataques de piratas informáticos contra usuarios de Tor fue descubierto en 2014 por expertos de la Universidad de Karlstad en Suecia. Describieron 19 nodos de salida Tor hostiles interconectados, 18 de los cuales estaban controlados directamente desde Rusia.
El hecho de que estos nodos estén conectados también fue indicado por la versión común del navegador Tor para ellos: 0.2.2.37. La misma versión se indica en el "manual del operador" "Nautilus-S".
En julio de 2019, Rusia actualizó su propio registro: alrededor de 600 mil usuarios de navegadores Tor por día.
Uno de los resultados de este trabajo fue ser una "base de datos de usuarios y computadoras que utilizan activamente la red Tor", según los documentos filtrados por los piratas informáticos.
norte
"Creemos que el Kremlin está tratando de quitar el anonimato de Tor simplemente para sus propios fines egoístas", escribió Digital Revolution a la BBC. “Bajo diversos pretextos, las autoridades están tratando de limitar nuestra capacidad de expresar libremente nuestra opinión”.
"Nautilus" y redes sociales
Una versión anterior del proyecto Nautilus, sin la “C” con guión después del nombre, se dedicó a recopilar información sobre los usuarios de las redes sociales.
Los documentos indican el período de trabajo (2009-2010) y su costo (18,5 millones de rublos). La BBC no sabe si Saytek logró encontrar un cliente para este proyecto.
El anuncio para clientes potenciales contenía la siguiente frase: "Incluso hay un dicho en Inglaterra:" No publiques en Internet lo que no puedes decirle a un policía ". Este descuido de los usuarios abre nuevas oportunidades para recopilar y resumir datos personales, su posterior análisis y uso para resolver problemas especiales ".
Los desarrolladores de Nautilus planearon recopilar datos de usuarios en redes sociales como Facebook, MySpace y LinkedIn.
"Recompensa" y torrents
Como parte del trabajo de investigación "Recompensa", que se llevó a cabo en 2013-2014, "Saytek" tuvo que investigar "la posibilidad de desarrollar un complejo de penetración y uso encubierto de los recursos de las redes peer-to-peer e híbridas", según los documentos pirateados.
El cliente del proyecto no se especifica en los documentos. El decreto del gobierno ruso sobre la orden de defensa del estado para estos años se menciona como la base del estudio.
Como regla general, el ejército y los servicios especiales realizan estas licitaciones no públicas.
En las redes peer-to-peer, los usuarios pueden intercambiar rápidamente archivos grandes porque actúan como un servidor y un cliente al mismo tiempo.
El sitio iba a encontrar una vulnerabilidad en el protocolo de red BitTorrent (al usarlo, los usuarios pueden descargar películas, música, programas y otros archivos a través de torrents). Los usuarios de RuTracker, el foro en ruso más grande sobre este tema, descargan más de 1 millón de torrents todos los días.
También los protocolos de red Jabber, OpenFT y ED2K entraron en la esfera de intereses de "Saytek". El protocolo Jabber se utiliza en mensajería instantánea, popular entre los piratas informáticos y los vendedores de bienes y servicios ilegales en la red oscura. ED2K era conocido por los usuarios de habla rusa como un "burro" en la década de 2000.
Mentor y correo electrónico
El cliente de otro trabajo llamado "Mentor" fue la unidad militar 71330 (presumiblemente, inteligencia electrónica del FSB de Rusia). El objetivo es monitorear el correo electrónico a elección del cliente. El proyecto fue diseñado para 2013-2014, Según la documentación proporcionada por los piratas informáticos, el programa Mentor se puede configurar para que verifique el correo de los encuestados correctos en un período de tiempo determinado, o recopile un "grupo de botín inteligente" de acuerdo con frases específicas.
Un ejemplo es una búsqueda en los servidores de correo de dos grandes empresas de Internet rusas. Según un ejemplo de la documentación, los buzones de estos servidores pertenecen a Nagonia, un país ficticio del detective de espías soviético "TASS está autorizado a declarar" por Yulian Semenov. La trama de la novela se basa en el reclutamiento de un oficial de la KGB por parte de los servicios de inteligencia estadounidenses en Nagonia.
Otros proyectos
El proyecto Nadezhda está dedicado a la creación de un programa que acumula y visualiza información sobre cómo el segmento ruso de Internet está conectado con la red global. El cliente de los trabajos realizados en 2013-2014 fue la misma unidad militar No. 71330.
Por cierto, en noviembre de 2019, la ley sobre "Internet soberano" entrará en vigor en Rusia, cuyo objetivo declarado es garantizar la integridad del segmento ruso de Internet en caso de aislamiento del exterior. Los críticos de la ley creen que dará a las autoridades rusas la oportunidad de aislar a Runet por razones políticas.
En 2015, por orden de la unidad militar No. 71330, Saytek llevó a cabo un trabajo de investigación para crear un "complejo de hardware y software" capaz de buscar y recopilar de forma anónima "materiales de información en Internet", mientras ocultaba "interés informativo". El proyecto se denominó "Mosquito".
El borrador más reciente de la colección enviada por los piratas informáticos se remonta a 2018. Fue encargado por el Centro Principal de Implementación e Innovación Científica JSC, subordinado al Servicio de Impuestos Federales.
El programa Tax-3 le permite eliminar manualmente datos de personas bajo protección estatal o protección estatal del sistema de información FTS.
En particular, describe la creación de un centro de datos cerrado para personas bajo protección. Estos incluyen algunos funcionarios estatales y municipales, jueces, participantes en procesos penales y otras categorías de ciudadanos.
Los piratas informáticos afirman que se inspiraron en el movimiento de resistencia digital contra el bloqueo del mensajero de Telegram.
Los piratas informáticos de Digital Revolution afirman que dieron a los periodistas información en la forma en que la proporcionaron los participantes de 0v1ru $ (cuántos de ellos se desconocen). “Parece que el grupo es pequeño. Independientemente de su número, agradecemos sus aportes. Nos alegra que haya personas que no escatiman en su tiempo libre, que arriesgan su libertad y nos ayudan”, señaló Revolución Digital.
No fue posible contactar con el grupo 0v1ru $ al momento de preparar el material. El FSB no respondió a la solicitud de la BBC.
El sitio de "Sayteka" es inaccesible, ni en la forma anterior ni en la versión con "yoba-face". Cuando llama a la empresa, se incluye un mensaje estándar en el contestador automático, en el que se le pide que espere la respuesta de la secretaria, pero después hay pitidos cortos.
Andrey Soshnikov, Svetlana Reiter
