Os hackers invadiram o servidor de um grande contratante dos serviços e departamentos especiais russos e, em seguida, compartilharam com os jornalistas as descrições de dezenas de projetos de Internet não públicos: desde a anonimização de usuários do navegador Tor até a investigação de vulnerabilidades de torrent.
É possível que este seja o maior vazamento de dados sobre o trabalho dos serviços especiais russos na Internet da história.
O hack ocorreu em 13 de julho de 2019. Em vez da página principal do site da empresa de TI de Moscou Saytek, apareceu um rosto com um largo sorriso e olhos presunçosamente estreitos (na gíria da Internet - "yoba-face").
Deface, ou seja, substituir a página inicial do site, é uma tática comum dos hackers e uma demonstração de que conseguiram obter acesso aos dados da vítima.
Um instantâneo com uma "cara de yoba" apareceu na conta do Twitter 0v1ru $, registrada no dia do ataque. Também apareceram screenshots da pasta "Computer", presumivelmente pertencente à vítima. Uma imagem mostra a quantidade total de informações - 7,5 terabytes. O próximo instantâneo mostra que a maioria desses dados já foi excluída.
Os hackers também postaram uma captura de tela da interface de rede interna da empresa afetada. Ao lado dos nomes dos projetos ("Arion", "Relation", "Hryvnia" e outros) estavam os nomes de seus curadores - os funcionários da "Saytek".
Aparentemente, antes de remover as informações do computador, os hackers as copiaram parcialmente. Eles compartilharam os documentos com o Digital Revolution, o grupo que em dezembro de 2018 assumiu a responsabilidade de hackear o servidor do Instituto de Pesquisa "Kvant". Esta instituição é administrada pelo FSB.
Os hackers enviaram os documentos de Saytek a jornalistas de várias publicações.
Vídeo promocional:
A partir do arquivo, que o Serviço Russo da BBC foi capaz de se familiarizar, segue-se que Saytek realizou trabalho em pelo menos 20 projetos de TI não públicos encomendados pelos serviços e departamentos especiais russos. Esses papéis não contêm notas sobre segredos de estado ou sigilo.
Para quem Saytek trabalha?
A empresa é chefiada por Denis Vyacheslavovich Krayushkin. Um dos clientes da Saytek é o Kvant Research Institute, onde, de acordo com o Runet-ID, Vyacheslav Vladilenovich Krayushkin trabalha como consultor científico. Os Krayushkins são registrados na região de Zamoskvorechye, em Moscou.
O BBC Research Institute Kvant recusou-se a responder se Denis e Vyacheslav Krayushkin são parentes da organização: "Esta é uma informação confidencial, eles não estão prontos para expressá-la."
O correspondente da BBC foi aconselhado a consultar o site do instituto e o portal de compras governamentais da Rússia para obter informações sobre projetos conjuntos entre Saytek e o Instituto de Pesquisa Científica Kvant. Não foi possível encontrar contratos entre Saytek e o Instituto nos sites indicados.
Os últimos resultados financeiros foram publicados pela Saytek em 2017. Suas receitas ascenderam a 46 milhões de rublos, o lucro líquido - 1,1 milhões de rublos.
O valor total dos contratos públicos da empresa para 2018 é de 40 milhões de rublos. Entre os clientes estão a operadora nacional de comunicações por satélite JSC "RT Komm.ru" e o centro de informação e análise do departamento judicial do Supremo Tribunal da Rússia.
tatus/1151717992583110657
A maioria dos projetos não públicos que Saitek realizou por ordem da unidade militar 71330. Especialistas do Centro Internacional de Defesa e Segurança de Tallinn acreditam que esta unidade militar faz parte da 16ª Diretoria do FSB da Rússia, que trata da inteligência eletrônica.
Em março de 2015, a SBU acusou os centros 16 e 18 FSB de enviar arquivos cheios de spyware para os e-mails de militares ucranianos e oficiais de inteligência.
Os documentos contêm o endereço de um dos locais onde os funcionários da "Saytek" trabalhavam: Moscou, Samotechnaya, 9. Anteriormente, esse endereço era o 16º departamento do KGB da URSS, então a Agência Federal para Comunicações e Informações Governamentais sob o Presidente da Federação Russa (FAPSI).
Em 2003, a agência foi extinta e seus poderes foram divididos entre o FSB e outros serviços especiais.
Nautilus e Tor
O projeto Nautilus-C foi criado para desanonimizar os usuários do navegador Tor.
O Tor distribui a conexão à Internet aleatoriamente para nós (servidores) em diferentes partes do mundo, permitindo que seus usuários contornem a censura e ocultem seus dados. Também permite que você entre na darknet - a "rede oculta".
O pacote de software Nautilus-S foi desenvolvido pela Saytecom em 2012 por encomenda do Kvant Research Institute. Inclui um nó de saída Tor - um servidor através do qual as solicitações aos sites são enviadas. Normalmente, esses sites são apoiados por entusiastas de forma voluntária.
Mas não no caso da Saytek: sabendo em que momento um determinado usuário envia solicitações através do Tor (por exemplo, de um provedor de Internet), os operadores do programa poderiam, com alguma sorte, correlacioná-las no tempo com visitas a sites por meio de um nó controlado.
Saitek também planejou substituir o tráfego para usuários que entraram em um nó especialmente criado. Os sites para esses usuários podem ter uma aparência diferente do que realmente são.
Um esquema semelhante de ataques de hackers a usuários do Tor foi descoberto em 2014 por especialistas da Universidade Karlstad, na Suécia. Eles descreveram 19 nós de saída hostis interconectados do Tor, 18 dos quais eram controlados diretamente da Rússia.
O fato de esses nós estarem conectados também foi indicado pela versão comum do navegador Tor para eles - 0.2.2.37. A mesma versão está indicada no "manual do operador" "Nautilus-S".
Em julho de 2019, a Rússia atualizou seu próprio recorde - cerca de 600 mil usuários do navegador Tor por dia.
Um dos resultados desse trabalho foi ser um "banco de dados de usuários e computadores que usam ativamente a rede Tor", de acordo com os documentos vazados pelos hackers.
“Acreditamos que o Kremlin está tentando desanonimizar o Tor puramente para seus próprios objetivos egoístas”, escreveram os hackers do Digital Revolution à BBC. “Sob vários pretextos, as autoridades estão tentando limitar nossa capacidade de expressar livremente nossa opinião.”
"Nautilus" e redes sociais
Uma versão anterior do projeto Nautilus - sem o hifenizado “C” após o nome - foi dedicada a coletar informações sobre usuários de mídia social.
Os documentos indicam o período de trabalho (2009-2010) e seu custo (18,5 milhões de rublos). A BBC não sabe se Saytek conseguiu encontrar um cliente para este projeto.
O anúncio para clientes em potencial continha a seguinte frase: “Existe até um ditado na Inglaterra:“Não poste na Internet o que você não pode dizer a um policial”. Esse descuido dos usuários abre novas oportunidades para coletar e resumir dados pessoais, sua posterior análise e uso para resolver problemas especiais."
Os desenvolvedores do Nautilus planejaram coletar dados de usuários em redes sociais como Facebook, MySpace e LinkedIn.
"Recompensa" e torrents
No âmbito do trabalho de investigação "Reward", realizado em 2013-2014, "Saytek" teve de investigar "a possibilidade de desenvolver um complexo de penetração e utilização encoberta dos recursos de redes peer-to-peer e híbridas", de acordo com os documentos hackeados.
O cliente do projeto não está especificado nos documentos. O decreto do governo russo sobre a ordem de defesa do estado para esses anos é mencionado como base para o estudo.
Regra geral, esses concursos não públicos são realizados pelo exército e pelos serviços especiais.
Em redes ponto a ponto, os usuários podem trocar arquivos grandes rapidamente porque atuam como servidor e cliente ao mesmo tempo.
O site iria encontrar uma vulnerabilidade no protocolo de rede BitTorrent (usando-o, os usuários podem baixar filmes, músicas, programas e outros arquivos por meio de torrents). Os usuários do RuTracker, o maior fórum em russo sobre o assunto, baixam mais de 1 milhão de torrents todos os dias.
Também os protocolos de rede Jabber, OpenFT e ED2K entraram na esfera de interesses da "Saytek". O protocolo Jabber é usado em mensageiros instantâneos, popular entre hackers e vendedores de bens e serviços ilegais na darknet. ED2K era conhecido pelos usuários de língua russa como um "burro" nos anos 2000.
Mentor e Email
O cliente para outro trabalho chamado "Mentor" foi a unidade militar 71330 (presumivelmente - inteligência eletrônica do FSB da Rússia). O objetivo é monitorar o e-mail por opção do cliente. O projeto foi desenhado para 2013-2014, De acordo com a documentação fornecida pelos hackers, o programa Mentor pode ser configurado para verificar a correspondência dos respondentes certos em um determinado momento, ou coletar um “grupo de saque inteligente” para as frases dadas.
Um exemplo é uma pesquisa nos servidores de correio de duas grandes empresas russas de Internet. De acordo com um exemplo da documentação, as caixas de correio desses servidores pertencem à Nagonia, um país fictício do detetive espião soviético "TASS está autorizado a declarar" por Yulian Semenov. O enredo do romance é baseado no recrutamento de um oficial da KGB pelos serviços de inteligência dos EUA na Nagonia.
Outros projetos
O projeto Nadezhda é dedicado à criação de um programa que acumula e visualiza informações sobre como o segmento russo da Internet está conectado à rede global. O cliente da obra realizada em 2013-2014 foi a mesma unidade militar nº 71330.
A propósito, em novembro de 2019, a lei sobre "Internet soberana" entrará em vigor na Rússia, cujo objetivo declarado é garantir a integridade do segmento russo da Internet em caso de isolamento do exterior. Os críticos da lei acreditam que ela dará às autoridades russas a oportunidade de isolar Runet por razões políticas.
Em 2015, por ordem da unidade militar nº 71330, Saytek realizou um trabalho de pesquisa para criar um "complexo de hardware e software" capaz de pesquisar e coletar anonimamente "materiais de informação na Internet", ao mesmo tempo em que esconde "interesse informativo". O projeto foi batizado de "Mosquito".
O rascunho mais recente da coleção enviada por hackers data de 2018. Foi encomendado pelo Centro Principal de Inovação e Implementação Científica JSC, subordinado à Receita Federal.
O programa Tax-3 permite remover manualmente os dados de pessoas sob proteção do estado ou proteção do estado do sistema de informação FTS.
Em particular, descreve a criação de um centro de dados fechado para pessoas sob proteção. Isso inclui alguns funcionários estaduais e municipais, juízes, participantes em processos criminais e outras categorias de cidadãos.
Os hackers afirmam que foram inspirados pelo movimento de resistência digital contra o bloqueio do mensageiro do Telegram.
Os hackers do Digital Revolution afirmam que deram aos jornalistas informações na forma em que foram fornecidas pelos participantes do 0v1ru $ (quantos deles são desconhecidos). “Parece que o grupo é pequeno. Independentemente do número, agradecemos sua opinião. Ficamos felizes que haja pessoas que não poupam seu tempo livre, que arriscam sua liberdade e nos ajudam”, observou o Revolução Digital.
Não foi possível entrar em contato com o grupo 0v1ru $ no momento da preparação do material. O FSB não respondeu ao pedido da BBC.
O site da "Sayteka" está inacessível - nem na forma anterior, nem na versão com "yoba-face". Quando você liga para a empresa, uma mensagem padrão é incluída na secretária eletrônica, na qual é solicitado que você aguarde a resposta da secretária, mas após ela ouvirá pequenos bipes.
Andrey Soshnikov, Svetlana Reiter
