Para peretas meretas server kontraktor besar dari departemen dan layanan khusus Rusia, dan kemudian berbagi dengan jurnalis deskripsi lusinan proyek Internet non-publik: dari deanonimisasi pengguna browser Tor hingga menyelidiki kerentanan torrent.
Ada kemungkinan bahwa ini adalah kebocoran data terbesar tentang pekerjaan layanan khusus Rusia di Internet dalam sejarah.
Peretasan tersebut terjadi pada 13 Juli 2019. Alih-alih halaman utama situs "Saytek" perusahaan IT Moskow, sebuah gambar wajah dengan senyum lebar dan mata menyipit dengan sombong muncul (dalam bahasa gaul Internet - "wajah yoba").
Deface, yaitu mengganti halaman beranda situs, adalah taktik umum peretas dan menunjukkan bahwa mereka berhasil mendapatkan akses ke data korban.
Sebuah snapshot dengan "wajah yoba" muncul di akun Twitter 0v1ru $, terdaftar pada hari penyerangan. Di sana juga muncul tangkapan layar dari folder "Komputer", mungkin milik korban. Satu gambar menunjukkan jumlah total informasi - 7,5 terabyte. Cuplikan berikutnya menunjukkan bahwa sebagian besar data ini telah dihapus.
Para peretas juga memposting tangkapan layar antarmuka jaringan internal perusahaan yang terpengaruh. Di samping nama proyek ("Arion", "Relation", "Hryvnia" dan lainnya) adalah nama kurator mereka - karyawan "Saytek".
Rupanya, sebelum menghapus informasi dari komputer, para peretas menyalin sebagian. Mereka berbagi dokumen dengan Digital Revolution, kelompok yang pada Desember 2018 bertanggung jawab atas peretasan server Lembaga Penelitian "Kvant". Lembaga ini dijalankan oleh FSB.
Para peretas mengirimkan dokumen Saytek kepada jurnalis dari beberapa publikasi.
Video promosi:
Dari arsip tersebut, yang dapat diketahui oleh BBC Russian Service, Saytek mengerjakan setidaknya 20 proyek TI non-publik yang dipesan oleh departemen dan layanan khusus Rusia. Makalah ini tidak memuat catatan tentang rahasia atau kerahasiaan negara.
Untuk siapa Saytek bekerja?
Perusahaan ini dipimpin oleh Denis Vyacheslavovich Krayushkin. Salah satu pelanggan Saytek adalah Kvant Research Institute, di mana menurut Runet-ID, Vyacheslav Vladilenovich Krayushkin bekerja sebagai konsultan ilmiah. Krayushkins terdaftar di wilayah Zamoskvorechye Moskow.
Lembaga Penelitian BBC Kvant menolak menjawab pertanyaan apakah Denis dan Vyacheslav Krayushkin terkait dengan organisasi tersebut: "Ini adalah informasi rahasia, mereka belum siap untuk menyuarakannya."
Koresponden BBC disarankan untuk melihat situs web institut dan portal pengadaan pemerintah Rusia untuk informasi tentang proyek bersama antara Saytek dan Institut Riset Ilmiah Kvant. Tidak mungkin menemukan kontrak antara Saytek dan Institut di situs yang ditunjukkan.
Hasil keuangan terbaru diterbitkan oleh Saytek pada tahun 2017. Pendapatannya mencapai 46 juta rubel, laba bersih - 1,1 juta rubel.
Jumlah total kontrak publik perusahaan untuk 2018 adalah 40 juta rubel. Di antara pelanggan tersebut adalah operator nasional komunikasi satelit RT Komm.ru JSC dan pusat informasi dan analitis departemen peradilan di Mahkamah Agung Rusia.
tatus/1151717992583110657
Sebagian besar proyek non-publik Saitek dilakukan atas perintah unit militer 71330. Para ahli dari Pusat Pertahanan dan Keamanan Internasional di Tallinn percaya bahwa unit militer ini adalah bagian dari Direktorat 16 FSB Rusia, yang menangani intelijen elektronik.
Pada Maret 2015, SBU menuduh pusat FSB ke-16 dan ke-18 mengirim file berisi spyware ke email personel militer dan perwira intelijen Ukraina.
Dokumen tersebut berisi alamat salah satu situs tempat karyawan "Saytek" bekerja: Moskow, Samotechnaya, 9. Sebelumnya, alamat ini adalah departemen ke-16 KGB Uni Soviet, kemudian Badan Federal untuk Komunikasi dan Informasi Pemerintah di bawah Presiden Federasi Rusia (FAPSI).
Pada tahun 2003, badan tersebut dihapuskan, dan kewenangannya dibagi antara FSB dan layanan khusus lainnya.
Nautilus dan Tor
Proyek Nautilus-C dibuat untuk membuat pengguna browser Tor tidak anonim.
Tor mendistribusikan koneksi Internet secara acak ke node (server) di berbagai belahan dunia, memungkinkan penggunanya untuk melewati sensor dan menyembunyikan data mereka. Ini juga memungkinkan Anda untuk memasuki darknet - "jaringan tersembunyi".
Paket perangkat lunak Nautilus-S dikembangkan oleh Saytecom pada tahun 2012 atas perintah Kvant Research Institute. Ini termasuk simpul keluar Tor - server yang melaluinya permintaan ke situs dikirim. Biasanya situs semacam itu didukung oleh peminat secara sukarela.
Tetapi tidak dalam kasus Saytek: mengetahui pada saat apa pengguna tertentu mengirimkan permintaan melalui Tor (misalnya, dari penyedia Internet), operator program dapat, dengan sedikit keberuntungan, menghubungkannya tepat waktu dengan kunjungan ke situs melalui node yang terkontrol.
Saitek juga berencana mengganti lalu lintas untuk pengguna yang memasuki node yang dibuat khusus. Situs untuk pengguna semacam itu mungkin terlihat berbeda dari yang sebenarnya.
Skema serangan peretas yang serupa terhadap pengguna Tor ditemukan pada tahun 2014 oleh para ahli dari Universitas Karlstad di Swedia. Mereka menggambarkan 19 node keluar Tor bermusuhan yang saling berhubungan, 18 di antaranya dikendalikan langsung dari Rusia.
Fakta bahwa node ini terhubung juga diindikasikan oleh versi umum browser Tor untuk mereka - 0.2.2.37. Versi yang sama ditunjukkan dalam "manual operator" "Nautilus-S".
Pada Juli 2019, Rusia memperbarui rekornya sendiri - sekitar 600 ribu pengguna browser Tor per hari.
Salah satu hasil dari pekerjaan ini adalah menjadi "database pengguna dan komputer yang secara aktif menggunakan jaringan Tor," menurut dokumen yang dibocorkan oleh para peretas.
"Kami percaya bahwa Kremlin sedang mencoba untuk membatalkan anonimitas Tor murni untuk tujuan egoisnya sendiri," tulis peretas Digital Revolution kepada BBC. "Dengan berbagai dalih, pihak berwenang mencoba membatasi kemampuan kami untuk mengekspresikan pendapat kami secara bebas."
"Nautilus" dan jejaring sosial
Versi sebelumnya dari proyek Nautilus - tanpa tanda hubung “C” setelah namanya - dikhususkan untuk mengumpulkan informasi tentang pengguna media sosial.
Dokumen tersebut menunjukkan periode kerja (2009-2010) dan biayanya (18,5 juta rubel). BBC tidak mengetahui apakah Saytek berhasil menemukan pelanggan untuk proyek ini.
Iklan untuk calon klien berisi frasa berikut: "Bahkan ada pepatah di Inggris:" Jangan memposting di Internet apa yang tidak dapat Anda sampaikan kepada polisi. " Kecerobohan pengguna membuka peluang baru untuk mengumpulkan dan meringkas data pribadi, analisis lebih lanjut, dan penggunaan untuk memecahkan masalah khusus."
Pengembang Nautilus berencana mengumpulkan data dari pengguna di jejaring sosial seperti Facebook, MySpace, dan LinkedIn.
"Hadiah" dan torrent
Sebagai bagian dari pekerjaan penelitian "Reward", yang dilakukan pada 2013-2014, "Saytek" adalah untuk menyelidiki "kemungkinan mengembangkan penetrasi dan penggunaan rahasia yang kompleks dari sumber daya jaringan peer-to-peer dan hybrid," menurut dokumen yang diretas.
Pelanggan proyek tidak disebutkan dalam dokumen. Keputusan pemerintah Rusia tentang tatanan pertahanan negara tahun-tahun ini disebut-sebut sebagai dasar kajian.
Biasanya, tender non-publik semacam itu dilakukan oleh tentara dan layanan khusus.
Di jaringan peer-to-peer, pengguna dapat dengan cepat bertukar file besar karena mereka bertindak sebagai server dan klien pada saat yang bersamaan.
Situs ini akan menemukan kerentanan dalam protokol jaringan BitTorrent (dengan menggunakannya, pengguna dapat mengunduh film, musik, program, dan file lain melalui torrent). Pengguna RuTracker, forum berbahasa Rusia terbesar tentang topik ini, mengunduh lebih dari 1 juta torrent setiap hari.
Juga protokol jaringan Jabber, OpenFT dan ED2K masuk ke dalam lingkup kepentingan "Saytek". Protokol Jabber digunakan di pengirim pesan instan, populer di kalangan peretas dan penjual layanan dan barang ilegal di darknet. ED2K dikenal oleh pengguna berbahasa Rusia sebagai "keledai" pada tahun 2000-an.
Mentor dan Email
Pelanggan untuk pekerjaan lain yang disebut "Mentor" adalah unit militer 71330 (mungkin - intelijen elektronik FSB Rusia). Tujuannya adalah untuk memonitor email sesuai pilihan pelanggan. Proyek ini dirancang untuk 2013-2014, Menurut dokumentasi yang disediakan oleh para peretas, program Mentor dapat dikonfigurasi sehingga ia memeriksa email dari responden yang tepat pada waktu tertentu, atau mengumpulkan "kelompok jarahan cerdas" untuk frasa yang diberikan.
Contohnya adalah pencarian di server email dua perusahaan Internet Rusia yang besar. Menurut contoh dari dokumentasi, kotak surat di server ini milik Nagonia, negara fiksi dari detektif mata-mata Soviet "TASS diizinkan untuk mendeklarasikan" oleh Yulian Semenov. Plot novel ini didasarkan pada perekrutan seorang perwira KGB oleh dinas intelijen AS di Nagonia.
Proyek lain
Proyek Nadezhda didedikasikan untuk pembuatan program yang mengumpulkan dan memvisualisasikan informasi tentang bagaimana segmen Rusia di Internet terhubung dengan jaringan global. Pelanggan untuk pekerjaan yang dilakukan pada 2013-2014 adalah unit militer yang sama No. 71330.
Ngomong-ngomong, pada November 2019, undang-undang tentang "Internet yang berdaulat" akan diberlakukan di Rusia, yang tujuannya adalah untuk memastikan integritas segmen Internet Rusia jika ada isolasi dari luar. Para pengkritik undang-undang tersebut percaya bahwa hal itu akan memberikan kesempatan kepada otoritas Rusia untuk mengisolasi Runet karena alasan politik.
Pada 2015, atas perintah unit militer No. 71330, Saytek melakukan penelitian untuk membuat "kompleks perangkat keras dan perangkat lunak" yang mampu mencari dan mengumpulkan "bahan informasi di Internet" secara anonim, sambil menyembunyikan "kepentingan informasi". Proyek itu bernama "Nyamuk".
Draf terbaru dari koleksi yang dikirim oleh peretas berasal dari 2018. Itu diperintahkan oleh Pusat Inovasi dan Implementasi Ilmiah Utama JSC, di bawah Layanan Pajak Federal.
Program Tax-3 memungkinkan Anda untuk secara manual menghapus data dari orang-orang yang berada di bawah perlindungan negara atau perlindungan negara dari sistem informasi FTS.
Secara khusus, ini menjelaskan pembuatan pusat data tertutup untuk orang-orang yang dilindungi. Ini termasuk beberapa pejabat negara bagian dan kota, hakim, peserta dalam proses pidana dan kategori warga lainnya.
Para peretas mengklaim bahwa mereka terinspirasi oleh gerakan perlawanan digital terhadap pemblokiran utusan Telegram.
Peretas Revolusi Digital mengklaim bahwa mereka memberikan informasi kepada jurnalis dalam bentuk yang disediakan oleh peserta 0v1ru $ (berapa banyak dari mereka yang tidak diketahui). “Sepertinya grupnya kecil. Berapapun jumlahnya, kami menerima masukan dari mereka. Kami senang ada orang yang tidak menyisihkan waktu luangnya, yang mempertaruhkan kebebasannya dan membantu kami,”kata Digital Revolution.
Tidak dimungkinkan untuk menghubungi grup 0v1ru $ pada saat menyiapkan materi. FSB tidak menanggapi permintaan BBC.
Situs "Sayteka" tidak dapat diakses - baik dalam bentuk sebelumnya, maupun dalam versi dengan "wajah yoba" Ketika Anda menelepon perusahaan, sebuah pesan standar dihidupkan pada mesin penjawab, di mana Anda diminta untuk menunggu jawaban sekretaris, tetapi setelah itu terdengar bunyi bip singkat.
Andrey Soshnikov, Svetlana Reiter
