Хакеры похитили у фирмы ФСБ 7,5 терабайт информации

27.07.2019 13:42

Хакеры похитили у фирмы ФСБ 7,5 терабайт информации

Хакеры группы 0v1ru$ взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов.

Не исключено, что это крупнейшая в истории утечка данных о работе российских спецслужб в интернете, сообщает Русская служба ВВС.

По информации ВВС, взлом произошел 13 июля 2019 года. Вместо главной страницы сайта московской IT-компании "Сайтэк" появилось изображение рожицы с широкой улыбкой и самодовольно прищуренными глазами (на интернет-сленге — "йоба-фейс").

call to action

Дефейс, то есть замена главной страницы сайта, является распространенной тактикой хакеров и демонстрацией того, что им удалось получить доступ к данным жертвы.

Снимок с "йоба-фейсом" появился в твиттер-аккаунте 0v1ru$, зарегистрированном в день атаки. Там же появились скриншоты папки "Компьютер", предположительно принадлежавшей жертве. На одном снимке виден общий объем информации — 7,5 терабайт. На следующем снимке видно, что большая часть этих данных уже удалена.

Читайте также: Закон о кибербезопасности: в каком направлении движемся

Также хакеры опубликовали скриншот интерфейса внутренней сети пострадавшей компании. Рядом с названиями проектов ("Арион", "Реляция", "Гривна" и другими) стояли имена их кураторов — сотрудников "Сайтэк".

Они поделились документами с Digital Revolution — группой, которая в декабре 2018 года взяла на себя ответственность за взлом сервера НИИ "Квант". Этот институт находится в ведении ФСБ. Хакеры также отправили документы "Сайтэка" журналистам нескольких изданий.

Из архива, с которым смогла ознакомиться Русская служба ВВС, следует, что "Сайтэк" выполняла работы по как минимум 20 непубличным IT-проектам, заказанным российскими спецслужбами и ведомствами. Эти бумаги не содержат пометок о государственной тайне или секретности.

Большинство непубличных проектов "Сайтэк" выполняла по заказу войсковой части № 71330. Эксперты Международного центра обороны и безопасности в Таллине считают, что эта войсковая часть входит в состав 16-го управления ФСБ России, которое занимается радиоэлектронной разведкой.

В частности проект "Наутилус-С" был создан, чтобы деанонимизировать пользователей браузера Tor.

Digital путь

Tor распределяет интернет-соединение случайным образом по узлам (серверам) в разных концах света, позволяя своим пользователям обходить цензуру и скрывать свои данные. Также он позволяет заходить в даркнет — "скрытую сеть".

Программный комплекс "Наутилус-С" разработан "Сайтэком" в 2012 году по заказу НИИ "Квант". Он включает в себя "выходной" узел Tor — сервер, через который отправляются запросы на сайты. Обычно такие узлы поддерживаются энтузиастами на добровольной основе.

В "Сайтэке" также планировали подменять трафик пользователям, попавшим в специально созданный узел. Сайты для таких пользователей могли выглядеть иначе, чем на самом деле.

Аналогичную схему хакерских атак на пользователей Tor обнаружили в 2014 году эксперты Университета Карлстада в Швеции. Они описали 19 связанных между собой враждебных "выходных" узлов Tor, 18 из которых управлялись напрямую из России.

На то, что эти узлы связаны, указывала также общая для них версия браузера Tor — 0.2.2.37. Такая же версия указана в "руководстве оператора" "Наутилус-С". Одним из результатов этой работы должна была стать "база данных о пользователях и компьютерах, активно использующих Tor-сети", говорится в слитых хакерами документах.

Читайте также: Кнут и пряник для украинского интернета

Более ранняя версия проекта "Наутилус" — без буквы "С" через дефис после названия — была посвящена сбору информации о пользователях соцсетей. В документах указан срок работ (2009-2010 годы) и их стоимость (18,5 млн рублей). Удалось ли "Сайтэку" найти заказчика на этот проект, неизвестно.

Собирать данные пользователи разработчики "Наутилуса" планировали в таких соцсетях, как Facebook, MySpace и LinkedIn.

В рамках научно-исследовательской работы "Награда", которая проводилась в 2013-2014 годах, "Сайтэку" предстояло исследовать "возможности разработки комплекса проникновения и скрытого использования ресурсов пиринговых и гибридных сетей. В пиринговых сетях пользователи могут быстро обмениваться большими файлами, поскольку выполняют функцию сервера и клиента одновременно.

В "Сайтэке" также собирались найти уязвимость в сетевом протоколе BitTorrent (с помощью него пользователи могут скачивать через торренты фильмы, музыку, программы и прочие файлы). Пользователи RuTracker ежедневно скачивают более 1 млн торрентов.

Кроме этого, в сферу интересов "Сайтэка" попали сетевые протоколы Jabber, OpenFT и ED2K. Протокол Jabber используется в мессенджерах, популярных у хакеров и продавцов нелегальных услуг и товаров в даркнете. ED2K был известен в 2000-е годы русскоязычным пользователям как "осел".

Заказчиком другой работы под названием "Наставник" была та самая войсковая часть № 71330. Цель — мониторинг электронной почты по выбору заказчика. Проект был рассчитан на 2013-2014 годы.

Согласно документации, предоставленной хакерами, программу "Наставник" можно настроить так, чтобы она проверяла почту нужных респондентов в заданный промежуток времени или собирала "интеллектуальную группу добычи" по заданным словосочетаниям.

Проект "Надежда" посвящен созданию программы, которая накапливает и визуализирует информацию о том, как российский сегмент интернета связан с глобальной сетью. Заказчиком работы, проводившейся в 2013-2014 годы, стала все та же в/ч № 71330.

Хакеры Digital Revolution утверждают, что передали журналистам информацию в том виде, в котором ее предоставили участники 0v1ru$ (сколько их — неизвестно).

Сейчас сайт "Сайтэка" недоступен — ни в прежнем виде, ни в версии с "йоба-фейсом". При звонке в компанию на автоответчике включается стандартное сообщение, в котором предлагается дождаться ответа секретаря, однако после него идут короткие гудки.

Напомним, в ноябре 2019 года в России вступит в силу закон о "суверенном интернете", цель которого — обеспечить целостность российского сегмента интернета в случае изоляции от внешнего. Критики закона считают, что он даст российским властям возможность изолировать рунет по политическим причинам.

Напомним, Европол ликвидировал сеть киберпреступников, которые использовали вредоносное программное обеспечение GozNym и украли около $100 млн у более чем 41 тысячи лиц и компаний.

Источник

Читайте также