Москит, Надежда, Наутилус: хакеры раскрыли суть проектов тайного подрядчика ФСБ.

Хакеры взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов.

Не исключено, что это крупнейшая в истории утечка данных о работе российских спецслужб в интернете.

Взлом произошел 13 июля 2019 года. Вместо главной страницы сайта московской IT-компании «Сайтэк» появилось изображение рожицы с широкой улыбкой и самодовольно прищуренными глазами (на интернет-сленге — «йоба-фейс»).

Дефейс, то есть замена главной страницы сайта, является распространенной тактикой хакеров и демонстрацией того, что им удалось получить доступ к данным жертвы.

Снимок с «йоба-фейсом» появился в твиттер-аккаунте 0v1ru$, зарегистрированном в день атаки. Там же появились скриншоты папки «Компьютер», предположительно принадлежавшей жертве. На одном снимке виден общий объем информации — 7,5 терабайт. На следующем снимке видно, что большая часть этих данных уже удалена.

Также хакеры опубликовали скриншот интерфейса внутренней сети пострадавшей компании. Рядом с названиями проектов («Арион», «Реляция», «Гривна» и другими) стояли имена их кураторов — сотрудников «Сайтэк».

Судя по всему, прежде чем удалить информацию с компьютера, хакеры частично скопировали ее. Они поделились документами с Digital Revolution — группой, которая в декабре 2018 года взяла на себя ответственность за взлом сервера НИИ «Квант». Этот институт находится в ведении ФСБ.

Хакеры отправили документы «Сайтэка» журналистам нескольких изданий.

Из архива, с которым смогла ознакомиться Русская служба Би-би-си следует, что «Сайтэк» выполняла работы по как минимум 20 непубличным IT-проектам, заказанным российскими спецслужбами и ведомствами. Эти бумаги не содержат пометок о государственной тайне или секретности.

На кого работает «Сайтэк»

Компанией руководит Денис Вячеславович Краюшкин. Один из заказчиков «Сайтэка» — научно-исследовательский институт «Квант», где, по данным Runet-ID, работает научным консультантом Вячеслав Владиленович Краюшкин. Краюшкины зарегистрированы в московском районе Замоскворечье.

В НИИ «Квант» Би-би-си отказались отвечать на вопрос, имеют ли отношение к организации Денис и Вячеслав Краюшкины: «Это конфиденциальная информация, озвучивать ее не готовы».

Информацию о совместных проектах «Сайтэк» и НИИ «Квант» корреспонденту Би-би-си посоветовали смотреть на институтском сайте и на российском портале госзакупок. Обнаружить контракты «Сайтэк» с институтом на указанных сайтах не удалось.

Последние финансовые результаты «Сайтэк» опубликовала в 2017 году. Ее выручка составила 46 млн рублей, чистая прибыль — 1,1 млн рублей.

Общая сумма публичных контрактов компании за 2018 год — 40 млн рублей. Среди заказчиков — национальный оператор спутниковой связи АО «РТ Комм.ру» и информационно-аналитический центр судебного департамента при Верховном суде России.

Большинство непубличных проектов «Сайтэк» выполняла по заказу войсковой части № 71330. Эксперты Международного центра обороны и безопасности в Таллине считают, что эта войсковая часть входит в состав 16-го управления ФСБ России, которое занимается радиоэлектронной разведкой.

В марте 2015 года СБУ обвинила 16-й и 18-й центр ФСБ в рассылке файлов, напичканных шпионскими программами, на электронную почту украинских военнослужащих и сотрудников спецслужб.

В документах указан адрес одного из объектов, на котором вели работу сотрудники «Сайтека»: Москва, Самотечная, 9. Раньше по этому адресу находилось 16-е управление КГБ СССР, затем — Федеральное агентство правительственной связи и информации при президенте РФ (ФАПСИ).

В 2003 году агентство упразднили, а его полномочия распределили между ФСБ и другими спецслужбами.

«Наутилус» и Tor

Проект «Наутилус-С» был создан, чтобы деанонимизировать пользователей браузера Tor.

Tor распределяет интернет-соединение случайным образом по узлам (серверам) в разных концах света, позволяя своим пользователям обходить цензуру и скрывать свои данные. Также он позволяет заходить в даркнет — «скрытую сеть».

Программный комплекс «Наутилус-С» разработан «Сайтэком» в 2012 году по заказу НИИ «Квант». Он включает в себя «выходной» узел Tor — сервер, через который отправляются запросы на сайты. Обычно такие узлы поддерживаются энтузиастами на добровольной основе.

Но не в случае с «Сайтэком»: зная, в какой момент конкретный пользователь отправляет запросы через Tor (например, от интернет-провайдера), операторы программы могли при определенном везении сопоставить их по времени с заходами на сайты через подконтрольный узел.

В «Сайтэке» также планировали подменять трафик пользователям, попавшим в специально созданный узел. Сайты для таких пользователей могли выглядеть иначе, чем на самом деле.

Аналогичную схему хакерских атак на пользователей Tor обнаружили в 2014 году эксперты Университета Карлстада в Швеции. Они описали 19 связанных между собой враждебных «выходных» узлов Tor, 18 из которых управлялись напрямую из России.

На то, что эти узлы связаны, указывала также общая для них версия браузера Tor — 0.2.2.37. Такая же версия указана в «руководстве оператора» «Наутилус-С».

Одним из результатов этой работы должны была стать «база данных о пользователях и компьютерах, активно использующих Tor-сети», говорится в слитых хакерами документах.

«Мы считаем, что Кремль пытается деанонимизировать Tor чисто в своих, корыстных целях, — написали Би-би-си хакеры Digital Revolution. — Под разными предлогами власти пытаются ограничить нас в возможности свободно выражать наше мнение».

«Наутилус» и соцсети

Более ранняя версия проекта «Наутилус» — без буквы «С» через дефис после названия — была посвящена сбору информации о пользователях соцсетей.

В документах указан срок работ (2009-2010 годы) и их стоимость (18,5 млн рублей). Би-би-си неизвестно, удалось ли «Сайтэку» найти заказчика на этот проект.

Рекламное предложение для потенциальных клиентов начиналось так: «В Англии даже есть поговорка: «Не пиши в Интернет то, чего не можешь сказать полицейскому». Такая беспечность пользователей открывает новые возможности для сбора и обобщения персональных данных, их дальнейшего анализа и использования для решения специальных задач».

Собирать данные пользователи разработчики «Наутилуса» планировали в таких соцсетях, как «Фейсбук», MySpace и LinkedIn.

«Награда» и торренты

В рамках научно-исследовательской работы «Награда», которая проводилась в 2013-2014 годы, «Сайтэку» предстояло исследовать «возможности разработки комплекса проникновения и скрытого использования ресурсов пиринговых и гибридных сетей», говорится во взломанных документах.

Заказчик проекта в документах не указан. В качестве основания для проведения исследования упоминается постановление правительства России о государственном оборонном заказе на эти годы.

Как правило, такие непубличные тендеры проводят армия и спецслужбы.

В пиринговых сетях пользователи могут быстро обмениваться большими файлами, поскольку выполняют функцию сервера и клиента одновременно.

В «Сайтэке» собирались найти уязвимость в сетевом протоколе BitTorrent (с помощью него пользователи могут скачивать через торренты фильмы, музыку, программы и прочие файлы). Пользователи RuTracker — крупнейшего русскоязычного форума этой тематики — ежедневно скачивают более 1 млн торрентов.

Также в сферу интересов «Сайтэка» попали сетевые протоколы Jabber, OpenFT и ED2K. Протокол Jabber используется в мессенджерах, популярных у хакеров и продавцов нелегальных услуг и товаров в даркнете. ED2K был известен в 2000-е годы русскоязычным пользователям как «осел».