Posté le juillet 22, 2019 à 21:07
DES HACKERS ATTAQUENT UN SOUS-TRAITANT DU FSB POUR EXPOSER UN PROJET DE DÉSANONYMISATION ET BIEN PLUS
Le 13 juillet 2019, des hackers dénommés 0v1ru$ ont piraté des serveurs SyTech, révélant aux médias des informations sur des projets de recherche secrets conduits pour le compte du service fédéral de sécurité russe. Les projets visaient à éradiquer les médias sociaux, à désanonymiser la navigation sur Tor et à aider le pays à séparer son Internet du reste du monde.
SyTech est un sous-traitant du service de renseignement national russe, le FSB, une agence de sécurité russe comme la MI5 ou le FBI.
Les hackers ont volé des informations sur les projets que SyTech travaillait pour le compte du FSB – dont un enquêteur en cours de désanonymisation du trafic. Relevant directement du président russe, le FSB est le principal successeur du KGB.
Les hackers se sont infiltré dans le serveur Active Directory de SyTech et ont eu accès à l’ensemble du réseau informatique de la société.
Après avoir volé 7,5 To de données, ils ont ensuite défigurer le site Web de la société avec un «yoba face». C’est un emoji que les utilisateurs russes adoptent pour « troller ». Ils ne ne se sont pas arrêtés là.
En utilisant Twitter, les hackers ont publié plusieurs captures d’écran des serveurs de SyTech, puis partagé les données volées avec Digital Revolution. C’est une autre équipe de piratage qui, seulement l’année dernière, a violé Quantum, également un contractant du FSB. On ne sait pas comment, ni si les équipes de piratage ont un lien.
Le 18 juillet 2019, Quantum avait partagé les fichiers volés sur son compte Twitter, puis avec des journalistes russes.
Des projets confidentiels
De nombreux reportages sur les informations obtenues ont inondé les médias russes. Les hackers ont exposés les noms des gestionnaires de projets SyTech ainsi que les noms de projets.
Les données indiquent que SyTech a travaillé pour l’unité FSB depuis 2009 sur plusieurs projets et également pour le contractant Quantum. Ces projets incluraient:
Hope: Un projet qui étudie la topologie Internet russe et sa connexion aux réseaux d’autres pays.
Mentor: Un projet qui surveillait et recherchait les communications par courrier électronique sur les serveurs de sociétés russes.
Tax-3: Un projet de création d’un intranet fermé qui stocke des informations sur des personnalités très sensibles de l’État, comme les juges ou les fonctionnaires de l’administration locale, séparément du reste du réseau informatique de l’État.
Nautilus: Un projet où les données ont été collectées sur les utilisateurs de médias sociaux (comme Facebook, LinkedIn et MySpace).
Nautilus-S: Un projet utilisant des serveurs Tor non fiables pour dés-anonymiser le trafic Tor.
Reward: Un projet d’infiltration furtive de réseaux P2P, comme ceux utilisés pour les torrents.
BBC Russia a reçu une foule de documents indiquant qu’il s’agissait probablement de la fuite de données la plus importante de l’histoire des services de renseignements russes. Cependant, ils ont également noté qu’aucun secret d’État n’avait été révélé.
La BBC a ajouté que les projets de SyTech étaient principalement sous-traités à l’unité militaire 71330, qui fait partie de la 16e division du FSB. Cette division s’occupe du renseignement électromagnétique et est le même groupe, accusé en 2015, d’avoir envoyé des logiciels espions par courrier électronique à des agents de renseignement ukrainiens.
La BBC a affirmé qu’il existait d’autres projets plus anciens, faisant des recherches sur différents protocoles de réseau tels que Jabber (messagerie instantanée), OpenFT (transfert de fichiers d’entreprise) et ED2K (eDonkey).
Certains fichiers publiés sur le compte Twitter de Digital Revolution ont prétendu que la FSB surveillait également les données des étudiants et des retraités.
Il est important de noter que tous les services de renseignements mènent des recherches sur les technologies modernes. SyTech faisait la même chose. Cependant, deux de leurs projets sont allés plus loin et semblaient avoir été testés dans le monde réel.
Premièrement, celui de désanonymisation du trafic Tor nommé Nautilus-S.
La BBC Russe a déclaré que les travaux sur Nautilus-S ont commencé en 2012. En 2014, des universitaires de l’Université de Karlstad, en Suède, ont publié un article (disponible ici en format PDF) décrivant l’utilisation de nœuds de sortie Tor hostiles qui essayaient de décrypter le trafic Tor.
Les chercheurs avaient identifié 25 serveurs malveillants. Dix-huit de ces serveurs étaient situés en Russie et utilisaient la version 0.2.2.2.37 de Tor, la même version notée dans les fichiers divulgués.
Le second était celui qui analysait l’assemblage et la structure du segment russe d’Internet, le projet Hope.
La Russie a effectué des tests en début d’année, au cours desquels elle a déconnecté son segment d’Internet du reste du monde. SyTech a dès lors supprimé son site Web depuis l’attaque et a refusé de commenter aux médias.
