Thread: Как СОРМ сливает наши с вами данные всем желающим.
View Single Post
  #1  
Old 03-05-2025, 05:17 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

На конференции https://chaosconstructions.ru/ Леонид Евдокимов (@mathemonkey) рассказал об утечке данных, произошедшей благодаря https://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C(система технических средств для обеспечения функций оперативно-розыскных мероприятий, внедрение которой под угрозой отзыва лицензии обязан согласовывать каждый провайдер в России).
Всё началось 28 августа 2018 года с https://t.me/nag_public/310698 в Telegram-чате https://t.me/nag_public:

Вскоре был найден ещё один адрес, где тоже крутилась статистика работы какого-то сниффера:


Внимание сразу привлекает поле «telegram», тем более, что как раз в это время Роскомнадзор отчаянно пытался блокировать Telegram, попутно https://habr.com/en/post/419567/.
Вооружившись сканером zmap, Леонид нашёл ещё ряд подобных адресов и несколько дней собирал с них статистику. Выяснилось:
счётчики «telegram» везде показывают ноль (эти снифферы вряд ли используются РКН для охоты за Telegram)
паттерн трафика самый обыкновенный — пик потребления к вечеру, когда люди приходят с работы, и глубокое падение ночью, когда потребители спят. Например, точно такой же график можно увидеть на точке обмена https://ru.wikipedia.org/wiki/MSK-IX

  • объем трафика на порядки меньше, чем на той же MSK-IX


Отсюда можно сделать первый вывод: это не honeypot/отладочный стенд, а некое оборудование, слушающее «живой» пользовательский трафик.
Один из разработчиков «МФИ-Софт» заявил, что это корпоративные системы безопасности:



В то же время сотрудник одного из провайдеров подтвердил, что это интерфейс оборудования СОРМ производства «МФИ-Софт» и выразил обеспокоенность — при покупке производитель не сообщил о такой «фиче»

Что там ещё припасено
На некоторых адресах висели публичные FTP-серверы с разными пакетами, в том числе postgresql, Elasticsearch и библиотека leaflet для визуализации геоданных:

Кроме FTP найдены Samba, PostgreSQL, Elasticsearch, NFS. Не все они были обновлены до актуальных версий, а устаревшие версии, как известно, содержат уязвимости. Впрочем, Леонид не рискнул раскручивать уязвимости на оборудовании, используемом ФСБ.
Утечка данных
Самое страшное, что кроме цифр утекли ещё и буквы.
Во-первых, по IP-адресам оборудования можно представить его расположение: поможет GeoIP, знание скорости распространения сигнала до известных узлов, регион работы провайдера.
Например, проделаем это для IP-адреса 109.237.224.27
109.237.224.27 ⇉ ООО Квант, Зарайск
… ⇉ AS50449 ⇉ LLC Kvant Zaraysk
… ⇉ MaxMind ⇉ Zaraysk, Moscow Oblast
… ⇉ Ping 1ms ⇉ Зарайский район
Посмотрим на карточку одного из снифферов в https://www.shodan.io/:

Видим немало:
гиперссылка
логин
MAC-адрес
имя интерфейса
Кроме этого из логов удалось вытащить номера телефонов, адреса электронной почты, географические координаты от погодных приложений и трекеров (которые вдобавок передают IMEI аппарата и MAC-адреса ближайших точек доступа), номера ICQ (зачастую рядом с номером шло имя пользователя).
С такими данными нетрудно установить чей именно это трафик. Например, можно взять сниффер 185.126.180.189, с которого всё началось:
  • IP-адрес указывает на Дагестан

  • номера телефонов из Shodan после прогона через Avito дают Хасавюрт и Махачкалу

  • роутеры иногда переезжают вместе с хозяевами, но пробив по открытым базам MAC-адресов даёт удивительную точность — 40 адресов из 100 указывают https://ru.wikipedia.org/wiki/%D0%9D...2%D0%B0%D0%BD)


Другой пример: cреди перехваченных координат большая часть указывает на город Саров. Собранные номера ICQ присутствуют в http://www.sarov.net/icqlist/, а перехваченные номера телефонов встречаются в газете «Колючий Саров». Координаты равномерно распределены по всему городу. Координаты Wi-Fi точек, чьи MAC-адреса были перехвачены, тоже усеивают весь город:


Вишенка на торте: в логах были заголовки с темами электронных писем (!) СаровБизнесБанка, подрядчиков Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики.
Наконец:
  • как упоминалось выше, график трафика не характерен для 8-часового рабочего дня

  • не было заметного снижения трафика 1-2 мая


Это очень похоже на сниффер, который обрабатывает трафик всех саровских абонентов провайдера, а не подразделение корпорации.
И остаётся открытым вопрос, зачем в качестве вендора в пакетах, лежащих на публичном FTP-сервере, поднятом на публично доступных узлах, указана «МФИ-Софт», если это не её продукты, а какие-то корпоративные системы? Как гласит утиный тест, «если нечто выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, утка и есть», а эти снифферы — часть СОРМа от «МФИ-Софт».
Подводим итоги
Обо всём было сообщено «МФИ-Софт», но компания не отреагировала. Больший эффект дала рассылка писем по abuse-ящикам провайдеров — целых 5 снифферов исчезли из общего доступа. Осталось 25. Некоторые снифферы после исчезновения возвращались, когда сотрудникам вендора нужно было получить к ним удалённый доступ:

Спустя год снифферы можно было найти уже даже не специализированными поисковиками, а через обычный поиск Google. Через полтора года https://t.me/unkn0wnerror/1405. Закрылись они только после того, как эта информация попала в публичный доступ.
Выводы делайте сами.
@habra