SORM
SORM

SORM: Datenleak des russischen Überwachungsprojektes

Am 25. August präsentierte der russische Programmierer Leonid Evdokimov "SORM Defects" auf der Chaos Constructions IT-Konferenz in St.Pete...

Am 25. August präsentierte der russische Programmierer Leonid Evdokimov „SORM Defects“ auf der Chaos Constructions IT-Konferenz in St.Petersburg. In seiner Präsentation geht es um den Datenleak des Überwachungsprogramms SORM vom russischen Geheimdienst FSB.

 

Internet-Provider setzen Sniffer für SORM ein

Evdokimov sagt, dass ein Bekannter im April 2018 auf eine IP-Adresse im Rostelecom-Netzwerk aufmerksam wurde, die offene Statistiken über den Benutzerverkehr enthielt. Er sagt, dass er zunächst vermutete, dass dies die IP-Adresse eines so genannten „Packet Sniffer“ war, den Rostelecom vermutlich zum Abfangen und Protokollieren des Datenverkehrs verwendete. Sie versuchten vermeintlich damit herauszufinden, wie der Messenger Telegram die Blockierungen der russischen Regierung umgeht. Dennoch fand Evdokimov keine Anhaltspunkte dafür, dass Rostelecom den Traffic von Telegram abfangen wollte. Stattdessen spekulierte er darauf, dass dies ein Teil der Echtzeitüberwachung der russischen Regierung sei. Schließlich wollte er der Spekulation auf die Schliche kommen und machte sich auf die Suche mit dem Opensource-Scanner „ZMap“. Dabei fand er heraus, dass mindestens 20 russische Interet-Provider (ISP) 30 weitere „Paket-Sniffer“ in Ihren Netzwerken einsetzen.

Offene FTP-Server bestätigten seine Spekulationen

Bei seiner Recherche fand Evdokimov offene FTP-Server mit Echtzeitslogs. Bei der Auswertung der Daten, entdeckte er alle gesammelten Kundendaten. Zu denen gehören die Handynummern, E-Mail-Adressen, IP-Adressen, Messenger-Daten und sogar GPS-Koordinaten.

All these data make it possible to determine exactly whose traffic this is, and which clients they are,” -Evdokimov

Evdokimov informierte anfangs die ISPs, um herauszufinden was los war. Von den Internet-Anbietern erfuhr er, dass es sich um eine Art Standardbox des SORM-Entwicklers und Revizor-Systems handelte. Woraufhin ihm auch ein Insider im Mai 2018 mitteilte, dass das Sniffer-Equipment von MFI-Soft stammt – einem der größten Anbieter des SORM-Equipments.

 

Bild von https://meduza.io/en/feature/2019/08/27/suspicious-sniffers

“This is a standard box from MFI Soft. When we were buying this kind of thing, nobody told us about any ‘features’ like this. Theoretically, it shouldn’t be looking at the Internet, but the vendor should be keeping an eye on this, so he’s requesting remote access. So it’s part of the deal to be able to turn it inside out. One operator posts an ACL [access-control list], and the other hopes the vendor is right in the head. The reasoning is something like ‘FSB – security.’ […] In principle, it’s still pretty innocuous statistics […] but who knows what else is there.”

In seinem Vortrag zeigte der Programmierer, wie er die veröffentlichten Daten nutzen konnte, um die MAC-Adressen verschiedener Router und sogar die GPS-Koordinaten von Dutzenden von Menschen im Dorf Dagestani in Novosilske zu ermitteln.

SORM-Leak beinhaltet sogar Daten einer geschlossenen Nuklearforschungsstadt

Ein weiteres Gerät in Moskau leakte Dutzende ICQ-Nummern, die IMEI-Nummern von mehreren hundert Mobiltelefonen und deren Telefonnummern. Diese Daten gehören wahrscheinlich zu Einzelpersonen, nicht zu Unternehmen, da die Datenverkehr an Wochentagen und Feiertagen genauso aktiv sei, wie zu jeder anderen Zeit, sagt Evdokimov. In den Protokollen der Moskauer Ausrüstung stellte Evdokimov auch mehr als 300.000 GPS-Koordinaten fest.  Nach dem Aussortieren von Duplikaten und dem Vervollständigen der Zahlen stellte er fest, dass 9.000 von 10.000 Koordinaten in der Atomhauptstadt Russlands, Sarow, konzentriert waren (ehemals Arzamas-16).

SORM-Schwachstellen wurden erst nach einem Jahr gepatcht

 

Leonid Evdokimov nutzte für seine Recherche alte Schwachstellen des Samba-Dienstes 4.1.1 (Remote Code Execution CVE-2015-0240). Des Weiteren nutzte er auch Schwachstellen aus von PostgreSQL, Elasticsearch und NFS. Im Juni 2018, nach Evdokimovs Recherchen, begannen russische Internet-Provider, die von ihm entdeckten Schwachstellen zu schließen. Dennoch blieben aber sechs der Server noch bis zum 25. August 2019  zugänglich. Sie wurden erst am 26. August endgültig abgeschaltet, als der Telegrammkanal unkn0wnerror die Konferenzpräsentation von Evdokimov veröffentlichte.

MFI Soft und weitere vier Unternehmen, die SORM-Hardwarelösungen anbieten, gehören zur Gruppe „Citadel“, die wiederum Teil dem Imperiums von Anton Cherepennikov angehören. Laut einem Bericht von RBC vom 7. August 2019 ist Cherepennikov Partner von Alisher Usmanov, einem der reichsten Menschen in Russland. Nach Angaben ihres größten Konkurrenten kontrolliert die Citadel-Gruppe zwischen 60 und 80 Prozent des russischen SORM-Marktes. Von allen SORM-Ausrüstern verzeichnete MFI Soft im vergangenen Jahr das größte Wachstum, mit einem Umsatzanstieg von 294 Prozent auf 10,3 Milliarden Rubel (umgerechnet etwa 154,5 Millionen Dollar) und einem Gewinnanstieg von 298 Prozent auf fast 2,1 Milliarden Rubel (= 31,5 Millionen Dollar).

Beitragsbild von Thomas Ulrich auf Pixabay, thx!

Tarnkappe.info