Российский парадокс безопасности
DNS/MX-ЗАПИСИ
Поддомен ksmg.sns.am подтверждает, что СНБ использует Kaspersky Security for Mail Gateway -- российский продукт кибербезопасности. США запретили Kaspersky в федеральных учреждениях в 2017 году из-за опасений по поводу доступа российской разведки. Служба национальной безопасности Армении использует его для фильтрации всей своей электронной почты.
Та же СНБ, которая:
- Использовала шпионское ПО Predator против граждан Армении
- Использует родителей пропавших солдат как информаторов
- Является соавтором статьи о расширении возможностей слежки
...маршрутизирует свою почту через российское ПО безопасности. Если российская разведка захочет получить доступ к коммуникациям СНБ, инфраструктура для этого уже есть.
Открытая инфраструктура
ПЕРЕЧИСЛЕНИЕ ПОДДОМЕНОВ
| ПОДДОМЕН | ЧТО ЭТО | РИСК |
|---|---|---|
| ksmg.sns.am | Kaspersky Security for Mail Gateway | Российское ПО на почте СНБ |
| matrix.sns.am | Зашифрованный чат-сервер Matrix | Платформа внутренних коммуникаций раскрыта как поддомен |
| docs.sns.am | Система управления документами | Портал внутренних документов |
| sahmanapah.sns.am | Портал пограничной службы | Система пограничной безопасности |
| old.sns.am | Старый сайт на Joomla | Устаревшая CMS все еще доступна -- потенциальные уязвимости |
Документы: 20 файлов в публичной директории
ИЗВЛЕЧЕНО С ПУБЛИЧНОГО СЕРВЕРА
СНБ оставила 20+ официальных документов в публично доступной директории загрузок на sns.am. Эти файлы были проиндексированы веб-архивами до того, как директорию заметили. OWL извлек их.
| ТИП | КОЛИЧЕСТВО | КРУПНЕЙШИЙ |
|---|---|---|
| PDF-документы | 15 | 275 страниц (1.9 МБ) |
| Word-документы (DOCX/DOC) | 5 | Различные |
| Всего | 20 файлов | 6.4 МБ |
Все документы доступны для скачивания:
- Документ на 275 страниц (1.9 МБ PDF)
- Документ на 67 страниц (529 КБ PDF)
- Документ на 20 страниц (1.6 МБ PDF)
- Документ на 20 страниц (354 КБ PDF)
- Документ на 13 страниц (377 КБ PDF)
- Документ на 13 страниц (278 КБ PDF)
- Документ на 11 страниц (197 КБ PDF)
- Документ на 10 страниц (137 КБ PDF)
Все метаданные удалены из документов перед публикацией. OWL получил их из публично доступных веб-архивов.
В парламенте еще хуже
БАЗА УТЕЧЕК
Расследуя СНБ, OWL также обнаружил, что parliament.am имеет 13 скомпрометированных компьютеров -- 8 машин сотрудников заражены инфо-стилерами. У всех были слабые пароли. Открытые внутренние системы включают веб-почту, портал инвентаризации и токены сброса паролей.
Парламент также имеет серверы dev, staging, test и gitlab, доступные из интернета. Любой может проверить их на уязвимости.
| УЧРЕЖДЕНИЕ | СКОМПРОМЕТИРОВАНО | ПРОБЛЕМА |
|---|---|---|
| NSS (sns.am) | Открытая директория документов, российский почтовый шлюз | Инфраструктура раскрыта |
| Парламент (parliament.am) | 13 компьютеров с инфо-стилерами | Слабые пароли, внутренние системы открыты |
| МИД (mfa.am) | 22 скомпрометированных аккаунта | Где Rubinyan служил замминистра |
Паттерн: шпионят за гражданами, не могут защитить себя
СНБ использует шпионское ПО Predator против граждан Армении. Внедряет информаторов в семьи пропавших солдат. Ее заместитель является соавтором статьи о расширении слежки. Правительство продвигает ИИ-слежку.
Но то же ведомство:
- Маршрутизирует почту через российское ПО Kaspersky
- Оставляет официальные документы в публичных директориях
- Раскрывает свой зашифрованный чат-сервер как поддомен
- Держит устаревший сайт на Joomla в открытом доступе
Ведомство, которое следит за гражданами Армении, не может защитить собственные серверы. Ведомство, которое использовало Predator, маршрутизирует почту через Kaspersky. Парламент, принимающий законы о слежке, имеет 13 компьютеров, зараженных инфо-стилерами. Они хотят инструменты ИИ-слежки -- но не могут даже убрать свои документы из публичного интернета. Они следят за вами. Они не могут защитить себя. И теперь 20 их документов здесь -- для всех.
Источники: анализ DNS/MX-записей, перечисление поддоменов (Subfinder, theHarvester), архивный контент Wayback Machine, база утечек HudsonRock. Все из открытых источников. Документы получены из публично доступных веб-архивов. Все метаданные удалены перед публикацией.