Omul de la mijloc: Legăturile rețelei Telegram cu serviciul de informații ruse FSB, dezvăluite de jurnaliști de investigație parteneri OCCRP

Telegram, una dintre cele mai populare aplicaţii de mesagerie, este mândria industriei IT din Rusia. Potrivit lui Pavel Durov, antreprenorul enigmatic care a creat serviciul în urmă cu 12 ani, Telegram are acum peste un miliard de utilizatori activi lunar în întreaga lume. Printre motivele acestui succes se numără reputația Telegram pentru securitate, dar şi imaginea lui Durov de campion al libertății de exprimare, care a sfidat numeroase guverne.

Cu toate acestea, o nouă investigație realizată de Important Stories, partener OCCRP, dezvăluie o vulnerabilitate critică a aplicaţiei. În 2022, Ministerul Justiţiei din Rusia a desemnat publicaţiile OCCRP şi Important Stories drept “organizaţii indezirabile”, ceea ce le-a obligat să-şi închidă operaţiunile în ţară.

Când reporterii au investigat cine controlează infrastructura care asigură fluxul miliardelor de mesaje de pe Telegram, au găsit un om care, fără să aibă un profil pe aplicaţie, reuşeşte să aibă un acces de neegalat la informaţiile difuzate pe Telegram: Vladimir Vedeneev, un inginer de rețea în vârstă de 45 de ani.

Vedeneev deține compania care întreține echipamentele de rețea ale Telegram și alocă mii de adrese IP ale acesteia. Documente judiciare arată că i s-a acordat acces exclusiv la unele dintre serverele Telegram și a fost chiar împuternicit să semneze contracte în numele Telegram.

Nu există dovezi că această companie ar fi lucrat cu guvernul rus sau că ar fi furnizat date, însă alte două companii ale lui Vedeneev, strâns legate de prima — una care alocă, de asemenea, adrese IP pentru Telegram și o alta care a făcut acest lucru până în 2020 — au avut mai mulţi clienți extrem de sensibili, care au legături cu serviciile de securitate ruse. Printre clienți se numără serviciul de informații FSB, un „centru de calcul pentru cercetare” secret, care a ajutat la planificarea invaziei Ucrainei și care a dezvoltat instrumente pentru deanonimizarea utilizatorilor de internet, precum și un laborator de cercetare nucleară de prim rang, deținut de stat.

Un specialist IT ucrainean, care a vorbit cu reporterii sub protecția anonimatului, a declarat că armata rusă a folosit supraveghere de tip „man-in-the-middle” (omul de la mijloc) în țara sa, după ce a fost capturată infrastructura de rețea.

„Obții acces fizic la canalul de transmitere a datelor și îți instalezi echipamentul acolo,” a spus el. „Într-un astfel de atac, hackerii nu sunt atât de interesați de corespondența utilizatorului. Ei obțin metadate pentru a le analiza. Și asta înseamnă adrese IP, locațiile utilizatorilor, cine schimbă pachete de date cu cine, ce fel de date sunt… practic, toate informațiile posibile.”

Durov este în prezent investigat în Franța, după ce a fost arestat în august anul trecut sub acuzații legate de circulația de conținut ilegal pe Telegram. El nu a răspuns solicitărilor de a comenta. Vedeneev a vorbit cu reporterii, dar a refuzat ca oricare dintre comentariile sale să fie făcute publice.

Părăsirea Rusiei

Povestea Telegram începe cu un alt site de socializare mai puțin cunoscut în afara Rusiei: VKontakte.

Creat de Durov în 2006, când avea doar 21 de ani, site-ul a câștigat rapid o bază mare de utilizatori, deoarece a copiat multe dintre funcțiile cele mai populare ale Facebook și a oferit acces gratuit la o mare varietate de muzică și videoclipuri piratate.

Dar ascensiunea VKontakte s-a lovit de autoritarismul în creștere al președintelui rus Vladimir Putin. Când grupurile de opoziție au folosit site-ul pentru a ajuta la organizarea protestelor antiguvernamentale în masă din 2012, autoritățile i-au cerut lui Durov să le interzică accesul pe platformă.

„Polițiști înarmați [au venit] la mine acasă, au încercat să intre cu forța pentru că am refuzat,” a declarat anul trecut într-un interviu cu Tucker Carlson, explicând că acest episod i-a dat ideea de a crea un nou serviciu de mesagerie, mai sigur.

Confruntându-se cu presiuni suplimentare din partea autorităților care acum îi cereau să dezvăluie datele personale ale ucrainenilor care protestau împotriva guvernului aliniat Kremlinului de la Kiev, Durov a părăsit Rusia în 2014. El și-a vândut participația la VKontakte — preluată ulterior de persoane apropiate Kremlinului — și a publicat un manifest: „Șapte motive pentru a nu te întoarce în Rusia.”

Telegram îi asigură pe utilizatori că datele lor sunt în siguranță: „Datele aflate în chaturile din cloud sunt stocate în multiple centre de date din întreaga lume, controlate de diferite entități juridice răspândite în diferite jurisdicții,” se arată în secțiunea de Întrebări Frecvente a companiei. „Cheile de decriptare relevante sunt împărțite în părți și nu sunt niciodată păstrate în același loc cu datele pe care le protejează. … Datorită acestei structuri, putem garanta că niciun guvern sau bloc de țări cu viziuni similare nu poate încălca viața privată și libertatea de exprimare ale oamenilor.”

Dar experții în securitatea rețelelor avertizează că până și conversațiile criptate end-to-end de pe Telegram lasă o serie de vulnerabilităţi în ceea ce priveşte urmărirea utilizatorilor. Conform protocolului MTProto al aplicației, care guvernează modul în care funcționează criptarea din Telegram, la începutul fiecărui mesaj criptat este ataşat un element necriptat. 

„Partea necriptată se numește ‘auth_key_id’,” a spus Michał „rysiek” Woźniak, un specialist în securitate care a lucrat pentru OCCRP ca șef al departamentului de infrastructură și securitate a informației. „Acest lucru face posibilă identificarea unui dispozitiv specific al utilizatorului.”

„Dacă știu ‘auth_key_id’-ul dispozitivului tău și pot asculta rețeaua care gestionează datele… știu că dispozitivul tău specific este cel care comunică cu serverele Telegram,” explică el. „Privind pachetele de rețea… obțin și adresa ta IP la un moment dat, care îmi indică locația geografică aproximativă.”

Acest lucru înseamnă că oricine controlează traficul de rețea al Telegram este capabil să urmărească utilizatorii, chiar dacă mesajele în sine nu pot fi citite, mai arată investigația OCCRP.

Omul de la Mijloc

Pentru a afla cum călătoresc mesajele Telegram, reporterii și-au trimis mesaje unii altora și au înregistrat traficul folosind Wireshark, un analizor de trafic de rețea. Rezultatele au arătat că adresele IP erau controlate de o companie înregistrată în Antigua și Barbuda, numită Global Network Management (GNM).

Analizând intervale suplimentare de adrese IP gestionate de companie, reporterii au descoperit că GNM a închiriat peste 10.000 de adrese IP către Telegram, ceea ce înseamnă că joacă un rol semnificativ în infrastructura mesageriei.

Documente dintr-un caz judiciar altminteri banal din Florida — o dispută între GNM și un contractor — dezvăluie mult mai mult.

Proprietarul GNM, arată documentele, este un inginer de rețea rus pe nume Vladimir Vedeneev. El declară instanței că firma sa „este implicată în instalarea echipamentului clientului — în acest caz pentru Telegram Messenger — și în suportul tehnic ulterior al acestui echipament.”

Conform documentelor legale ale companiei sale, Vedeneev a fost singura persoană autorizată să acceseze serverele Telegram, dintr-un centru de date din Miami. El a mărturisit, de asemenea, că firma sa deține un router în camera serverelor Telegram.

„Dacă o companie controlează routerele care distribuie traficul ce trece prin serverele Telegram, acest lucru înseamnă că ea, sau oricine căruia compania îi acordă un astfel de acces, poate vedea identificatorii utilizatorilor mesageriei,” spune Woźniak, specialistul în securitate.

Documentele din cazul judiciar arată, de asemenea, că relația lui Vedeneev cu Durov depășește simpla furnizare de infrastructură de rețea.

Acum nouă ani, mai arată documentele, Durov l-a împuternicit pe Vedeneev să semneze documente în calitate de director financiar (CFO) al Telegram. Un contract găsit în materialele cazului împuternicește GNM, compania lui Vedeneev, să trateze cu un contractor terț în numele Telegram. Acesta este semnat de Vedeneev de două ori: o dată ca director al GNM și o dată ca CFO al Telegram.

Captură de ecran a documentului judiciar obținut de Important Stories

În mărturia sa, Vedeneev descrie aranjamentul ca fiind „informal” și spune că nu a fost niciodată plătit de Telegram ca angajat. Dar el mai spune instanței că „a avut o procură pentru a semna documente în numele lui Pavel Durov și în numele Telegram.”

Vedeneev este un jucător cheie pe piața de telecomunicații din Rusia. El este fondatorul GlobalNet, un operator de telecomunicații de magistrală (backbone) din Sankt Petersburg, care controlează 18.000 de kilometri de infrastructură de magistrală din Siberia până în Europa de Vest, în 24 de țări. Până în 2020, adresele IP ale Telegram, acum alocate de GNM, erau controlate de GlobalNet. 

Conform datelor de pe portalul oficial de achiziții publice al Rusiei, GlobalNet furnizează, de asemenea, infrastructură de comunicații Institutului Kurceatov, un laborator de cercetare nucleară deținut de stat, condus de aliatul lui Putin, Mihail Kovalciuk, și sancționat de Statele Unite.

La scurt timp după invazia pe scară largă a Ucrainei de către Rusia în 2022, GlobalNet a declarat că a fost primul operator rus care a implementat un sistem de monitorizare a traficului utilizatorilor, numit Inspecție Detaliată a Pachetelor (Deep Packet Inspection – DPI) „conform regulilor [reglementatorului rus de internet] Roskomnadzor.”

GlobalNet, compania lui Vedeneev, a cumpărat DATAIX în 2018, făcându-l pe el, pe familia Durov și pe ofițerul forțelor spațiale parteneri de afaceri timp de ani de zile. Vedeneev și-a transferat participația la GlobalNet către rude anul trecut. GlobalNet nu a răspuns solicitărilor de a comenta.

Reporterii au obținut documentele contabile interne ale companiei pentru 2024, care arată că unul dintre cei mai importanți clienți guvernamentali ai GlobalNet este FSB.

Documentele arată că Electrotelecom instalează și gestionează echipamente pentru un sistem care este folosit de birourile FSB din Sankt Petersburg și din regiunea Leningrad pentru supraveghere.

Citeşte investigaţia completă aici.