Note d'information: Au cours de l'année écoulée, Recorded Future a examiné les vitesse de publication, missions, et utilité des bases de données nationales sur la vulnérabilité (NVD) de deux pays : la Chine et les États-Unis. Nous avons décidé d'appliquer les mêmes techniques analytiques à la base de données sur la vulnérabilité de la Russie afin de voir ce que nous pouvions en tirer. Ce rapport comprend une analyse détaillée des vulnérabilités publiées par le Service fédéral russe pour le contrôle technique et l'exportation (FSTEC), des documents officiels du gouvernement russe, des données de Recorded Future et des renseignements provenant de sources ouvertes (OSINT). Les données analysées pour ce rapport ont été compilées le 30 mars 2018.

Executive Summary

Russia’s vulnerability database is highly focused. However, it is incomplete, slow, and likely intended to support the control of the Russian state over technology companies and users. Generally, Russia publishes only 10 percent of known vulnerabilities, is on average 83 days slower than China’s National Vulnerability Database (NVD), 50 days slower than the U.S. NVD, and incomplete in the few technologies it does cover.

Key Judgements

• Russia’s vulnerability database is run by the Federal Service for Technical and Export Control of Russia (FSTEC). FSTEC is the military organization responsible for protecting state secrets and supporting counterintelligence and counterespionage operations.
• FSTEC’s vulnerability database is also known as the BDU (Банк данных угроз безопасности информации). The BDU has published only 11,036 vulnerabilities of the 107,901 CVEs reported by NVD (approximately 10 percent).
• FSTEC has published 61 percent of vulnerabilities exploited by Russian state-sponsored threat groups. This is substantially above the norm of 10 percent; however, the data is insufficient to determine the influence of Russian intelligence services on FSTEC publication.
• FSTEC populates the BDU database with vulnerabilities that primarily present a threat to Russian state information systems. This gives researchers information on which technologies, hardware, and software are used on Russian government networks.

Background

Le Service fédéral russe pour le contrôle technique et l'exportation (FSTEC) a été créé en 2004 et dépend du ministère de la Défense (MOD). La FSTEC dispose d'un siège social à Moscou, de sept « sièges régionaux » et d'un institut de recherche et d'essai en matière de sécurité de l'information connu sous le nom d'Institut d'État pour la science et la recherche expérimentale sur les problèmes de protection des informations techniques de la FSTEC, ou GNIII PTZI FSTEC.

Le siège social de FSTEC est situé à Moscou, à l'adresse suivante : 105066, Moscou, ul. Staraya Basmannaya, 17.

The prime minister’s official website describes FSTEC as “a federal executive body responsible for implementing government policy, organizing interdepartmental cooperation and interaction, and exercising special and control functions in the area of state security.”

According to further official documentation released in 2016, FSTEC implements state policy, organizes interdepartmental cooperation, and exercises special functions of state security in the fields of:

• Information systems security
• Countering foreign technical threats to Russia
• Security of state secrets
• Export control

As intimated in the organization’s title, the first three areas fall squarely under the technical control mission. According to our extensive review of FSTEC documentation, export control likely assumes a much smaller share of FSTEC resources than all of the tasks and functions under technical control. The technical control mission covers internal control, state information systems, and foreign technology sold in Russia.

Bien que subordonnée au ministère de la Défense, la FSTEC dispose d'une liste beaucoup plus longue et plus étendue de compétences, notamment dans les domaines du contrôle technique et de la sécurité des secrets d'État. Selon la documentation disponible sur le site web de la FSTEC, l'organisation réglemente également le commerce des matériaux pouvant être utilisés dans la fabrication d'armes chimiques et nucléaires, lutte contre le renseignement technique, émet des avis sur l'utilisation du territoire russe pour la recherche scientifique étrangère et finance des recherches sur l'étude des rayonnements émis par différents types de systèmes et d'appareils.

La FSTEC dispose également d'un conseil composé de hauts fonctionnaires nommés en fonction de leur poste. Ce conseil comprend notamment le premier chef d'état-major adjoint de l'armée russe, le vice-ministre de l'Intérieur, le chef du Service de sécurité économique du Service fédéral de sécurité (FSB) et le directeur adjoint du SVR. La fonction principale du conseil est d'établir et d'administrer le budget du FSTEC, ainsi que de coordonner les fonctions interdépartementales.

Parmi les nombreuses responsabilités qui lui incombent au titre des quatre fonctions principales du FSTEC, l'organisation collabore également avec le FSB pour protéger les secrets d'État, soutient le contre-espionnage technique et le contre-espionnage^{1, et} est habilitée à surveiller les communications des fonctionnaires qui travaillent avec des secrets d'État.

La FSTEC est actuellement dirigée par Vladimir Selin, qui occupe ce poste depuis mai 2011. Selin est assisté par un premier directeur adjoint, Sergey Yakimov, et quatre directeurs adjoints. Outre son poste de directeur de la FSTEC, M. Selin est également membre du Conseil de la défense et vice-président de la Commission sur les secrets d'État (au sein de laquelle il siège aux côtés du chef d'état-major général des forces armées russes, le général Valery Gerasimov).

Selon des documents officiels de l'État, en 2015, la FSTEC comptait au total 1 111 employés, sans compter le personnel de sécurité, de protection et de maintenance. Sur les 1 111 employés, 225 sont basés au siège social de Moscou et les 886 autres sont répartis dans les sept bureaux régionaux de FSTEC.

Given the mission focus on technical control, it is likely that the majority of these 1,111 employees work on issues related to this mandate, while a much smaller minority support FSTEC’s export control work.

FSTEC’s Vulnerability Publication Process

La FSTEC gère également une base de données publique sur les vulnérabilités, accessible à tous via le site web bdu.fstec.ru/vul. La page d'accueil indique que l'objectif de la base de données est de « sensibiliser les personnes intéressées aux menaces existantes pour les systèmes de sécurité de l'information » et qu'elle est destinée à un large éventail de clients, d'opérateurs, de développeurs, de professionnels de la sécurité de l'information, de laboratoires d'essai et d'organismes de certification.

FSTEC also states that the database “contains information about the main threats to information security and vulnerabilities, primarily those characteristic of state information systems and automated systems for managing production and technological processes of critical facilities.²”

Page d'accueil de la base de données sur les menaces pour la sécurité de la FSTEC, qui présente l'objectif et le public cible des données.

FSTEC does not claim that this database is exhaustive. Instead, it focuses on publishing vulnerabilities for information systems used by the state and in “critical facilities.” This mission is also exhibited in the responsibilities and activities of FSTEC’s seven regional departments. The majority of tasks levied upon each of the regional headquarters are overwhelmingly centered around countering foreign technical intelligence and protecting state information systems and data within each district. Of the 10 or 11 tasks levied upon each of the regional headquarters, the top seven all concern countering foreign technical intelligence collection and protecting state information systems, while the remaining relate to export control.

Reporting a threat or vulnerability to the database (known as the BDU) is relatively simple. FSTEC provides a form for submission which closely matches the vulnerability entries themselves.

Formulaire de signalement de vulnérabilité FSTEC.

Entrée FSTEC BDU pour CVE-2018-8148.

FSTEC even provides simple download links to retrieve its entire database as either Excel or XML files. These downloads contain fields typical of other vulnerability databases including internal IDs, corresponding CVE identifiers, affected technologies, links to supporting documents, severity assessments, etc. What is not included in the publication is the date for when FSTEC first disclosed the vulnerability. We used proprietary techniques to establish these dates for vulnerabilities disclosed by FSTEC since January 1, 2017.

FSTEC Is Not a Public Service Organization

La FSTEC est une organisation subordonnée au ministère de la Défense (MOD), dirigée par celui-ci et relevant de son administration. Tous les hauts responsables actuels de la FSTEC, y compris le directeur, les directeurs adjoints et tous les chefs des sièges régionaux, sont d'anciens officiers militaires, dont beaucoup ont également occupé simultanément des postes d'officier ou de réserviste au sein de la FSTEC.

Screenshot of the biography of Pavel Maksyakov, head of the FSTEC Volga District office.

La mission principale de la FSTEC est explicite, documentée et réitérée dans toutes les lois et tous les décrets ; la sécurité de l'État est sa mission première. Contrairement à ses organisations « sœurs » dans d'autres pays, telles que le CNITSEC en Chine (qui gère le CNNVD), la FSTEC ne revendique pas de mission de service public, mais alimente sa base de données sur les vulnérabilités (BDU) avec des vulnérabilités qui constituent principalement une menace pour les systèmes d'information de l'État. Cependant, la FSTEC diffère du CNITSEC en ce qu'elle est une organisation militaire ouverte ayant une mission officielle de secret d'État.

A 2014 meeting between Chinese Premier Li Keqiang and Russian Prime Minister Dmitry Medvedev indicates that the Russian government views the Chinese Ministry of Commerce as the functional Chinese counterpart to FSTEC, not CNITSEC or the Ministry of State Security. This is probably because of FSTEC’s primary focus on technical control of the domestic information and technology environment, which is a much broader mission than CNITSEC’s.

Since FSTEC is an overt military organization, the questions about FSTEC’s vulnerability database primarily center around why FSTEC even publishes the few vulnerabilities that it does. As documented below, the BDU is extremely slow and not comprehensive. The few vulnerabilities it does publish tell us more about FSTEC’s mission and Russian state information systems than the intentions of the Russian military for offensive cyber operations.

Threat Analysis

La FSTEC a commencé à publier des données sur les vulnérabilités en 2014, environ 15 ans après la création de la base de données nationale américaine sur les vulnérabilités (NVD). Comme le montre le graphique ci-dessous, les vulnérabilités FSTEC publiées par année témoignent d'un faible nombre de publications en 2014, d'une forte augmentation en 2015, puis d'une baisse entre 2016 et 2018.

Russian vulnerabilities published by year.

What Happened in 2015?

In examining the mapping of FSTEC’s BDU identifiers to NVD’s CVE identifiers, we observed that the mappings were not always one to one. FSTEC occasionally linked multiple CVEs into a single BDU vulnerability, and also occasionally created multiple BDU identifiers for different operating systems vulnerable to a single CVE. Russian BDUs cover 11,036 — or approximately 10 percent — of the 107,901 CVEs reported by NVD. This difference is not simply due to FSTEC starting later, as approximately 25 percent of CVEs covered by FSTEC were from years before FSTEC began operation.

Malgré la corrélation non linéaire entre les identifiants BDU et CVE, il est évident que la FSTEC a publié beaucoup plus de vulnérabilités en 2015 que durant toute autre année. Cela s'explique probablement par le fait que 2015 a été une année expérimentale pour la base de données BDU, au cours de laquelle la FSTEC a évalué sa fonctionnalité et son utilité. Bien que le rapport d'activité annuel 2015 de la FSTEC (publié en mars 2016) n'ait pas abordé les résultats de l'expérience BDU, il ressort clairement des données qu'il a été décidé de réduire considérablement la portée et le nombre de vulnérabilités publiées. Un champ d'application plus restreint est également plus conforme à la mission publique de la base de données, qui consiste à signaler les vulnérabilités des systèmes d'information utilisés par l'État ou dans des « installations critiques ».

Furthermore, among the vulnerabilities that FSTEC published the fastest, 75 percent were vulnerabilities for browsers or industrial control-related software.

In previous reporting, we assessed the differing rates of vulnerability disclosure publications between the Chinese and U.S. national vulnerability databases and learned that the Chinese are much faster at disclosure on average than the United States. We examined the set of vulnerabilities published in 2017 to 2018 that were in common among the three national vulnerability databases and observed that Russian vulnerability disclosure dramatically lags behind both U.S. and Chinese disclosure. Russian vulnerability disclosure is not only incomplete, but also extremely slow.

Days of vulnerability disclosure delay across different national vulnerability databases.

To better understand how FSTEC selected vulnerabilities to disclose, we examined the technology vendors that FSTEC covered at a higher rate than expected given its overall coverage level of 10 percent. The black line in the two charts below (at the value for 10) represents the 10 percent of all vulnerabilities that FSTEC publishes. All vendors with coverage under 10 percent are considered “under covered,” and all vendors substantially over 10 percent are considered “over covered.”

Percentage of vendor CVEs covered by FSTEC.

Percentage of vendor CVEs covered by FSTEC.

Similar analysis suggests that FSTEC significantly under covered content management systems (such WordPress, Joomla, and Drupal), as well as IBM and Huawei compared to its baseline level of coverage across all technologies.

Coverage of Russian APT Vulnerabilities

In a 2016 Recorded Future publication, we provided an analysis of vulnerabilities used by Russian APTs, and in particular, which vendors were most widely represented.

Image from a Recorded Future blog, “Running for Office: Russian APT Toolkits Revealed.”

Vendors for all of these technologies were listed in the areas that FSTEC over focused on. This means that FSTEC published far more than 10 percent of the vulnerabilities discovered for each vendor. However, each of these vendors produces some of the most widely used software in the world and it would be reasonable to expect that Russian APT groups would target these technologies.

To explore this point more thoroughly, we also conducted an updated analysis of all vulnerabilities exploited by Russian APT groups in the last four years. Utilizing only vulnerabilities with a CVE number and those which were also published by U.S. NVD and CNNVD, we identified 49 vulnerabilities that had been utilized by Russian APT groups in that timeframe.

Trente de ces 49 vulnérabilités, soit 61 %, ont été publiées par la FSTEC. Ce chiffre est nettement supérieur à la moyenne de 10 % enregistrée par la FSTEC. En outre, 18 de ces 30 vulnérabilités publiées ont été exploitées par APT28, qui a été attribué au Direction principale du renseignement militaire (GRU) de l'armée russe. Cela signifie que la FSTEC publie 60 % des vulnérabilités exploitées par l'armée russe. Ce chiffre est bien supérieur à la moyenne statistique de 10 % enregistrée par la FSTEC.

Again, many of these vulnerabilities are for the most widely used software in the world. However, this abnormally high reporting rate for both the software vendors and vulnerabilities themselves raises two possibilities. First, since FSTEC’s mission is to protect Russian government information systems, this indicates that Russian government systems utilize these programs and were themselves exposed to these vulnerabilities as well. This is further confirmation that examining FSTEC publications can yield insight into Russian government information systems.

Deuxièmement, la FSTEC est une organisation militaire, compte plusieurs membres des services de renseignement militaire au sein de son conseil d'administration et interagit régulièrement avec les services de renseignement militaire afin de protéger les systèmes classifiés. Il est possible que les services de renseignement militaire soient tenus de protéger les systèmes d'information de l'État russe grâce aux connaissances qu'ils possèdent sur leurs vulnérabilités, ou que les pirates informatiques militaires russes exploitent les vulnérabilités publiées par le FSTEC pour mener leurs opérations.

The public record and available data is not yet sufficient to determine the relationship between FSTEC and Russian state-sponsored cyber operations. However, it is clear that FSTEC’s vulnerability database is utilized by Russian intelligence services in a different manner than CNNVD is by Chinese intelligence. In China, CNNVD delays or hides the publication of vulnerabilities being used by the intelligence services, while in Russia, it is possible that FSTEC publishes vulnerabilities being used by the intelligence services in order to protect against them.

The only high-coverage vendor covered by FSTEC but not listed above is Novell.

From our over-coverage analysis, we know FSTEC focuses on Adobe more than any other individual vendor by covering nearly half of all Adobe vulnerabilities. However, when we took a closer look at the Adobe vulnerabilities not covered by FSTEC, we observed that FSTEC has not published 386 Adobe vulnerabilities with a CVSS score of 10, or 871 Adobe vulnerabilities with a CVSS score greater than eight. FSTEC is not even comprehensive on vulnerability disclosure for the technology area in which the data clearly shows the most interest.

Si le FSTEC était une ressource fiable pour les informations sur les vulnérabilités, il devrait être plus rapide et plus complet. Même les partenaires commerciaux de FSTEC ne prétendent pas utiliser exclusivement la base de données BDU. Nous examinons ci-dessous trois hypothèses pour expliquer pourquoi la FSTEC publie si peu de vulnérabilités.

Technology Licensing

Une partie importante de la mission de contrôle technique de la FSTEC consiste à examiner les produits et à délivrer des licences aux entreprises qui souhaitent commercialiser leurs produits en Russie. Selon un article de Reuters publié en juin 2017, le FSB et le FSTEC procèdent tous deux à des examens des technologies étrangères, y compris « le code source des produits de sécurité tels que les pare-feu, les applications antivirus et les logiciels contenant des systèmes de cryptage, avant d'autoriser l'importation et la vente de ces produits dans le pays ». Le FSB aurait recours à des entreprises partenaires certifiées pour effectuer certaines vérifications, notamment une société appelée Echelon, qui est également partenaire de la FSTEC pour la gestion de la base de données BDU.

Selon Echelon et les sites web de plusieurs autres partenaires certifiés de la FSTEC,^le FSB est chargé de l'examen des outils cryptographiques et de chiffrement, tandis que la FSTEC délivre les licences pour le développement ou la production et la protection technique des « informations confidentielles ». Les licences FSTEC sont généralement requises pour la production et la vente de logiciels en Russie.

Parmi les partenaires de la FSTEC dans l'administration du BDU, notamment Digital Security, l'Institut de programmation système de l'Académie russe des sciences V.P. Ivannikova, Rusbitech, All-Tech-Soft et Perspective Monitoring, seul Echelon affirme être en mesure d'assister ses clients dans le cadre des contrôles effectués par la FSTEC, le FSB et le MOD.

However, unlike the FSB, FSTEC does not use partners or intermediaries to conduct its reviews. In October 2016, FSTEC issued a clarification on its website, stating that FSTEC does not interact with “intermediaries” and does not work with any private organizations in the “provision of government services for licensing.”

FSTEC publishes a registry of licensees for each certification it issues. Fourteen licenses have been issued in 2018 for the development and production registry, while 66 technical protection licenses have been issued this year (as of July 9, 2018). This is in contrast to the 140 development and production licenses and 293 technical protection licenses issued in 2017.

Many well-known international companies have received these certifications, including Honeywell, Alcatel-Lucent, Kaspersky, Huawei, Hewlett-Packard, Bombardier, Atos, and Symantec.

Timeline of foreign technology inspections conducted by FSTEC.

The criteria for obtaining an FSTEC license are so broad that it is difficult to assess which information from a software company would be deemed unnecessary to the approval process. Further, despite the different certification regimes and credentials, the information a company must share with FSTEC is very similar to that required by the FSB for its licensure. This includes extensive data on personnel, facilities, products, software production and testing, and more.

Outlook

Why Does FSTEC Publish so Few Vulnerabilities?

As the research above demonstrates, FSTEC broadly publishes only about 10 percent of known vulnerabilities. The larger question is, “Why?” Why waste resources on a vulnerability disclosure database that does not address 90 percent of vulnerabilities for its users? There are three likely hypotheses:

1. FSTEC is vastly under resourced and can only focus on key technologies for Russian users and key vulnerabilities of these technologies.
2. FSTEC is a military organization and is publishing “just enough” content to be credible as a national vulnerability database. The Russian government needs vulnerability research as a baseline for FSTEC’s other technical control responsibilities, such as requiring reviews of foreign software.
3. FSTEC has a dual offensive and information security mission and publishes based on the competing needs. This would be similar to how China’s NVD (CNNVD) functions.

Dans des recherches antérieures, nous avons révélé que le Laboratoire des technologies de l'information (ITL) du NIST emploie environ 400 scientifiques et techniciens et dispose d'un budget annuel d'environ 120 millions de dollars. L'ITL est composé de sept divisions et gère de nombreuses bases de données et systèmes, dont le NVD américain. En comparaison, le FSTEC russe compte 1 111 employés, sans compter le personnel de sécurité, de protection ou de maintenance, et dispose d'une structure bureaucratique et d'un champ d'action à peu près comparables (voire légèrement supérieurs). Bien que le NIST ITL et le FSTEC ne soient pas des organisations analogues, cette comparaison approximative démontre que le FSTEC ne manque pas de ressources pour mener à bien sa mission et que le fait de ne signaler que 10 % des vulnérabilités publiées relève d'un choix et n'est pas dû à des contraintes budgétaires.

Further, FSTEC does not even provide adequate coverage of the technology it focuses on most. As shown in our example above, FSTEC has published about half of all Adobe vulnerabilities; however, it is still missing over 1,000 Adobe vulnerabilities with a CVSS of “critical” or “high.” If Adobe truly were that important to it, then FSTEC would not omit the publication of these vulnerabilities with the highest possible severity scores. This leads to the conclusion that FSTEC does not determine the need for publication simply by focusing on several key technologies. This also rules out hypothesis number one, that FSTEC is hugely under resourced and does not have the personnel or capital to keep up with NVD.

Second, we find no evidence to support hypothesis number three, that FSTEC is following CNNVD’s model in trying to balance public disclosure and offensive cyber missions. FSTEC is not a public service organization — its database is not comprehensive or timely and does not publish enough vulnerabilities to support a broadly protective mission. FSTEC’s mission, instead, is very focused and specific: to protect Russian state and critical infrastructure systems and support counterintelligence efforts.

Additionally, FSTEC over reports on vulnerabilities that have been exploited by Russian state-sponsored threat groups, while CNNVD delays or hides the publication of vulnerabilities that have been utilized by Chinese intelligence. If anything, FSTEC might be a little too focused in its support of Russian state information systems, as the few vulnerabilities it does publish yield insight into Russian government priorities and software.

Enfin, nous estimons avec un haut degré de confiance que l'hypothèse numéro deux décrit avec précision la mission et l'intention de la NVD russe. L'objectif est que la base de données sur les vulnérabilités de la FSTEC serve de référence pour les systèmes d'information des États et justifie les examens des technologies étrangères. Conformément aux modifications apportées en février 2017 à la documentation FSTEC concernant l'inspection et les exigences relatives aux systèmes d'information de l'État, les vulnérabilités de la base de données BDU ont pour but de fournir une base de référence en matière de sécurité — et non une liste exhaustive des vulnérabilités — pour les systèmes d'information de l'État. Cela est encore démontré par la forte augmentation du nombre de publications sur les vulnérabilités en 2015, année expérimentale pour les fonctionnalités futures de la base de données, qui a été suivie d'une baisse des publications. Nos recherches et nos données indiquent que la base de données BDU n'est pas destinée à être exhaustive, mais constitue simplement une référence pour la sécurité des systèmes d'information et les inspections logicielles du gouvernement.

Il est également possible qu'étant donné les chevauchements fonctionnels, managériaux et informels entre la FSTEC et le FSB, une partie de l'attention portée par la base de données BDU aux technologies précises que les groupes APT russes sont connus pour privilégier puisse découler des connaissances du FSB sur ses propres opérations et sur l'exploitabilité de ces technologies. Il existe peu d'éléments pour étayer cette théorie, mis à part le chevauchement entre les vulnérabilités couvertes par FSTEC et celles les plus utilisées par les groupes APT russes.

To this end, the vulnerabilities that FSTEC does publish convey more information about the hardware and software Russian government organizations use on their networks than which vulnerabilities they will target in offensive cyber operations.

¹

Selon leglossaire des termes de contre-espionnage du National Counterintelligence and Security Center(NCSC), le contre-espionnage (CE) est un sous-ensemble unique du contre-espionnage et constitue « le volet offensif ou agressif du contre-espionnage ». « Le CE est une opération offensive, un moyen d'obtenir des renseignements sur l'adversaire en utilisant — ou, plus généralement, en tentant d'utiliser — ses opérations. »

^Cecontenu a été traduit automatiquement à l'aide de Google Translate.

^{3Les biographies}de chaque responsable régional sont disponibles sous l'onglet « Территориальные органы » (Organes territoriaux) sur le site https://fstec.ru.

^4Voir http://rusbitech.ru/about/certificate/, et https://www.altx-soft.ru/license.htm.