Невзрачният офис е в североизточните покрайнини на Москва. Табела гласи: „Бизнес център“. В близост има модерни жилищни блокове и старо гробище с обрасли с бръшлян военни паметници.
Районът е мястото, където някога Петър Велики е обучавал могъщата си армия
Вътре в шестетажната сграда ново поколение помага на руските военни операции. Неговите оръжия са по-модерни от тези от епохата на Петър Велики: не пики и алебарди, а инструменти за хакeрски атаки и дезинформация.
Софтуерните инженери зад тези системи са служители на NTC Vulkan. На пръв поглед това изглежда като обикновена консултантска фирма за киберсигурност. Изтичане на секретни файлове от компанията обаче разкри работата й за укрепване на способностите на Владимир Путин за кибервойна.
Хиляди страници секретни документи, разгледани от The Guardian, разкриват как инженерите на Vulkan са работили за руските военни и разузнавателни агенции, за да подкрепят хакерски операции, да обучават оперативни служители преди атаки срещу националната инфраструктура, да разпространяват дезинформация и да контролират секции в интернет.
Работата на компанията е свързана с федералната служба за сигурност ФСБ – вътрешната шпионска агенция, оперативните и разузнавателни подразделения на въоръжените сили, известни като ГРУ и SVR, руската организация за външно разузнаване.
Един документ свързва инструмент за кибератаки Vulkan с прословутата хакерска група Sandworm, за която правителството на САЩ казва, че два пъти е причинила спирания на електрозахранването в Украйна, прекъснала е Олимпиадата в Южна Корея и е пуснала NotPetya, най-разрушителният за икономиката зловреден софтуер в историята. С кодово име Scan-V, той претърсва интернет за уязвимости, които след това се съхраняват за използване при бъдещи кибератаки.
Друга система, известна като Amezit, представлява план за наблюдение и контрол на интернет в региони под командването на Русия и също така позволява дезинформация чрез фалшиви профили в социалните медии. Трета система, създадена от Vulkan – Crystal-2V – е програма за обучение на кибероператори в методите, необходими за премахване на железопътна, въздушна и морска инфраструктура. Файл, обясняващ софтуера, гласи:
„Нивото на секретност на обработената и съхранявана информация в продукта е „Строго секретно“
Файловете на Vulkan, които датират от 2016 до 2021 г., са изтекли от анонимен информатор, който е разгневен от войната на Русия в Украйна. Такива изтичания от Москва са изключително редки. Дни след нахлуването през февруари миналата година източникът се обърна към германския вестник Süddeutsche Zeitung и каза, че ГРУ и ФСБ се „крият зад“ Вулкан.
„Хората трябва да знаят опасностите от това“, казва човекът, подал сигнала. „Заради събитията в Украйна реших да направя тази информация публично достояние. Компанията върши лоши неща, а руското правителство е страхливо и грешно. Ядосан съм заради нахлуването в Украйна и ужасните неща, които се случват там. Надявам се, че можете да използвате тази информация, за да покажете какво се случва зад затворени врати.“
По-късно източникът споделя данните и допълнителна информация с базираната в Мюнхен разследваща стартираща компания Paper Trail Media. В продължение на няколко месеца журналисти, работещи за 11 медии, включително Guardian, Washington Post и Le Monde, са разследвали файловете в консорциум, ръководен от Paper Trail Media и Der Spiegel.
Пет западни разузнавателни агенции потвърдиха, че файловете на Vulkan изглеждат автентични. Компанията и Кремъл не отговориха на множество искания за коментар.
Изтичането съдържа имейли, вътрешни документи, планове на проекти, бюджети и договори. Те предлагат представа за мащабните усилия на Кремъл в киберсферата във време, когато той води брутална война срещу Украйна. Не е известно дали инструментите, създадени от Vulkan, са били използвани за атаки в реалния свят, в Украйна или другаде. Но е известно, че руските хакери многократно са атакували украински компютърни мрежи; а кампания все още продължава. От миналогодишната инвазия ракетите на Москва удариха Киев и други градове, унищожавайки критична инфраструктура и оставяйки страната на тъмно.
Анализаторите казват, че Русия също е ангажирана в постоянен конфликт с това, което възприема като свой враг, Запада, включително САЩ, Обединеното кралство, ЕС, Канада, Австралия и Нова Зеландия, всички от които са разработили свои собствени класифицирани способности за кибернападение в цифрова надпревара във въоръжаването.
Някои документи съдържат това, което изглежда като илюстративни примери за потенциални цели
Едната съдържа карта, показваща точки в САЩ. Друг съдържа подробности за атомна електроцентрала в Швейцария. Един документ показва, че инженери препоръчват на Русия да добави към собствените си възможности чрез хакерски инструменти, откраднати през 2016 г. от Агенцията за национална сигурност на САЩ и публикувани онлайн.
Джон Хълтквист, вицепрезидент на разузнавателния анализ във фирмата за киберсигурност Mandiant, който прегледа избраните материали по искане на консорциума, казва: „Тези документи предполагат, че Русия вижда атаките срещу цивилна критична инфраструктура и манипулирането на социалните медии като едно и същата мисия, която по същество е атака срещу волята на врага да се бие.“
Какво е Vulkan?
Изпълнителният директор на Vulkan Антон Марков е мъж на средна възраст, с подстригана коса и тъмни торбички около очите. Марков основава Vulkan през 2010 г. с Александър Иржавски. И двамата са възпитаници на военната академия в Санкт Петербург, и са служили в армията в миналото, като са се издигнали съответно до капитан и майор. „Те имаха добри контакти в тази посока“, каза един бивш служител.
Компанията е част от военно-промишления комплекс на Русия. Този подземен свят обхваща шпионски агенции, търговски фирми и висши учебни заведения. Специалисти като програмисти и инженери преминават от един бранш в друг, а тайните държавни играчи разчитат в голяма степен на експертния опит в частния сектор.
Vulkan стартира в момент, когато Русия бързо разширява своите кибер-възможности. Традиционно ФСБ поема водеща роля в кибер аферите. През 2012 г. Путин назначава амбициозния и енергичен Сергей Шойгу за министър на отбраната.
Шойгу – който отговаря за войната на Русия в Украйна – искаше свои собствени кибервойски, които да се отчитат директно на него
От 2011 г. Vulkan получава специални държавни лицензи за работа по секретни военни проекти и държавни тайни. Това е средно голяма технологична компания с повече от 120 служители – около 60 от които са разработчици на софтуер. Не е известно на колко частни изпълнители е предоставен достъп до такива чувствителни проекти в Русия, но някои оценки предполагат, че не са повече от около дузина.
Корпоративната култура на Vulkan е повече тип „Силиконовата долина“, отколкото шпионска агенция. Има персонален футболен отбор и мотивационни имейли със съвети за фитнес и празненства на рождени дни на служители. Има дори оптимистичен слоган: „Направете света по-добро място“ се появява в лъскав промоционален видеоклип.
Vulkan казва, че е специализирана в „информационна сигурност“; официално нейни клиенти са големи руски държавни компании. Те включват Сбербанк, най-голямата банка в страната, националната авиокомпания Аерофлот и руските железници.
„Работата беше забавна. Използвахме най-новите технологии“, каза един бивш служител, който в крайна сметка напуска, след като се разочарова от работата. „Хората бяха наистина умни. И парите бяха добри, доста над обичайната ставка.“
Освен техническата експертиза, тези щедри заплати купуваха очакванията за дискретност
Някои служители са възпитаници на Московския държавен технически университет „Бауман“, който има дълга история на захранване на министерството на отбраната с новобранци. Работните потоци са организирани на принципите на строга оперативна секретност, като на служителите никога не се казва какво работят другите отдели.
Етосът на фирмата е патриотичен, предполага изтичането на информация. В навечерието на Нова година през 2019 г. служител създава весел файл в Microsoft Excel със съветска военна музика и снимка на мечка. До него стоят думите: „APT Magma Bear“. Препратката е към руски държавни хакерски групи като Cosy Bear и Fancy Bear и изглежда сочи към собствените сенчести дейности на Vulkan.
Пет месеца по-късно Марков напомни на работниците си за Деня на победата. „Това е важно събитие в историята на нашата страна“, пише той до персонала. „Израснах с филми за войната и имах щастието да общувам с ветерани и да слушам техните истории. Тези хора загинаха за нас, за да можем да живеем в Русия.
Един от най-мащабните проекти на Vulkan беше осъществен с благословията на най-скандалната част от кибервоини на Кремъл, известна като Sandworm
Според американските прокурори и западните правителства през последното десетилетие Sandworm е отговорен за хакерски операции в удивителен мащаб. Той е извършил множество злонамерени действия: политическа манипулация, киберсаботаж, намеса в избори, изхвърляне на имейли и изтичане на информация.
Sandworm извади от строя електрическата мрежа на Украйна през 2015 г. На следващата година той участва в наглата операция на Русия за проваляне на президентските избори в САЩ. Двама от нейните служители бяха обвинени в разпространение на имейли, откраднати от демократите на Хилари Клинтън, използвайки фалшива личност, Guccifer 2.0. След това през 2017 г. Sandworm открадна допълнителни данни в опит да повлияе на резултата от президентския вот във Франция, казват САЩ.
През същата година звеното отприщи най-сериозната кибератака в историята ори. Операторите са използвали специално изработен зловреден софтуер, наречен NotPetya. Започвайки от Украйна, NotPetya бързо се разпространява по целия свят. Той събори офлайн спедиторски фирми, болници, пощенски системи и производители на фармацевтични продукти – дигитална атака, която се прехвърли от виртуалния във физическия свят.
Файловете на Vulkan хвърлят светлина върху част от цифрова машина, която може да играе роля в следващата атака, отприщена от Sandworm.
Специално звено в рамките на „главния център за специални технологии“ на ГРУ, Sandworm е известен вътрешно с полевия си номер 74455. Този код се появява във файловете на Vulkan като „партия за одобрение“ в технически документ. Той описва „протокол за обмен на данни“ между очевидно вече съществуваща военна база данни, съдържаща разузнавателна информация за софтуерни и хардуерни слабости, и нова система, която Vulkan трябва да помогне да се изгради: Scan-V.
Хакерски групи като Sandworm проникват в компютърните системи, като първо търсят слаби места. Scan-V поддържа този процес, като извършва автоматизирано разузнаване на потенциални цели по целия свят в търсене на потенциално уязвими сървъри и мрежови устройства. След това разузнаването се съхранява в хранилище на данни, което дава на хакерите автоматизирано средство за идентифициране на цели.
Габи Ронкоун, друг експерт от компанията за киберсигурност Mandiant, прави аналогия със сцени от стари военни филми, където хората поставят „своята артилерия и войски на картата. Те искат да разберат къде са вражеските танкове и къде трябва да ударят първи, за да пробият вражеските линии“, каза тя.
Проектът Scan е поръчан през май 2018 г. от Института по инженерна физика, изследователска база в района на Москва, тясно свързана с ГРУ. Всички детайли бяха класифицирани. Не е ясно дали Sandworm е планиран потребител на системата, но през май 2020 г. екип от Vulkan посети военно съоръжение в Химки, същия град в покрайнините на Москва, където е базирано хакерското звено, за да тества системата Scan.
„Сканирането определено е създадено за опасни цели. Той се вписва удобно в организационната структура и стратегическия подход на ГРУ“, каза един анализатор след преглед на документите. „Не намирате мрежови диаграми и документи за проектиране като тези много често. Това наистина са много сложни неща.
Изтеклите файлове не съдържат информация за руски злонамерен код или зловреден софтуер, използван за хакерски операции
Но анализатор от Google казва, че през 2012 г. технологичната фирма е свързала Vulkan с операция, включваща зловреден софтуер, известен като MiniDuke. SVR, руското външно разузнаване, използва MiniDuke във фишинг кампании. Изтичането показва, че част под прикритие на SVR, военно поделение 33949, е наела Vulkan за работа по множество проекти. Компанията е кръстила клиента си с кодово име „санаториум” и „диспансер”.
Интернет контрол, наблюдение и дезинформация
През 2018 г. екип от служители на Vulkan пътува на юг, за да присъства на официалното тестване на широкообхватна програма, позволяваща интернет контрол, наблюдение и дезинформация. Срещата се проведе в свързания с ФСБ Институт за радиоизследвания в Ростов на Дон. Тя възлага на подизпълнител Vulkan да помогне в създаването на новата система, наречена Amezit, която също беше свързана в файловете с руската армия.
„Много хора работиха върху Амезит. Бяха инвестирани пари и време”, спомня си бивш служител пред The Guardian. „Други компании също бяха включени, вероятно защото проектът беше толкова голям и важен.“
Vulkan изиграва централна роля. Компанията печели първоначален договор за изграждане на системата Amezit през 2016 г., но документите сочат, че части от Amezit все още се подобряват от инженерите на Vulkan през 2021 г., с планове за по-нататъшно развитие през 2022 г.
Една част от Amezit е насочена към вътрешния пазар, което позволява на оперативни служители да отвличат и поемат контрола над интернет, ако избухнат безредици в руски регион или страната придобие крепост над територия в съперничеща национална държава, като Украйна. Интернет трафикът, считан за политически вреден, може да бъде премахнат, преди да има шанс да се разпространи.
Вътрешен документ от 387 страници обяснява как действа Amezit.
Армията се нуждае от физически достъп до хардуер, като кули за мобилни телефони, и до безжични комуникации. След като контролират предаването, трафикът може да бъде прихванат
Военните шпиони могат да идентифицират хора, сърфиращи в мрежата, да видят до какво имат достъп онлайн и да проследят информацията, която потребителите споделят.
След инвазията миналата година Русия арестува антивоенни протестиращи и прие наказателни закони, за да предотврати публичната критика на това, което Путин нарича „специална военна операция“. Файловете Vulkan съдържат документи, свързани с операция на ФСБ за наблюдение на използването на социални медии в Русия в гигантски мащаб, използвайки семантичен анализ за откриване на „враждебно“ съдържание.
Според източник, запознат с работата на Vulkan, фирмата е разработила програма за групово събиране за ФСБ, наречена Fraction. Той претърсва сайтове като Facebook или Odnoklassniki, руският еквивалент, търсейки ключови думи. Целта е да се идентифицират потенциални опозиционери от открити източници.
Служителите на Vulkan редовно посещават центъра за информационна сигурност на ФСБ в Москва, за да се консултират относно секретната програма. Сградата е до централата на ФСБ в Лубянка и книжарница, разкрива информацията, споделена с The Guardian.
Шппионите на звеното шеговито са наричани „книголюбители“
Разработването на тези секретни програми говори за параноята в сърцето на руското ръководство, което се страхува от улични протести и революция, като в тази Украйна, Грузия, Киргизстан и Казахстан. Москва смята интернет за решаващо оръжие за поддържане на реда. У дома Путин елиминира опонентите си. Дисидентите са били затваряни; критици като Алексей Навални отровени и хвърлени в затвора.
Остава открит въпросът дали системите Amezit са използвани в окупирана Украйна. През 2014 г. Русия тайно погълна източните градове Донецк и Луганск. От миналата година тя превзе още територии и затвори украинските интернет и мобилни услуги в зоните, които контролира. Украинските граждани са били принуждавани да се свързват чрез базирани в Крим доставчици на телекомуникационни услуги, със SIM карти, раздавани в лагери за „филтриране“, управлявани от ФСБ.
Репортерите обаче успяват да проследят дейност в реалния свят, извършвана от фалшиви акаунти в социалните медии, свързани с Vulkan като част от подсистема на Amezit, с кодово име PRR.
Средства за автоматизирана вътрешна пропаганда
Вече беше известно, че Кремъл е използвал своята фабрика за дезинформация, базираната в Санкт Петербург – Агенция за интернет изследвания, която беше поставена в списъка със санкции на САЩ. Милиардерът Евгений Пригожин, близък съюзник на Путин, стои зад операцията за масова манипулация. Файловете Vulkan показват как руската армия е наела частен изпълнител за изграждане на подобни инструменти за автоматизирана вътрешна пропаганда.
Подсистемата Amezit позволява на руските военни да извършват широкомащабни тайни операции за дезинформация в социалните медии и в интернет чрез създаване на акаунти, които приличат на реални хора онлайн или аватари. Аватарите имат имена и откраднати лични снимки, които след това се обработват в продължение на месеци, за да се създаде реалистичен цифров отпечатък.
Изтичането съдържа екранни снимки на фалшиви акаунти в Twitter и хаштагове, използвани от руската армия от 2014 г. до началото на тази година. Те разпространяват дезинформация, включително теория на конспирацията за Хилъри Клинтън и отричане, че руските бомбардировки над Сирия са убили цивилни. След нахлуването в Украйна един свързан с Vulkan фалшив акаунт в Twitter публикува: „Отличен лидер #Путин“.
Друг проект, разработен от Vulkan, свързан с Amezit, е много по-заплашителен
С кодово име Crystal-2V, това е платформа за обучение на руски кибероператори. Способен да позволява едновременна употреба от до 30 обучаващи се, изглежда, че симулира атаки срещу набор от важни национални инфраструктурни цели: железопътни линии, електрически станции, летища, водни пътища, пристанища и промишлени системи за контрол.
Постоянен риск за сигурността?
Натрапчивият и разрушителен характер на инструментите, които Vulkan е нает да изгради, повдигат трудни въпроси за разработчиците на софтуер, които са работили по тези проекти. Могат ли да бъдат описани като кибернаемници? Или руски шпиони? Някои почти сигурно са. Други може би са просто зъбни колела в по-широка машина, изпълняващи важни инженерни задачи за кибер-военния комплекс на своята страна.
До нахлуването на Русия в Украйна през 2022 г. персоналът на Vulkan открито пътува до Западна Европа, посещавайки конференции за IT специалисти и киберсигурност, включително събиране в Швеция, за да се смеси с делегати от западни фирми за сигурност.
Бивши възпитаници на Vulkan сега живеят в Германия, Ирландия и други страни от ЕС. Някои работят за световни технологични корпорации. Две са в Amazon Web Services и Siemens.
Siemens отказва коментар пред The Guardian за отделни служители, но заяви, че приема подобни въпроси „много сериозно“. Amazon заявява, че прилага „строг контрол“ и че защитата на клиентските данни е неин „основен приоритет“.
Не е ясно дали бившите инженери на Vulkan, които сега са на запад, представляват риск за сигурността и дали са привлекли вниманието на западните контраразузнавателни агенции
Повечето, изглежда, имат роднинив Русия – уязвимост, за която се знае, че е била използвана от ФСБ за оказване на натиск върху руски професионалисти в чужбина да си сътрудничат.
Свързван с репортер, един бивш служител изрази съжаление, че е помогнал на руската военна и вътрешна шпионска агенция. „Като начало не беше ясно за какво ще бъде използвана работата ми“, казава той. „С времето разбрах, че не мога да продължа и че не искам да подкрепям режима. Страхувах се да не ми се случи нещо или да попадна в затвора.
Има огромни рискове и за анонимния подател на сигнали относно Vulkan. Руският режим е известен с това, че преследва онези, които смята за предатели. В краткия си разговор с германски журналист, той казва, че са наясно, че предоставянето на чувствителна информация на чуждестранни медии е опасно. Но те бяха взели промени в живота предпазни мерки. Те казаха, че са изоставили предишния си живот и сега съществуват „като призраци“.
