Досиетата „Вулкан“: Хиляди секретни документи за руската кибервойна

Информатор е изнесъл хиляди страници секретни документи от Русия. Информаторът е руснак, чието име остава в тайна. Посочва се, че той е разгневен заради войната в Украйна. Един от документите свързва работата на руската фирма за киберсигурност „Вулкан“ с известната хакерска група „Пясъчен червей“, която, според американското правителство, стои зад поне две масови спирания на тока в Украйна, както и с най-разрушителния в икономическо отношение компютърен вирус „Петя“. Сред клиентите на „Вулкан“ са най-голямата банка в Русия – „Сбербанк“, националните авиолинии „Аерофлот“ и руските железници. Основните удари очаквано са били насочени срещу Украйна, но и редица други държави се оказват засегнати.

Файловете на „Вулкан“ показват как руските разузнавателни служби се крият зад ИТ фирмата, какви инструменти поръчват и какъв кибернетичен капацитет изграждат. Става дума за цензура, наблюдение, армии от тролове за разпространение на дезинформация и контрол над части от интернет, подготовка на кибератаки срещу национална инфраструктура.

Информацията бе публикувана от „Зюддойче цайтунг“, „Шпигел“, „Гардиън“, „Монд“ и „Вашингтон пост“.

Какво пише „Гардиън“

Незабележимият офис е в североизточните предградия на Москва. Надписът гласи: „Бизнес център“. Наблизо има модерни жилищни блокове и разхвърляно старо гробище, дом на военни паметници, покрити с бръшлян. Районът е мястото, където Петър Велики някога е обучавал могъщата си армия.

Вътре в шестетажната сграда ново поколение помага на руските военни операции. Оръжията му са по-напреднали от тези от епохата на Петър Велики: не щука и алебарди, а инструменти за хакерство и дезинформация.

Софтуерните инженери зад тези системи са служители на NTC „Вулкан“. На пръв поглед изглежда като обикновена консултантска компания в областта на киберсигурността. Изтичането на секретни файлове от компанията обаче разкри работата й, укрепвайки възможностите на Владимир Путин за кибервойна.

Хиляди страници секретни документи разкриват как инженерите на „Вулкан“ са работили за руските военни и разузнавателни агенции в подкрепа на хакерски операции, обучават оперативни работници преди атаки срещу националната инфраструктура, разпространяват дезинформация и контролират части от интернет.

Работата на компанията е свързана с федералната служба за сигурност или ФСБ, местната шпионска агенция; оперативните и разузнавателните отдели на въоръжените сили, известни като GOU и ГРУ; и СВР, руската организация за външно разузнаване.

Един документ свързва инструмент за кибератака на „Вулкан“ с прословутата хакерска група Sandworm, за която правителството на САЩ заяви, че два пъти е причинила спирания на тока в Украйна, нарушила е Олимпиадата в Южна Корея и е стартирала NotPetya, икономически най-разрушителния зловреден софтуер в историята. С кодово име Scan-V, той претърсва интернет за уязвимости, които след това се съхраняват за използване при бъдещи кибератаки.

Друга система, известна като „Амезит“, представлява план за наблюдение и контрол на интернет в регионите под командването на Русия, а също така позволява дезинформация чрез фалшиви профили в социалните медии. Трета изградена от „Вулкан“ система – Кристал-2В – е програма за обучение на кибер-оперативни работници в методите, необходими за събаряне на железопътната, въздушната и морската инфраструктура. Файл, обясняващ софтуера, гласи: „Нивото на секретност на обработената и съхранявана информация в продукта е „Строго секретно“.

Досиетата „Вулкан“, които датират от 2016 до 2021 г., са изтекли от анонимен разобличител, разгневен от войната на Русия в Украйна. Подобни течове от Москва са изключително редки. Дни след инвазията през февруари миналата година източникът се обърна към германския вестник „Зюддойче цайтунг“ и заяви, че ГРУ и ФСБ „се крият зад“ „Вулкан“.

„Хората трябва да знаят опасностите от това“, каза разобличителят. „Заради събитията в Украйна реших да направя тази информация публична. Компанията прави лоши неща, а руското правителство е страхливо и погрешно. Ядосан съм от нахлуването в Украйна и ужасните неща, които се случват там. Надявам се, че можете да използвате тази информация, за да покажете какво се случва зад затворени врати“.

По-късно източникът сподели данните и допълнителната информация с базирания в Мюнхен разследващ стартъп Paper Trail Media. В продължение на няколко месеца журналисти, работещи за 11 медии, включително „Гардиън“, „Вашингтон пост“ и „Монд“, разследват досиетата в консорциум, ръководен от Paper Trail Media и Der Spiegel.

Пет западни разузнавателни агенции потвърдиха, че досиетата на „Вулкан“ изглеждат автентични. Компанията и Кремъл не са отговорили на множеството запитвания за коментар.

Течът съдържа имейли, вътрешни документи, планове за проекти, бюджети и договори. Те дават представа за мащабните усилия на Кремъл в киберсферата, в момент, когато той води брутална война срещу Украйна. Не е известно дали инструментите, построени от „Вулкан“, са били използвани за атаки в реалния свят, в Украйна или другаде.

Но за руските хакери се знае, че многократно са се прицелвали в украински компютърни мрежи; Кампания, която продължава. След миналогодишната инвазия ракетите на Москва удариха Киев и други градове, унищожавайки критична инфраструктура и оставяйки страната на тъмно.

Анализатори твърдят, че Русия също е въвлечена в непрекъснат конфликт с това, което възприема като свой враг, Запада, включително САЩ, Великобритания, ЕС, Канада, Австралия и Нова Зеландия, всички от които са разработили свои собствени класифицирани способности за киберофанзива в дигитална надпревара във въоръжаването. Някои документи в изтичането съдържат илюстративни примери за потенциални цели. Едната съдържа карта, показваща точки в САЩ. Друг съдържа подробности за атомна електроцентрала в Швейцария.

Един документ показва инженери, които препоръчват на Русия да добави към собствените си възможности, като използва хакерски инструменти, откраднати през 2016 г. от Агенцията за национална сигурност на САЩ и публикувани онлайн.

Джон Хулткуист, вицепрезидент по разузнавателния анализ във фирмата за киберсигурност Mandiant, която прегледа селекциите на материалите по искане на консорциума, заяви: „Тези документи предполагат, че Русия вижда атаките срещу гражданска критична инфраструктура и манипулирането на социалните медии като една и съща мисия, която по същество е атака срещу волята на врага да се бие“.

Какво представлява „Вулкан“?

Главният изпълнителен директор на „Вулкан“ Антон Марков е човек на средна възраст, с подстригана коса и тъмни торбички около очите. Марков основава „Вулкан“ (което означава „Вулкан“ на английски) през 2010 г. с Александър Иржавски. И двамата са възпитаници на военната академия в Санкт Петербург и са служили с армията в миналото, издигайки се съответно до капитан и майор. „Те имаха добри контакти в тази посока“, каза един бивш служител.

Компанията е част от военно-промишления комплекс на Русия. Този подземен свят обхваща шпионски агенции, търговски фирми и висши учебни заведения. Специалисти като програмисти и инженери се местят от един клон в друг; Тайните държавни участници разчитат в голяма степен на експертизата на частния сектор.

„Вулкан“ стартира в момент, когато Русия бързо разширяваше кибервъзможностите си. Традиционно ФСБ пое водеща роля в кибернетичните дела. През 2012 г. Путин назначи амбициозния и енергичен Сергей Шойгу за министър на отбраната. Шойгу – който отговаря за войната на Русия в Украйна – искаше свои собствени кибер-войски, докладвайки директно на него.

От 2011 г. „Вулкан“ получава специални правителствени лицензи за работа по класифицирани военни проекти и държавни тайни. Това е средно голяма технологична компания, с повече от 120 служители – около 60 от които са разработчици на софтуер. Не е известно колко частни изпълнители получават достъп до такива чувствителни проекти в Русия, но някои оценки предполагат, че това е не повече от около дузина.

Корпоративната култура на „Вулкан“ е по-скоро Силициевата долина, отколкото шпионската агенция. Той има футболен отбор на персонала и мотивационни имейли с фитнес съвети и тържества на рождени дни на служителите. Има дори оптимистичен лозунг: „Направете света по-добро място“ се появява в лъскаво промоционално видео.

„Вулкан“ казва, че е специализирана в „информационната сигурност“; Официално нейни клиенти са големи руски държавни компании. Те включват Сбербанк, най-голямата банка в страната; националната авиокомпания „Аерофлот“; Руските железници. „Работата беше забавна. Използвахме най-новите технологии“, казва един бивш служител, който в крайна сметка е напуснал, след като се е разочаровал от работата. Хората бяха наистина умни. И парите бяха добри, доста над обичайната ставка.“

Освен техническата експертиза, тези щедри заплати купиха очакването за дискретност. Някои служители са възпитаници на Московския държавен технически университет „Бауман“, който има дълга история на хранене на новобранци в министерството на отбраната. Работните процеси са организирани на принципите на строга оперативна тайна, като на персонала никога не се съобщава върху какво работят другите отдели.

Един от най-мащабните проекти на „Вулкан“ беше осъществен с благословията на най-скандалното подразделение на кибервоините в Кремъл, известно като Sandworm. Според американските прокурори и западните правителства през последното десетилетие Sandworm е отговорен за хакерски операции в удивителен мащаб. Тя извърши множество зловредни действия: политически манипулации, киберсаботаж, намеса в изборите, изхвърляне на имейли и изтичане на информация.

Sandworm извади от строя електрическата мрежа на Украйна през 2015 г. На следващата година участва в наглата операция на Русия за проваляне на президентските избори в САЩ. Двама от нейните оперативни работници бяха обвинени в разпространение на имейли, откраднати от демократите на Хилари Клинтън, използвайки фалшива персона – Guccifer 2.0. След това през 2017 г. Sandworm предостави допълнителни данни в опит да повлияе на резултата от френския президентски вот, казват САЩ.

Същата година звеното отприщи най-значимата кибератака в историята. Оперативните работници използваха поръчков зловреден софтуер, наречен NotPetya. Започвайки в Украйна, NotPetya бързо се разпространява по целия свят. Това събори офлайн корабните фирми, болниците, пощенските системи и фармацевтичните производители – дигитална атака, която се пренесе от виртуалния във физическия свят.

Файловете „Вулкан“ хвърлят светлина върху част от цифровата машина, която може да играе роля в следващата атака, отприщена от Sandworm.

Система, „изградена за офанзивни цели“

Специално звено в рамките на „основния център за специални технологии“ на ГРУ, Sandworm е известен вътрешно със своя номер на полето 74455. Този код се появява във файловете на „Вулкан“ като „страна по одобрението“ на технически документ. Той описва „протокол за обмен на данни“ между очевидно съществуваща военна база данни, съдържаща разузнавателна информация за софтуерни и хардуерни слабости, и нова система, на която „Вулкан“ е възложено да помогне за изграждането: Scan-V.

Хакерски групи като Sandworm проникват в компютърните системи, като първо търсят слаби места. Scan-V поддържа този процес, провеждайки автоматизирано разузнаване на потенциални цели по целия свят в търсене на потенциално уязвими сървъри и мрежови устройства. След това разузнаването се съхранява в хранилище за данни, което дава на хакерите автоматизирано средство за идентифициране на цели.

Габи Ронконе, друг експерт от компанията за киберсигурност Mandiant, даде аналогия със сцени от стари военни филми, където хората поставят „артилерията и войските си на картата. Те искат да разберат къде са вражеските танкове и къде първо трябва да ударят, за да пробият вражеските линии“, каза тя.

Проектът Scan е поръчан през май 2018 г. от Института по инженерна физика, изследователско съоръжение в Московска област, тясно свързано с ГРУ. Всички подробности бяха класифицирани. Не е ясно дали Sandworm е бил предназначен потребител на системата, но през май 2020 г. екип от „Вулкан“ посети военно съоръжение в Химки, същия град в покрайнините на Москва, където е базирано хакерското звено, за да тества системата Scan.

„Сканирането определено е изградено за офанзивни цели. Той се вписва удобно в организационната структура и стратегическия подход на ГРУ“, каза един анализатор след преглед на документите. „Не намирате мрежови диаграми и дизайнерски документи като този много често. Това наистина е много сложно нещо.“

Изтеклите файлове не съдържат информация за руски злонамерен код или злонамерен софтуер, използван за хакерски операции. Но анализатор от Google заяви, че през 2012 г. технологичната фирма е свързала „Вулкан“ с операция, включваща зловреден софтуер, известен като MiniDuke. СВР, руската агенция за външно разузнаване, използва MiniDuke във фишинг кампании. Изтичането на информация показва, че част под прикритие от СВР, военно поделение 33949, е сключило договор с „Вулкан“ да работи по множество проекти. Компанията кодифицира клиента си „санаториум“ и „диспансер“.

Интернет контрол, наблюдение и дезинформация

През 2018 г. екип от служители на „Вулкан“ пътува на юг, за да присъства на официалното тестване на мащабна програма, позволяваща контрол на интернет, наблюдение и дезинформация. Срещата се състоя в свързания с ФСБ Радиоизследователски институт „Ростов на Дон“. Тя възложи на подизпълнител „Вулкан“ да помогне за създаването на новата система, наречена „Амезит“, която също беше свързана в досиетата с руските военни. „Много хора работиха по Амезит. Инвестираха се пари и време“, спомня си бивш служител. „Други компании също участваха, вероятно защото проектът беше толкова голям и важен.“

„Вулкан“ изигра централна роля. Тя спечели първоначален договор за изграждане на системата „Амезит“ през 2016 г., но документите показват, че части от „Амезит“ все още се подобряват от инженерите на „Вулкан“ и през 2021 г., с планове за по-нататъшно развитие през 2022 г.

Една част от „Амезит“ е обърната към вътрешния пазар, позволявайки на оперативни работници да отвличат и да поемат контрола над интернет, ако в руски регион избухнат вълнения или страната придобие крепост над територия в конкурентна национална държава, като Украйна. Интернет трафикът, считан за политически вреден, може да бъде премахнат, преди да има шанс да се разпространи.

Вътрешен документ от 387 страници обяснява как работи „Амезит“. Военните се нуждаят от физически достъп до хардуер, като кули за мобилни телефони, и до безжични комуникации. След като контролират предаването, трафикът може да бъде прихванат. Военните шпиони могат да идентифицират хората, които сърфират в мрежата, да видят до какво имат достъп онлайн и да проследяват информацията, която потребителите споделят.

След миналогодишната инвазия Русия арестува протестиращи срещу войната и прие наказателни закони, за да предотврати публичните критики към това, което Путин нарича „специална военна операция“. Файловете на „Вулкан“ съдържат документи, свързани с операция на ФСБ за наблюдение на използването на социалните медии в Русия в гигантски мащаби, използвайки семантичен анализ, за да забележат „враждебно“ съдържание.

Според източник, запознат с работата на „Вулкан“, фирмата е разработила програма за събиране на насипни товари за ФСБ, наречена Fraction. Той претърсва сайтове като Facebook или Odnoklassniki – руският еквивалент – търсейки ключови думи. Целта е да се идентифицират потенциални опозиционни фигури от данни с отворен код.

Служителите на „Вулкан“ редовно посещаваха центъра за информационна сигурност на ФСБ в Москва, киберзвеното на агенцията, за да се консултират за секретната програма. Сградата е в непосредствена близост до централата на ФСБ в Лубянка и книжарница; Течът разкрива, че шпионите на звеното са били шеговито наречени „любители на книгите“.

Разработването на тези тайни програми говори за параноята в сърцето на ръководството на Русия. Тя е ужасена от улични протести и революция от вида, наблюдаван в Украйна, Грузия, Киргизстан и Казахстан. Москва смята интернет за ключово оръжие за поддържане на реда. У дома Путин елиминира опонентите си. Дисидентите са заключени; критици като Алексей Навални са отровени и вкарани в затвора.

Открит е въпросът дали системите „Амезит“ са били използвани в окупирана Украйна. През 2014 г. Русия тайно погълна източните градове Донецк и Луганск. От миналата година тя зае още по-голяма територия и затвори украинските интернет и мобилни услуги в областите, които контролира. Украинските граждани бяха принудени да се свързват чрез базирани в Крим телекомуникационни доставчици, като сим картите се раздаваха в лагери за „филтриране“, управлявани от ФСБ.

Репортерите обаче успяха да проследят активността в реалния свят, извършвана от фалшиви профили в социалните медии, свързани с „Вулкан“, като част от подсистема на „Амезит“, с кодово име PRR.

Инструменти за автоматизирана вътрешна пропаганда

Кремъл вече беше известно, че е използвал своята фабрика за дезинформация, базираната в Санкт Петербург Агенция за интернет изследвания, която е включена в списъка със санкции на САЩ. Милиардерът Евгений Пригожин, близък съюзник на Путин, стои зад операцията за масова манипулация. Досиетата на „Вулкан“ показват как руските военни са наели частен изпълнител, който да изгради подобни инструменти за автоматизирана вътрешна пропаганда.

Тази подсистема „Амезит“ позволява на руските военни да извършват мащабни тайни дезинформационни операции в социалните медии и в интернет, чрез създаването на акаунти, които приличат на реални хора онлайн или аватари. Аватарите имат имена и откраднати лични снимки, които след това се култивират в продължение на месеци, за да се създаде реалистичен цифров отпечатък.

Течът съдържа скрийншотове на фалшиви акаунти в Twitter и хаштагове, използвани от руските военни от 2014 г. до по-рано тази година. Те разпространяват дезинформация, включително конспиративна теория за Хилари Клинтън и отричане, че руските бомбардировки на Сирия са убили цивилни. След нахлуването в Украйна един свързан с „Вулкан“ фалшив акаунт в Twitter публикува: „Отличен лидер #Putin“.

Друг проект, разработен от „Вулкан“, свързан с „Амезит“, е далеч по-заплашителен. С кодово име Crystal-2V, това е платформа за обучение на руски кибер-оперативни работници. В състояние да позволи едновременно използване от до 30 стажанти, изглежда, че симулира атаки срещу редица основни национални инфраструктурни цели: железопътни линии, електрически станции, летища, водни пътища, пристанища и системи за промишлен контрол.

Постоянен риск за сигурността?

Натрапчивият и разрушителен характер на инструментите, които „Вулкан“ е нает да изгради, повдига трудни въпроси за разработчиците на софтуер, които са работили по тези проекти. Могат ли да бъдат описани като кибер-наемници? Или руски шпиони? Някои почти сигурно са. Други са може би просто зъбци в по-широка машина, изпълняващи важни инженерни задачи за кибер-военния комплекс на страната си.

До нахлуването на Русия в Украйна през 2022 г. служителите на „Вулкан“ открито пътуваха до Западна Европа, посещавайки конференции за ИТ и киберсигурност, включително събиране в Швеция, за да се смесят с делегати от западни охранителни фирми.

Бившите възпитаници на „Вулкан“ сега живеят в Германия, Ирландия и други страни от ЕС. Някои работят за глобални технологични корпорации. Две от тях са в Amazon Web Services и Siemens. Siemens отказа да коментира отделни служители, но заяви, че приема подобни въпроси „много сериозно“. Amazon заяви, че прилага „строг контрол“ и че защитата на данните на клиентите е неин „основен приоритет“.

Не е ясно дали бившите инженери на „Вулкан“, които сега са на Запад, представляват риск за сигурността и дали са попаднали в полезрението на западните контраразузнавателни агенции. Повечето, изглежда, имат роднини в Русия, уязвимост, за която се знае, че е била използвана от ФСБ за натиск върху руските професионалисти в чужбина да си сътрудничат.

Потърсен от репортер, един бивш служител изрази съжаление, че е помогнал на руската военна и вътрешна шпионска агенция. „Като начало не беше ясно за какво ще се използва работата ми“, казаха те. „С течение на времето разбрах, че не мога да продължа и че не искам да подкрепям режима. Страхувах се, че нещо ще ми се случи, иначе ще свърша в затвора.“

Имаше огромни рискове и за анонимния разобличител зад досиетата на „Вулкан“. Руският режим е известен с преследването на онези, които смята за предатели. В кратката си размяна на реплики с германски журналист изтичащите от информацията заявиха, че са наясно, че даването на чувствителна информация на чуждестранни медии е опасно. Но те бяха взели мерки, променящи живота. Те бяха оставили предишния си живот зад гърба си, казаха те, и сега съществуваха „като призрак“.

От блога на автора

Мнения & Ко
Коментарите под статиите са спрени от 2014 г., заради противоречиви решения на Европейския съд, който в един случай присъди отговорност за тях на стопаните на сайта, после излезе с противоположно становище. В e-vestnik.bg нямаме капацитет да следим и коментари на читатели. Обект сме на съдебни претенции заради статии, имали сме по няколко дела с искове за по 50-100 хил. лева. Заради което приемаме дарения за сайта (виж тук повече), чиито единствени приходи са от рекламни банери.