O scurgere masivă de documente arată cum organizează Rusia atacuri cibernetice la nivel global şi intern. Ce rol joacă compania Vulkan

Data publicării:
Computer hacking culture
O scurgere masivă de documente arată cum organizează Rusia atacuri cibernetice la nivel global şi intern. Foto: Profimedia Images

Mii de pagini de documente secrete dezvăluie modul în care inginerii de la o firmă aparent inofensivă, NTC Vulkan, lucrează pentru armata rusă şi agenţiile de informaţii ruseşti pentru a sprijini operaţiunile de hacking, pentru a antrena agenţi înainte de atacurile asupra infrastructurii naţionale, pentru a răspândi dezinformarea şi pentru a controla internetul, relatează The Guardian şi The Washington Post

Biroul discret se află în suburbia de nord-est a Moscovei, iar pe un panou scrie: „Centru de afaceri”. În apropiere se află blocuri de locuinţe moderne şi un cimitir vechi, unde sunt monumente comemorative ale războiului, acoperite cu iederă. Zona este locul în care Petru cel Mare şi-a antrenat cândva puternica sa armată.

În interiorul clădirii cu şase etaje, o nouă generaţie ajută însă la operaţiunile militare ruseşti. Armele lor sunt mai avansate decât cele din epoca lui Petru cel Mare. Nu folosesc armură şi halebarde, ci instrumente de hacking şi dezinformare.

Inginerii software din spatele acestor sisteme sunt angajaţi ai NTC Vulkan. La suprafaţă, pare o firmă de consultanţă obişnuită în domeniul securităţii cibernetice. Cu toate acestea, o scurgere de fişiere secrete ale companiei a scos la iveală activitatea sa de susţinere a capacităţilor războiului cibernetic dus de Vladimir Putin.

Activitatea companiei este legată de Serviciul Federal de Securitate sau FSB, agenţia de spionaj intern, de diviziile operaţionale şi de informaţii ale forţelor armate, cunoscute sub numele de GOU şi GRU, şi de SVR, serviciul de informaţii externe al Rusiei.

Cine este la originea scurgerii de informații

O persoană anonimă care şi-a exprimat indignarea faţă de atacul Rusiei asupra Ucrainei a furnizat peste 5.000 de pagini de documente provenind de la NTC Vulkan unui reporter german. Scurgerea de informaţii, un eveniment neobişnuit pentru complexul militar industrial secret al Rusiei, detaliază o serie de programe informatice şi baze de date şi sugerează că firma susţine operaţiuni care includ atât dezinformarea prin intermediul reţelelor sociale, cât şi instruirea pentru a perturba de la distanţă obiective din lumea reală, cum ar fi sistemele de control maritim, aerian şi feroviar.

Această investigaţie a fost o colaborare între jurnalişti din opt ţări care lucrează la 11 organizaţii media. În fruntea proiectului s-au aflat publicațiile Paper Trail Media şi Der Spiegel din Germania. Din această ţară au mai participat Süddeutsche Zeitung şi Zweites Deutsches Fernsehen (ZDF). Printre ceilalţi parteneri se numără The Washington Post din SUA, The Guardian din Marea Britanie, Le Monde din Franţa, Tamedia din Elveţia, Danish Broadcasting Corporation din Danemarca, Der Standard din Austria şi iStories, un site de ştiri despre Rusia cu sediul în Letonia. 

„Compania face lucruri rele, iar guvernul rus este laş şi greşeşte”, a declarat persoana care a furnizat documentele unui reporterul german, la scurt timp după invazia din Ucraina. Reporterul le-a împărtăşit apoi cu un consorţiu de organizaţii media. Persoana anonimă, care a vorbit cu reporterul prin intermediul unei aplicaţii de chat criptate, a refuzat să se identifice, declarând că trebuie să dispară „ca o fantomă” din motive de securitate. „Sunt supărat din cauza invaziei din Ucraina şi a lucrurilor teribile care se întâmplă acolo”, a declarat această sursă anonimă. „Sper că puteţi folosi aceste informaţii pentru a arăta ce se întâmplă în spatele uşilor închise”, a mai adăugat sursa.

Ce rol joacă grupul de hackeri denumit „Viermele de nisip”

Potrivit Washington Post, cinci agenţii de informaţii occidentale au confirmat că fişierele Vulkan par a fi autentice, în timp ce compania Vulkan şi Kremlinul nu au răspuns la multiplele solicitări de comentarii.

Aceste documente relevă aspecte care ţin şi de activitatea faimosului grup de hackeri al guvernului cunoscut sub denumirea de Sandworm (Viermele de nisip).

Oficialii americani au acuzat Sandworm că a provocat de două ori pene de curent în Ucraina, că a perturbat ceremoniile de deschidere a Jocurilor Olimpice de iarnă din 2018 din Coreea de Sud şi că a lansat NotPetya, cel mai distructiv malware din punct de vedere economic din istorie.

Sandworm, războinicii cibernetici ai Kremlinului, este, potrivit procurorilor americani şi guvernelor occidentale, gruparea responsabilă în ultimul deceniu pentru operaţiuni de hacking la o scară uimitoare.

The Guardian precizează că gruparea a desfăşurat numeroase acte maligne:

  • manipulare politică;
  • sabotaj cibernetic;
  • interferenţe electorale;
  • spargeri de e-mailuri;
  • scurgeri de informaţii.

Doi dintre agenţii săi au fost puşi sub acuzare pentru distribuirea de e-mailuri furate de la democraţii lui Hillary Clinton folosind o persoană falsă, Guccifer 2.0. Apoi, în 2017, Sandworm a sustras alte date în încercarea de a influenţa rezultatul votului prezidenţial din Franţa, potrivit SUA.

În acelaşi an, unitatea a declanşat cel mai important atac cibernetic din istorie. Operatorii au folosit un malware personalizat numit NotPetya. Început în Ucraina, NotPetya s-a răspândit rapid în întreaga lume. Acesta a scos din funcţiune firme de transport maritim, spitale, sisteme poştale şi producători farmaceutici – un atac digital care s-a extins din lumea virtuală în cea fizică.

Acum, fişierele Vulkan fac lumină asupra unei piese de maşinărie digitală care ar putea juca un rol în următorul atac declanşat de Sandworm.

934
Un poster al FBI cu șase membri ai GRU căutați despre care se crede că lucrează pentru Sandworm. Captură foto The Guardian via FBI

Un sistem „construit în scopuri ofensive”

Unul dintre documentele scurse menţionează denumirea numerică a unităţii militare a Sandworm, 74455, sugerând că Vulkan pregătea un soft pentru a fi utilizat de echipa de hackeri de elită. Documentul de 11 pagini, datat 2019, arată un oficial Sandworm aprobând protocolul de transfer de date pentru una dintre platforme. Cu numele de cod Scan-V, softul cercetează internetul în căutare de vulnerabilităţi, care sunt apoi stocate pentru a fi utilizate în viitoarele atacuri cibernetice.

Grupurile de hackeri precum Sandworm pătrund în sistemele informatice căutând mai întâi punctele slabe. Scan-V sprijină acest proces, efectuând recunoaşteri automate ale unor potenţiale ţinte din întreaga lume, în căutare de servere şi dispozitive de reţea potenţial vulnerabile. Informaţiile sunt apoi stocate într-un depozit de date, oferindu-le hackerilor un mijloc automat de identificare a ţintelor.

Proiectul Scan a fost comandat în mai 2018 de Institutul de Fizică Inginerească, un centru de cercetare din regiunea Moscovei, strâns asociat cu GRU. Toate detaliile au fost clasificate. Nu este clar dacă Sandworm a fost un utilizator preconizat al sistemului, dar în mai 2020 o echipă de la Vulkan a vizitat o instalaţie militară din Himki, acelaşi oraş de la periferia Moscovei în care se află unitatea de hacking, pentru a testa sistemul Scan.

„Scanarea este cu siguranță creată în scopuri ofensive. Se încadrează confortabil în structura organizațională și abordarea strategică a GRU”, a spus un analist după ce a analizat documentele. „Nu găsiți foarte des diagrame de rețea și documente de proiectare ca acestea. Sunt într-adevăr lucruri foarte complicate”, a mai declarat analistul consultat de jurnaliștii de la The Guardian.

Cele peste 5.000 de pagini de documente, datate între 2016 şi 2021, includ manuale, fişe tehnice şi alte detalii pentru software-ul pe care Vulkan l-a proiectat pentru armata rusă şi serviciile de informaţii. De asemenea, includ e-mailuri interne ale companiei, înregistrări financiare şi contracte care arată atât ambiţia operaţiunilor cibernetice ale Rusiei, cât şi amploarea muncii pe care Moscova a externalizat-o.

Printre acestea se numără programe pentru crearea de pagini false de social media şi software care poate identifica şi stoca liste de vulnerabilităţi în sistemele informatice din întreaga lume pentru posibile ţinte viitoare. Mai multe schiţe ale unei interfeţe de utilizator pentru un proiect cunoscut sub numele de Amezit par să înfăţişeze exemple de posibile ţinte de hacking, inclusiv Ministerul de Externe din Elveţia şi o centrală nucleară din această ţară.

Un alt document prezintă o hartă a Statelor Unite cu cercuri care par să reprezinte grupuri de servere de internet. Un al treilea sistem construit de Vulkan – Crystal-2V – este un program de pregătire pentru operatorii cibernetici în ceea ce priveşte metodele necesare pentru a distruge infrastructura feroviară, aeriană şi maritimă.

1240
O hartă a SUA găsită în fișierele Vulkan. Captură foto The Guardian

Amezit - un proiect pentru controlul internetului 

O parte a proiectului Amezit este orientată spre interiorul ţării, permiţând agenţilor să deturneze şi să preia controlul internetului în cazul în care izbucnesc tulburări într-o regiune rusă sau dacă ţara capturează teritoriile unui stat naţional rival, cum ar fi Ucraina. Traficul de internet considerat dăunător din punct de vedere politic poate fi eliminat înainte de a avea şansa de a se răspândi. 

Un document intern de 387 de pagini explică modul în care funcţionează Amezit. Armata are nevoie de acces fizic la hardware, cum ar fi turnurile de telefonie mobilă, şi la comunicaţiile wireless. Odată ce controlează transmisia, traficul poate fi interceptat. Spionii militari pot identifica persoanele care navighează pe internet, pot vedea ce accesează online şi pot urmări informaţiile pe care utilizatorii le împărtăşesc.

De la invazia de anul trecut, Rusia a arestat protestatarii anti-război şi a adoptat legi punitive pentru a împiedica critica publică a ceea ce Putin numeşte „operaţiune militară specială”. Fişierele Vulkan conţin documente legate de o operaţiune a FSB de monitorizare a utilizării reţelelor sociale în interiorul Rusiei la o scară gigantică, folosind analiza semantică pentru a depista conţinutul „ostil”.

Potrivit unei surse familiarizate cu activitatea Vulkan, firma a dezvoltat un program de colectare în masă pentru FSB numit Fracţia. Acesta analizează site-uri precum Facebook sau Odnoklassniki – echivalentul rusesc – în căutarea unor cuvinte-cheie. Scopul este de a identifica potenţialele figuri ale opoziţiei din datele obţinute din surse deschise.

Personalul Vulkan a vizitat în mod regulat centrul de securitate a informaţiilor al FSB din Moscova, unitatea cibernetică a agenţiei, pentru a se consulta cu privire la programul secret. Clădirea se află lângă sediul FSB din Lubianka şi o librărie. Scurgerea de informaţii arată că spionii unităţii erau porecliţi în glumă „iubitorii de cărţi”.

Dezvoltarea acestor programe secrete vorbeşte despre paranoia din sânul conducerii Rusiei. Aceasta este îngrozită de proteste de stradă şi revoluţii de genul celor din Ucraina, Georgia, Kîrgîzstan şi Kazahstan. Moscova consideră internetul ca fiind o armă crucială pentru menţinerea ordinii. Acasă, Putin şi-a eliminat adversarii. Disidenţii au fost închişi; critici precum Aleksei Navalnîi au fost otrăviţi şi încarceraţi.

Rămâne o întrebare deschisă dacă sistemele Amezit au fost folosite în Ucraina ocupată. În 2014, Rusia a înghiţit silenţios oraşele Doneţk şi Luhansk din estul ţării. Începând de anul trecut, a ocupat şi mai mult teritoriu şi a închis serviciile ucrainene de internet şi de telefonie mobilă în zonele pe care le controlează. Cetăţenii ucraineni au fost forţaţi să se conecteze prin intermediul furnizorilor de telecomunicaţii din Crimeea, cu cartele SIM distribuite în taberele de „filtrare” conduse de FSB.  

Cu toate acestea, reporterii au reușit să urmărească activitatea din lumea reală desfășurată de conturile de rețele sociale false legate de Vulkan, ca parte a unui subsistem al Amezit, cu nume de cod PRR.

Manipularea în masă

Se ştie deja că Kremlinul şi-a folosit fabrica de dezinformare, Agenţia de Cercetare a Internetului, cu sediul la Sankt Petersburg, care a fost inclusă pe lista de sancţiuni a SUA. Miliardarul Evgheni Prigojin, aliat apropiat al lui Putin, se află în spatele operaţiunii de manipulare în masă. Dosarele Vulkan arată cum armata rusă a angajat un contractor privat pentru a construi instrumente similare pentru propagandă internă automatizată.

Acest subsistem Amezit permite armatei ruse să desfăşoare operaţiuni secrete de dezinformare pe scară largă pe reţelele sociale şi pe internet, prin crearea de conturi online care seamănă cu persoane reale – avatare. Avatarul are nume şi fotografii personale furate, care sunt apoi cultivate timp de luni de zile pentru a crea o amprentă digitală realistă. 

Scurgerea de informaţii conţine capturi de ecran ale unor conturi false de Twitter şi hashtag-uri folosite de armata rusă din 2014 până la începutul acestui an. Acestea au răspândit dezinformări, inclusiv o teorie a conspiraţiei despre Hillary Clinton şi o negare a faptului că bombardamentele Rusiei în Siria au ucis civili. După invazia din Ucraina, un cont fals de Twitter legat de Vulkan a postat: „Excelent lider #Putin”.

Ce presupune sistemul Crystal-2V

Un alt proiect dezvoltat de Vulkan legat de Amezit este mult mai ameninţător. Cu numele de cod Crystal-2V, acesta este o platformă de antrenament pentru cooperativele cibernetice ruseşti. Poate fi utilizată simultan de până la 30 de cursanţi şi pare să simuleze atacuri împotriva unei serii de obiective de infrastructură naţională esenţială: linii de cale ferată, staţii electrice, aeroporturi, căi navigabile, porturi şi sisteme de control industrial.

Un document din arhivă sugerează că Vulkan a fost angajată în 2018 pentru a crea programul de instruire Crystal-2. Documentul menţionează testarea „sistemului Amezit pentru a dezactiva sistemele de control pentru transportul feroviar, aerian şi maritim”. 

De asemenea, stagiarii urmau să „testeze metode de obţinere a accesului neautorizat la reţelele informatice şi tehnologice locale ale infrastructurii şi instalaţiilor de susţinere a vieţii în centrele pentru populaţie şi în zonele industriale”, folosind potenţial capacităţile pe care documentul le atribuie sistemului Amezit.

Numele din spatele Vulkan

The Guardian notează că directorul executiv al Vulkan este Anton Markov. Acesta a fondat Vulkan în 2010, împreună cu Aleksandr Irjavski. Ambii sunt absolvenţi ai Academiei Militare din Sankt Petersburg şi au servit în trecut în armată, ajungând căpitan şi, respectiv, maior. „Aveau contacte bune în această direcţie”, a declarat un fost angajat. 

Compania face parte din complexul militar-industrial rusesc. Această lume subterană înglobează agenţii de spionaj, firme comerciale şi instituţii de învăţământ superior. Specialişti precum programatori şi ingineri trec de la o ramură la alta, iar actorii secreţi ai statului se bazează în mare măsură pe expertiza sectorului privat.

Compania Vulkan a fost lansată într-un moment în care Rusia îşi extindea rapid capacităţile cibernetice. În mod tradiţional, FSB a preluat conducerea în domeniul afacerilor cibernetice. În 2012, Putin l-a numit pe ambiţiosul şi energicul Serghei Şoigu în funcţia de ministru al apărării. Şoigu, care se ocupă de războiul Rusiei în Ucraina, a dorit să aibă propriile sale trupe cibernetice, care să-i raporteze direct, mai scrie The Washington Post.

Din 2011, Vulkan a primit licenţe guvernamentale speciale pentru a lucra la proiecte militare clasificate şi la secrete de stat. Este o companie tehnologică de dimensiuni medii, cu peste 120 de angajaţi – dintre care aproximativ 60 sunt dezvoltatori de software. Nu se ştie câţi contractori privaţi primesc acces la astfel de proiecte sensibile în Rusia, dar unele estimări sugerează că nu sunt mai mult de 12.

Cultura corporativă a Vulkan este mai degrabă de tip Silicon Valley decât de agenţie de spionaj. Are o echipă de fotbal a personalului şi e-mailuri motivaţionale cu sfaturi de fitness şi sărbătoriri ale zilelor de naştere ale angajaţilor. Există chiar şi un slogan optimist: „Make the world a better place” („Faceţi lumea un loc mai bun”) apare într-un videoclip promoţional.

Vulkan spune că este specializată în „securitatea informaţiilor”. Oficial, clienţii săi sunt mari companii de stat ruseşti. Printre acestea se numără Sberbank, cea mai mare bancă a ţării, compania aeriană naţională Aeroflot şi căile ferate ruseşti.

„Munca a fost plăcută. Foloseam cele mai noi tehnologii”, a declarat un fost angajat care, în cele din urmă, a plecat după ce a devenit dezamăgit de locul de muncă. „Oamenii erau foarte inteligenţi. Iar banii erau buni, cu mult peste media obişnuită”, a declarat fostul angajat.

Pe lângă experienţa tehnică, acele salarii generoase cumpărau şi discreţia. Unii angajaţi sunt absolvenţi ai Universităţii Tehnice de Stat Bauman din Moscova, care are o lungă istorie de a furniza recruţi Ministerului Apărării.

Fluxurile de lucru sunt organizate pe principii de „strict secret” operaţional, personalul nefiind niciodată informat cu privire la ce lucrează alte departamente. Etica firmei este de tip patriotic.

Amploarea riscului de securitate

Natura intruzivă şi distructivă a instrumentelor pe care compania Vulkan a fost angajată să le construiască ridică întrebări dificile pentru dezvoltatorii de software care au lucrat la aceste proiecte. Pot fi descrişi drept mercenari cibernetici? Sau spioni ruşi? Unii aproape sigur sunt. Alţii sunt poate simple rotiţe într-o maşinărie mai largă, îndeplinind sarcini inginereşti importante pentru complexul cyber-militar al ţării lor.

Până la invazia Rusiei în Ucraina, în 2022, personalul Vulkan a călătorit în mod liber în Europa de Vest, frecventând conferinţe IT şi de securitate cibernetică, inclusiv o reuniune în Suedia, amestecându-se cu delegaţi ai firmelor de securitate occidentale.

Documentele arată că Vulkan intenţiona să folosească o serie de echipamente hardware din SUA pentru a crea sisteme pentru serviciile de securitate ruseşti. Documentele de proiectare se referă în mod repetat la produse americane, inclusiv procesoare Intel şi routere Cisco, care ar fi trebuit să fie folosite pentru a configura sistemele „hardware-software” pentru unităţile militare şi de informaţii ruseşti. 

Există şi alte legături cu companii americane. Unele dintre aceste companii, printre care IBM, Boeing şi Dell, au lucrat la un moment dat cu Vulkan, potrivit site-ului său, care descrie activitatea de dezvoltare de software comercial fără legături evidente cu operaţiunile de informaţii şi de hacking. Reprezentanţii IBM, Boeing şi Dell nu au contestat faptul că aceste entităţi au lucrat anterior cu Vulkan, dar au declarat că în prezent nu au nicio relaţie de afaceri cu această companie.

Foşti angajaţi ai Vulkan locuiesc acum în Germania, Irlanda şi alte ţări din UE. Unii lucrează pentru corporaţii tehnologice globale. Doi dintre ei lucrează la Amazon Web Services şi Siemens. Siemens a refuzat să comenteze cu privire la angajaţii individuali, dar a declarat că ia astfel de întrebări „foarte în serios”. Amazon a declarat că a implementat „controale stricte” şi că protejarea datelor clienţilor este „prioritatea sa principală”.

Nu este clar dacă foştii ingineri Vulkan care se află acum în Occident reprezintă un risc de securitate şi dacă au intrat în atenţia agenţiilor de contrainformaţii occidentale. Se pare că majoritatea au rude în Rusia, o vulnerabilitate despre care se ştie că a fost folosită de FSB pentru a face presiuni asupra profesioniştilor ruşi din străinătate pentru a colabora. 

Contactat de un reporter, un fost colaborator şi-a exprimat regretul de a fi ajutat armata şi agenţia de spionaj intern a Rusiei. „Pentru început, nu era clar la ce urma să fie folosită munca mea”, a declarat acesta. „Cu timpul am înţeles că nu puteam continua şi că nu voiam să sprijin regimul. Mi-era teamă că mi se va întâmpla ceva sau că voi ajunge la închisoare”, a mărturisit el.

Riscuri enorme au existat şi pentru denunţătorul anonim din spatele fişierelor care alcătuiesc Dosarul Vulkan. Regimul rus este cunoscut pentru că îi vânează pe cei pe care îi consideră trădători. În scurtul schimb de replici cu jurnalistul german, cel care a divulgat fişierele a declarat că este conştient că furnizarea de informaţii sensibile către presa străină este periculoasă. Dar şi-a luat măsuri de precauţie care să-i schimbe viaţa. A spus că şi-a lăsat în urmă viaţa anterioară şi că acum există „ca o fantomă”.

Editor : M.D.B.

Urmărește știrile Digi24.ro și pe Google News

Partenerii noștri