Fișierele Vulkan. Investigația care dezvăluie operațiunile de război cibernetic ale Rusiei.
- Ionel Sclavone
- 31 martie 2023, 16:21
Mai multe documente secrete dezvăluie mecanismele prin care Rusia susține și coordonează operațiunile de haking și de dezinformare pe internet. În spatele acestei mașinării se află o firmă aparent inofensivă, NTC Vulkan, care lucrează pentru armata rusă şi pentru agenţiile de informaţii de la Kremlin. Dezvăluirile au la bază o sursă anonimă, care a oferit peste 5.000 de documente, și sunt rezultatul unei colaborări a jurnaliștilor din 11 instituții media din opt țări.
NTC Vulkan este o firmă care nu atrage atenția prea mult. Compania își are sediul într-un birou dintr-o clădire de afaceri situată într-o suburbia din nord-estul Moscovei. În trecut, se spune, era terenul pe care se instruia armata țarului Petru cel Mare. Acum zona este ocupată de un complex de clădiri moderne și de un cimitir vechi, unde sunt monumente comemorative din război, acoperite cu iederă.
În interiorul clădirii cu şase etaje, inginerii software angajaţi ai NTC Vulkan lucrează pentru armata rusă şi pentru agenţiile de informaţii, sprijinind operaţiunile de hacking și pregătind agenţi pentru atacurile asupra infrastructurilor sau pentru a răspândi dezinformări în interesul Rusiei, relatează The Guardian şi The Washington Post.
Activitatea companiei este legată de Serviciul Federal de Securitate sau FSB, fostul KGB, de diviziile operaţionale şi de informaţii ale forţelor armate, cunoscute sub numele de GOU şi GRU, şi de SVR, serviciul de informaţii externe al Rusiei, relatează The Guardian şi The Washington Post.
O investigație care se întinde în opt țări
Toate aceste informații au apărut datorită unei surse anonime, indignate de invazia declanșată de Rusia împotriva Ucrainei. Această sursă a furnizat peste 5.000 de pagini de documente provenind de la NTC Vulkan unui reporter german. Documentele detaliază o serie de aplicații informatice şi baze de date care sugerează că firma este implicată în operaţiuni care includ atât dezinformarea prin intermediul reţelelor sociale, cât şi instruirea pentru a perturba de la distanţă sistemele de control maritim, aerian şi feroviar.
În baza documentelor, jurnaliști din opt state angajați la 11 organizaţii media au demarat o investigație, coordonată de Paper Trail Media şi Der Spiegel din Germania. În proiect au mai fost cooptate organizații precum Süddeutsche Zeitung şi ZDF (Germania), The Washington Post din SUA, The Guardian din Marea Britanie, Le Monde din Franţa, Tamedia din Elveţia, Danish Broadcasting Corporation din Danemarca, Der Standard din Austria şi iStories, un site de ştiri despre Rusia cu sediul în Letonia.
După preluarea documentelor, acestea au fost verificate de reprezentanții a cinci agenţii de informaţii occidentale. Ei au confirmat că fişierele Vulkan par a fi autentice. Pe de altă parte, reprezentanții companiei rusești și Kremlinul nu au răspuns la solicitările de comentarii pe acest subiect.
Dezvăluiri despre gruparea Sandworm
Informațiile obținute de jurnaliști fac legătura și cu activitatea faimosului grup de hackeri al guvernului rus cunoscut sub denumirea de Sandworm (Viermele de nisip, din celebra serie SF „Dune” – n red.). De-a lungul vremii, oficialii americani au acuzat Sandworm că a provocat două ori pene de curent în Ucraina, că a perturbat ceremoniile de deschidere a Jocurilor Olimpice de iarnă din 2018 din Coreea de Sud şi că a lansat NotPetya, cel mai distructiv malware din punct de vedere economic din istorie.
Potrivit procurorilor americani şi guvernelor occidentale, gruparea coordonată de Kremlin este responsabilă în ultimul deceniu pentru mai multe atacuri cibernetice la o scară foarte mare. Este cvorba despre manipulare politică, sabotaj cibernetic, interferenţe electorale, spargeri de e-mailuri şi scurgeri de informaţii.
Doi dintre agenţii grupării apropiate de Kremlin au fost puşi sub acuzare pentru distribuirea de e-mailuri furate de la democraţii lui Hillary Clinton, prin intermediul unei persoane cu identitate falsă, Guccifer 2.0. În 2017, Sandworm a sustras alte date pentru a influenţa rezultatul votului prezidenţial din Franţa, potrivit SUA. În acelaşi an, unitatea a declanşat cel mai important atac cibernetic din istorie, prin intermediul unui malware personalizat numit NotPetya. Început în Ucraina, s-a răspândit rapid în întreaga lume și a scos din funcţiune firme de transport maritim, spitale, sisteme poştale şi producători farmaceutic.
Atacurile Sandworm împotriva infrastructurii occidentale
Acum, fişierele Vulkan fac lumină asupra unei piese de maşinărie digitală de spionaj care ar putea juca un rol în următorul atac cibernetic declanşat de Sandworm. Unul dintre documente menţionează denumirea numerică a unităţii militare a Sandworm, 74455. Acest lucru indică faptul că Vulkan pregătea un soft ce urma să fie utilizat de hackeri.
Documentul, datat 2019, arată un oficial Sandworm aprobând protocolul de transfer de date pentru una dintre platforme. Cu numele de cod Scan-V, softul cercetează internetul în căutare de vulnerabilităţi, care sunt apoi stocate pentru a fi utilizate în viitoarele atacuri cibernetice.
Grupurile precum Sandworm pătrund în sistemele informatice căutând mai întâi punctele slabe, iar Scan-V sprijină acest proces. Prin intermediul softului se procedează la căutarea țintelor vulnerabile, a serverelor și a dispozitivelor de reţea potenţial vulnerabile. Informaţiile sunt apoi stocate într-un depozit de date, oferindu-le hackerilor un mijloc automat de identificare a ţintelor.
Proiectul Scan a fost comandat de Institutul de Fizică Inginerească, un centru de cercetare asociat cu GRU. Toate detaliile au fost clasificate, astfel că nu este clar dacă Sandworm a fost un utilizator preconizat al sistemului.
Ce conțin cele 5.000 de pagini
Cele peste 5.000 de pagini, datate între 2016 şi 2021, includ manuale, fişe tehnice şi alte detalii pentru software-ul pe care Vulkan l-a proiectat pentru armata rusă şi serviciile de informaţii. De asemenea, includ e-mailuri interne ale companiei, înregistrări financiare şi contracte care arată nivelul operaţiunilor cibernetice ale Rusiei şi amploarea muncii pe care Moscova a externalizat-o.
Printre acestea se numără programe pentru crearea de pagini false de social media şi software care poate identifica şi stoca liste de vulnerabilităţi în sistemele informatice din întreaga lume pentru posibile ţinte viitoare.
Un alt document prezintă o hartă a Statelor Unite cu cercuri care par să reprezinte grupuri de servere de internet.
Un al treilea sistem construit de Vulkan - Crystal-2V - este un program de pregătire în vederea distrugerii infrastructurii feroviare, aeriane şi maritime.
Controlul internetului prin proiectul Amezit
O parte a proiectului Amezit este orientată spre interiorul ţării, permiţând agenţilor să deturneze şi să preia controlul internetului în cazul în care izbucnesc tulburări sociale într-o anumită regiune sau dacă Rusia preia teritorii dintr-un stat rival, cum ar fi Ucraina. Traficul de internet considerat dăunător din punct de vedere politic poate fi eliminat înainte de a avea şansa de a se răspândi.
Un document intern de 387 de pagini explică modul în care funcţionează Amezit. Armata are nevoie de acces fizic la hardware, cum ar fi turnurile de telefonie mobilă, şi la comunicaţiile wireless. Odată ce controlează transmisia, traficul poate fi interceptat. Spionii militari pot identifica persoanele care navighează pe internet şi pot urmări informaţiile pe care utilizatorii le împărtăşesc.
După invazia de anul trecut, Rusia a arestat protestatarii anti-război şi a adoptat legi punitive pentru a împiedica criticile publice. Fişierele Vulkan conţin documente legate de o operaţiune a FSB de monitorizare a utilizatorilor de rețele sociale în interiorul Rusiei la o scară gigantică, folosind analiza semantică pentru a depista conţinutul „ostil”.
Potrivit unei surse familiarizate cu activitatea Vulkan, firma a dezvoltat un program de colectare în masă pentru FSB numit Fracţia. Acesta analizează site-uri precum Facebook sau Odnoklassniki - echivalentul rusesc - în căutarea unor cuvinte-cheie. Scopul este de a identifica potenţialele figuri ale opoziţiei din datele obţinute din surse deschise.
Serviciile secrete preiau controlul pe internetul rusesc
Dezvoltarea acestor programe secrete vorbeşte despre paranoia din sânul conducerii Rusiei și despre dorința de a obține controlul total asupra societății. Aceasta este îngrozită de proteste de stradă şi de revoluţii precum cele din Ucraina, Georgia, Kîrgîzstan şi Kazahstan. Iar Moscova consideră internetul o armă crucială pentru menţinerea ordinii. Putin şi-a eliminat adversarii, interni, disidenții fiind închişi sau otrăviți.
În prezent, se pune întrebarea dacă aceste sistemele Amezit au fost folosite și în Ucraina, în 2014, când Rusia a preluat controlul în oraşele Doneţk şi Luhansk din estul ţării. Anul trecut a închis serviciile ucrainene de internet şi de telefonie mobilă în zonele pe care le controlează, iar cetățenii ucraineni au fost forţaţi să se conecteze la internet prin furnizori de telecomunicaţii din Crimeea, cu cartele SIM distribuite în taberele de „filtrare” conduse de FSB.
Instrumente de propaganda automatizată
Agenţia de Cercetare a Internetului, cu sediul la Sankt Petersburg, inclusă pe lista de sancţiuni a SUA, este organizația prin care se derulează operațiuni de manipulare în masă. Iar miliardarul Evgheni Prigojin, aliat apropiat al lui Putin, se află în spatele acțiunilor. Dosarele Vulkan arată cum armata rusă a angajat un contractor privat pentru a construi instrumente similare pentru propagandă internă automatizată.
Acest subsistem Amezit permite armatei ruse să desfăşoare operaţiuni secrete de dezinformare pe scară largă pe reţelele sociale şi pe internet. Sunt create conturi online care seamănă cu persoane reale – avatare, cu nume şi fotografii personale furate. Acestea sunt cultivate timp de luni de zile pentru a crea o amprentă digitală realistă.
Scurgerea de informaţii conţine capturi de ecran ale unor conturi false de Twitter şi hashtag-uri folosite de armata rusă din 2014 până la începutul acestui an. Prin intermediul acestora au fost răspândite dezinformări, inclusiv o teorie a conspiraţiei despre Hillary Clinton şi o negare a faptului că bombardamentele Rusiei în Siria au ucis civili. După invazia din Ucraina, un cont fals de Twitter legat de Vulkan a postat: „Excelent lider #Putin”.
Crystal-2V, pilot automat pentru dezastre
Un alt proiect dezvoltat de Vulkan poartă numele de cod Crystal-2V. Este o platformă de antrenament pentru cooperativele cibernetice ruseşti și poate fi utilizată simultan de până la 30 de cursanţi. Prin intemediul acestora se simulează atacuri împotriva unor obiective de infrastructură naţională esenţială, precum linii de cale ferată, staţii electrice, aeroporturi, căi navigabile, porturi şi sisteme de control industrial.
Un document sugerează că Vulkan a fost angajată în 2018 pentru a crea programul de instruire Crystal-2. Stagiarii care aveau acces la acesta urmau să „testeze metode de obţinere a accesului neautorizat la reţelele informatice şi tehnologice locale ale infrastructurii şi instalaţiilor de susţinere a vieţii în centrele pentru populaţie şi în zonele industriale”, folosind capacităţile sistemului Amezit.
Cine este în spatele companiei Vulkan
Directorul executiv al Vulkan, Anton Markov, a fondat compania în 2010, împreună cu Aleksandr Irjavski. Ambii sunt absolvenţi ai Academiei Militare din Sankt Petersburg şi au servit în armată, ajungând căpitan şi, respectiv, maior.
Compania face parte din complexul militar-industrial rusesc, care înglobează agenţii de spionaj, firme comerciale şi instituţii de învăţământ superior. Specialişti precum programatori şi ingineri trec de la o ramură la alta, iar actorii secreţi ai statului se bazează în mare măsură pe expertiza sectorului privat. Compania Vulkan a fost lansată într-un moment în care Rusia îşi extindea rapid capacităţile cibernetice, când FSB a preluat controlul acestor afaceri.
În 2012, Putin l-a numit pe Serghei Şoigu în funcţia de ministru al apărări, iar acesta a dorit să aibă propriile sale trupe cibernetice, care să-i raporteze direct. Astfel, din 2011, Vulkan a primit licenţe guvernamentale speciale pentru a lucra la proiecte militare clasificate şi la secrete de stat.
Compania are în jur de 120 de angajaţi, din care aproximativ 60 sunt dezvoltatori de software. Alți 12 contractori privați, după unele estimări, primesc acces la astfel de proiecte sensibile în Rusia.
Vulkan seamănă cu o companie din Silicon Valley
Vulkan seamănă cu o companie din Silicon Valley, iar nu cu o agenţie de spionaj. Are o echipă de fotbal a personalului şi e-mailuri motivaţionale cu sfaturi de fitness şi sărbătoriri ale zilelor de naştere ale angajaţilor.
Oficial, Vulkan este specializată în „securitatea informaţiilor”, iar clienții săi sunt mari companii de stat ruseşti printre care Sberbank, cea mai mare bancă a ţării, compania aeriană naţională Aeroflot şi căile ferate ruseşti.
Unii angajaţi sunt absolvenţi ai Universităţii Tehnice de Stat Bauman din Moscova, care are o lungă istorie de a furniza recruţi Ministerului Apărării. Fluxurile de lucru sunt organizate pe principii de „strict secret” operaţional, personalul nefiind niciodată informat cu privire la ce lucrează alte departamente.
Un risc de securitate permanent
Natura intruzivă şi distructivă a instrumentelor pe care compania Vulkan le dezvoltă ridică întrebări dificile pentru dezvoltatorii de software care au lucrat la aceste proiecte. Mulți pot fi descrişi drept mercenari cibernetici sau chiar spioni ruşi. Alţii sunt poate simple rotiţe într-o maşinărie mai largă, îndeplinind sarcini inginereşti importante pentru complexul cyber-militar al ţării lor.
Până la invazia Rusiei în Ucraina, personalul Vulkan a călătorit în mod liber în Europa de Vest, frecventând conferinţe IT şi de securitate cibernetică.
Documentele arată firma intenționa să folosească echipamente hardware din SUA pentru a crea sisteme pentru serviciile de securitate ruseşti. Documentele de proiectare se referă în mod repetat la produse americane, inclusiv procesoare Intel şi routere Cisco, folosite pentru a configura sistemele „hardware-software” pentru unităţile militare şi de informaţii ruseşti.
Unele companii americane, printre care IBM, Boeing şi Dell, au lucrat la un moment dat cu Vulkan. Acestea au achiziționat software comercial fără legături evidente cu operaţiunile de informaţii şi de hacking. Reprezentanţii IBM, Boeing şi Dell nu au contestat colaborarea, dar au declarat că în prezent nu au nicio relaţie de afaceri cu această companie.
Angajați Vulkan activează în state occidentale
Foşti angajaţi ai Vulkan locuiesc în Germania, Irlanda şi alte ţări din UE, iar unii activează pentru corporaţii tehnologice globale. Doi dintre ei lucrează la Amazon Web Services şi Siemens, companie care a refuzat să comenteze cu privire la angajaţii individuali. Amazon a declarat că a implementat „controale stricte” şi că protejarea datelor clienţilor este "prioritatea sa principală".
Nu este clar dacă foştii ingineri Vulkan din Occident reprezintă un risc de securitate şi dacă au intrat în atenţia agenţiilor de contrainformaţii occidentale. Majoritatea au rude în Rusia, o vulnerabilitate despre care se ştie că a fost folosită de FSB pentru a face presiuni asupra profesioniştilor din străinătate.