Витік документів викрив компанію Vulkan, яка веде "війну" Кремля в інтернеті – The Guardian

П'ятниця, 31 березня 2023, 09:19 -


Інновації в дії

Російська компанія Vulkan працює на ФСБ і створила для Кремля систему для моніторингу та контролю внутрішньоросійського інтернету й пошуку опозиціонерів. Vulkan пов'язана з вірусом NotPetya та втручанням у вибори США. Журналісти кілька місяців опрацьовували дані від інформатора і дійшли до висновку, що вони правдиві. 

Джерело: спільне розслідування журналістів 11 ЗМІ, опубліковане The Guardian

Дослівно: "Тисячі сторінок секретних документів показують, як програмісти Vulkan працювали на російські військові та розвідувальні відомства, підтримуючи хакерські операції, навчаючи оперативників перед атаками на національну інфраструктуру, поширюючи дезінформацію та контролюючи частини інтернету.

Робота компанії пов'язана з ФСБ, внутрішнім шпигунським агентством, оперативними та розвідувальними підрозділами збройних сил РФ (ГРУ та ГШ), а також зовнішньою розвідкою Росії.

В одному з документів інструмент кібератак Vulkan пов'язують із хакерською групою Sandworm, яка, за даними уряду США, двічі спричинила відключення електроенергії в Україні, зірвала Олімпійські ігри в Південній Кореї та запустила вірус NotPetya.

Інша система, відома як "Амезит", являє собою план спостереження і контролю над інтернетом у регіонах, підконтрольних Росії, а також уможливлює дезінформацію через фальшиві профілі в соцмережах.

Третя система, створена компанією Vulkan, - "Кристал-2V" - є навчальною програмою для кібероперативників щодо методів, необхідних для виведення з ладу залізничної, повітряної та морської інфраструктури".

Деталі: Повідомляється, що файли Vulkan, які датуються 2016-2021 роками, надав анонімний інформатор.

Через кілька днів після вторгнення РФ у 2022 році в Україну інформатор звернувся до німецької газети Süddeutsche Zeitung і заявив, що ГРУ і ФСБ "ховаються за Vulkan".

Пізніше джерело поділилося даними та додатковою інформацією з мюнхенським стартапом розслідувань Paper Trail Media.

Протягом декількох місяців журналісти, які працюють в 11 ЗМІ, включаючи Guardian, Washington Post і Le Monde, розслідували ці файли в консорціумі під керівництвом Paper Trail Media і Der Spiegel.

П'ять західних спецслужб підтвердили, що файли Vulkan є справжніми. Компанія і Кремль не відповіли на численні запити про коментарі.

Витік містить електронні листи, внутрішні документи, плани проєктів, бюджети та контракти.

Наразі невідомо, чи використовувалися інструменти, створені Vulkan, для реальних атак в Україні чи деінде, але російські хакери неодноразово атакували українські комп'ютерні мережі.

Аналітики вважають, що РФ також бере участь у постійному конфлікті з тими, кого вона вважає своїм ворогом — Заходом, включаючи США, Британію, ЄС, Канаду, Австралію і Нову Зеландію.

Деякі документи у витоку містять, як видається, ілюстративні приклади потенційних цілей. Один з них, наприклад, із картою, на якій позначені точки по всій території США. Інший містить деталі атомної електростанції у Швейцарії.

В одному з документів інженери рекомендують Росії розширити власні можливості за допомогою хакерських інструментів, викрадених у 2016 році з Агентства національної безпеки США і розміщених в Інтернеті.

Виконавчий директор Vulkan Антон Марков. Він заснував компанію у 2010 році разом з Олександром Іржавським. Обидва є випускниками військової академії в Санкт-Петербурзі й в минулому служили в армії, дослужившись до звань капітана і майора відповідно.

З 2011 року "Вулкан" отримав спеціальні держліцензії на роботу над засекреченими військовими проєктами та державною таємницею.

Це технологічна компанія середнього розміру, в якій працює понад 120 співробітників, близько 60 з яких — розробники програмного забезпечення.

Vulkan заявляє, що спеціалізується на "інформаційній безпеці"; офіційно її клієнтами є великі російські держкомпанії. Серед них — Сбербанк, "Аерофлот" і російські залізниці.

Один з наймасштабніших "проєктів" Vulkan здійснювався з благословення підрозділу кібервійськ Кремля, відомого як "Піщаний черв'як" (Sandworm).

За даними американської прокуратури та західних урядів, протягом останнього десятиліття Sandworm відповідальні за політичні маніпуляції, кіберсаботаж, втручання у вибори, злив електронної пошти та витік інформації.

У 2015 році Sandworm виводили з ладу енергосистему України. Наступного року взяли участь у зриві президентських виборів у США.

Двом її оперативникам були пред'явлені звинувачення в поширенні електронних листів, викрадених у демократів Гілларі Клінтон, з використанням фейкової особи Guccifer 2.0.

Потім у 2017 році Sandworm викрав ще більше даних, намагаючись вплинути на результат президентських виборів у Франції, стверджують у США.

Того ж року підрозділ здійснив наймасштабнішу кібератаку в історії. Оперативники використовували розроблене на замовлення шкідливе програмне забезпечення під назвою NotPetya. Розпочавшись в Україні, NotPetya швидко поширився по всьому світу.

Файли Vulkan проливають світло на частину цифрової техніки, яка може зіграти певну роль у наступній атаці, розв'язаній Sandworm.

Спецпідрозділ "Головного центру спеціальних технологій" ГРУ, Sandworm відомий всередині організації під своїм польовим номером 74455. Цей код з'являється у файлах Vulkan як "схвалююча сторона" в технічному документі. Він описує "протокол обміну даними" між, очевидно, вже чинною військовою базою даних, що містить розвідувальну інформацію про слабкі місця в програмному й апаратному забезпеченні, і новою системою, яку "Вулкан" мав допомогти побудувати: Scan-V.

Хакерські групи, такі як Sandworm, проникають в комп'ютерні системи, спочатку шукаючи слабкі місця. Scan-V підтримує цей процес, проводячи автоматизовану розвідку потенційних цілей по всьому світу в пошуках потенційно вразливих серверів і мережевих пристроїв. Потім розвіддані зберігаються в сховищі даних, надаючи хакерам автоматизовані засоби для ідентифікації цілей.

У 2018 році команда співробітників Vulkan брала участь в офіційному тестуванні масштабної програми, що дозволяє контролювати інтернет, стеження та дезінформацію.

Зустріч відбулася у пов'язаному з ФСБ Науково-дослідному інституті радіомовлення в Ростові-на-Дону. Він уклав субпідряд з компанією Vulkan на створення нової системи під назвою "Амезит", яка також була пов'язана у файлах з російськими військовими.

Одна частина "Амезита" орієнтована на внутрішній ринок, що дозволяє оперативникам перехоплювати й контролювати інтернет, якщо в російському регіоні спалахують заворушення або країна отримує контроль над територією іншої держави.

Інтернет-трафік, який вважається політично шкідливим, може бути видалений до того, як він встигне поширитися.

Внутрішній документ на 387 сторінках пояснює, як працює Amezit. Військовим потрібен фізичний доступ до обладнання, такого як вежі мобільного зв'язку, і до бездротового зв'язку. Як тільки вони контролюють передачу, трафік можна перехоплювати.

Військові шпигуни можуть ідентифікувати людей, які переглядають веб-сторінки, бачити, до чого вони звертаються в Інтернеті, і відстежувати інформацію, якою користувачі обмінюються.

Файли Vulkan також містять документи, пов'язані з операцією ФСБ з моніторингу використання соцмереж в Росії в гігантських масштабах з використанням аналізу для виявлення "ворожого" контенту.

За словами джерела, знайомого з роботою Vulkan, фірма розробила для ФСБ програму масового збору даних під назвою "Фракція". Вона прочісує соцмережі, такі як Facebook або "Однокласники", щоб "виявити потенційних опозиціонерів".

Співробітники Vulkan регулярно відвідували Центр інформаційної безпеки ФСБ у Москві, кіберпідрозділ відомства, щоб проконсультуватися щодо секретної програми.

Будівля знаходиться поруч зі штаб-квартирою ФСБ на Луб'янці та книжковим магазином; витік показує, що шпигунів цього підрозділу жартома прозвали "книголюбами".

Також "Амезит" дозволяє російським військовим проводити масштабні приховані дезінформаційні операції в соцмережах і в інтернеті за допомогою створення облікових записів, які нагадують реальних людей в мережі, або аватарів. Аватари мають імена та викрадені особисті фотографії, які потім місяцями обробляються для створення реалістичного цифрового сліду.

Витік містить скриншоти фейкових акаунтів у Твіттері та хештегів, які використовували російські військові з 2014 року до початку цього року.

Вони поширювали дезінформацію, зокрема теорію змови проти Гілларі Клінтон і заперечення того, що в результаті російських бомбардувань у Сирії загинули цивільні.

Після вторгнення в Україну один фейковий акаунт у Twitter, пов'язаний з Vulkan, написав: "Відмінний лідер #Путін".

Інший проєкт, розроблений Vulkan і пов'язаний з "Амезитом" під кодовою назвою "Кристал-2V" є тренувальною платформою для російських кібероперативників.

Він може дозволити одночасне використання до 30 користувачів та імітує атаки на низку важливих об'єктів національної інфраструктури: залізничні лінії, електростанції, аеропорти, водні шляхи, порти та системи управління промисловістю.

До вторгнення Росії в Україну у 2022 році співробітники Vulkan відкрито подорожували Західною Європою, відвідуючи конференції з ІТ та кібербезпеки.

Колишні працівники Vulkan зараз живуть у Німеччині, Ірландії та інших країнах ЄС. Деякі з них працюють у глобальних технологічних корпораціях. Двоє — в Amazon Web Services та Siemens.

У Siemens відмовилися коментувати окремих співробітників, але заявили, що ставляться до таких питань "дуже серйозно". Amazon заявила, що запровадила "суворий контроль" і що захист даних клієнтів є її "пріоритетом".

Один з колишніх співробітників, з яким зв'язався журналіст, висловив жаль, що допоміг російській військовій і внутрішній розвідці: "Спочатку було незрозуміло, для чого буде використана моя робота. "З часом я зрозумів, що не можу продовжувати, і що я не хочу підтримувати режим. Я боявся, що зі мною щось станеться, або я опинюся у в'язниці".

Українська правда