„Файловете Вулкан“: Тайната кибервойна на Путин по света и у дома

Невзрачният офис се намира в североизточните покрайнини на Москва. На табелата пише: "Бизнес център". Наблизо са разположени модерни жилищни блокове и старо гробище, в което има покрити с бръшлян военни паметници. В този район някога Петър Велики е обучавал могъщата си армия.

Вътре в шестетажната сграда ново поколение помага на „руските военни операции“. Неговите оръжия са по-съвършени от тези от епохата на Петър Велики: не пики и алебарди, а хакерски инструменти и средства за дезинформация.

Софтуерните инженери, които стоят зад тези системи, са служители на Научно-технически център „Вулкан“ (НТЦ „Вулкан“). На пръв поглед тя прилича на обикновена консултантска фирма за киберсигурност. Изтичането на секретни файлове от компанията обаче разкрива работата ѝ за укрепване на способностите на Владимир Путин за водене на кибервойна.

Хиляди страници секретни документи разкриват как инженерите на „Вулкан“ са работили за руските военни и разузнавателни служби, за да подкрепят хакерски операции, да обучават оперативни работници преди атаки срещу националната инфраструктура, да разпространяват дезинформация и да контролират части от интернет.

Работата на компанията е свързана с Федералната служба за сигурност (ФСБ) - вътрешната шпионска агенция; оперативните и разузнавателните отдели на въоръжените сили, известни като ГРУ и СВР - руската организация за външно разузнаване.

В един от документите инструментът за кибератаки „Вулкан“ се свързва с известната хакерска група „Пясъчен червей“ („Sandworm“), която според правителството на САЩ два пъти е причинила прекъсвания на електрозахранването в Украйна, нарушила е Олимпийските игри в Южна Корея и е пуснала NotPetya - най-разрушителния в икономическо отношение зловреден софтуер в историята. С кодово име Scan-V тя претърсва интернет за уязвимости, които след това се съхраняват, за да се използват при бъдещи кибератаки.

Друга система, известна като Amezit, представлява план за наблюдение и контрол на интернет в регионите под командването на Русия и също така позволява дезинформация чрез фалшиви профили в социалните медии. Трета система, създадена от „Вулкан“ - Crystal-2V - представлява програма за обучение на кибероператори в методите, необходими за разрушаване на железопътна, въздушна и морска инфраструктура. Във файл, обясняващ софтуера, се посочва: "Нивото на секретност на обработваната и съхранявана информация в продукта е "Строго секретно".

„Файловете Вулкан“, които датират от 2016 г. до 2021 г., са изтекли от анонимен информатор, разгневен от войната на Русия в Украйна. Подобни изтичания на информация от Москва са изключително редки. Дни след инвазията през февруари миналата година източникът се обръща към германския вестник "Зюддойче цайтунг" и заявява, че ГРУ и ФСБ "се крият зад" „Вулкан“.

"Хората трябва да знаят какви опасности крие това", казва информаторът. "Заради събитията в Украйна реших да направя тази информация публична. Компанията върши лоши неща, а руското правителство е страхливо и лошо. Ядосан съм от нахлуването в Украйна и от ужасните неща, които се случват там. Надявам се, че ще можете да използвате тази информация, за да покажете какво се случва зад затворени врати".

По-късно източникът споделя данните и допълнителната информация с базирания в Мюнхен разследващ стартъп Paper Trail Media. В продължение на няколко месеца журналисти, работещи за 11 медии, сред които "Гардиън", "Вашингтон пост" и "Льо Монд", разследват файловете в консорциум, ръководен от Paper Trail Media и „Шпигел“.

Пет западни разузнавателни агенции потвърждават, че „Файловете Вулкан“ са автентични. Компанията и Кремъл не отговорят на многобройните искания за коментар.

Изтичането съдържа имейли, вътрешни документи, планове на проекти, бюджети и договори. Те дават представа за мащабните усилия на Кремъл в кибернетичния свят в момент, когато той води брутална война срещу Украйна. Не е известно дали инструментите, създадени от „Вулкан“, са били използвани за реални атаки в Украйна или другаде. Известно е обаче, че руските хакери многократно са се насочвали към украински компютърни мрежи - кампания, която продължава. От миналогодишното нахлуване насам ракетите на Москва удрят Киев и други градове, унищожавайки критичната инфраструктура и оставяйки страната на тъмно.

Анализаторите твърдят, че Русия също така е ангажирана в непрекъснат конфликт с това, което възприема като свой враг - Запада, включително САЩ, Обединеното кралство, ЕС, Канада, Австралия и Нова Зеландия, които са разработили свои собствени класифицирани способности за кибероръжия в надпреварата за цифрово въоръжаване.

Някои от документите в изтичането на информация съдържат, както изглежда, илюстративни примери за потенциални цели. Един от тях съдържа карта, на която са изобразени точки в САЩ. Друг съдържа данни за атомна електроцентрала в Швейцария.

В един документ се вижда как инженери помагат на Русия да увеличи собствените си възможности, като използва хакерски инструменти, откраднати през 2016 г. от Агенцията за национална сигурност на САЩ и публикувани онлайн.

Джон Хулквист, вицепрезидент на отдела за разузнавателни анализи във фирмата за киберсигурност Mandiant, която прегледа избрани материали по искане на консорциума, заявява: "Тези документи показват, че Русия разглежда атаките срещу гражданска критична инфраструктура и манипулирането на социалните медии като една и съща мисия, която по същество е атака срещу волята на врага да се бори."

Какво представлява „Вулкан“?

Главният изпълнителен директор на „Вулкан“, Антон Марков, основава компанията през 2010 г. заедно с Александър Иржавски. И двамата са завършили военната академия в Санкт Петербург и в миналото са служили в армията, като са се издигнали съответно до капитан и майор.

Компанията е част от руския военно-промишлен комплекс. Този подземен свят обхваща шпионски агенции, търговски фирми и висши учебни заведения. Специалисти като програмисти и инженери преминават от един бранш в друг; тайните държавни структури разчитат до голяма степен на експертизата на частния сектор.

„Вулкан“ стартира в момент, когато Русия бързо разширява своите кибернетични възможности. Традиционно ФСБ поема водеща роля в киберпространството. През 2012 г. Путин назначи амбициозния и енергичен Сергей Шойгу за министър на отбраната. Шойгу - който отговаря за войната на Русия в Украйна - иска да има свои собствени киберотряди, които да му докладват директно.

От 2011 г. „Вулкан“ получава специални правителствени лицензи за работа по секретни военни проекти и държавни тайни. Това е средна по големина технологична компания с повече от 120 служители - около 60 от които са разработчици на софтуер. Не е известно колко частни изпълнители получават достъп до такива чувствителни проекти в Русия, но според някои оценки те са не повече от десетина.

„Вулкан“ твърди, че е специализирана в "информационната сигурност"; официално клиентите ѝ са големи руски държавни компании. Сред тях са Сбербанк, най-голямата банка в страната, националната авиокомпания "Аерофлот" и руските железници.

Освен техническите познания, щедрите заплати купували и очакването за дискретност. Някои от служителите са възпитаници на Московския държавен технически университет "Бауман", който има дълга история в набирането на кадри за Министерството на отбраната. Работните процеси са организирани на принципите на строга оперативна тайна, като на служителите никога не се съобщава върху какво работят други отдели.

Един от най-мащабните проекти на „Вулкан“ е осъществен с благословията на най-прочутото подразделение на Кремъл за кибервойна, известно като "Пясъчен червей". Според американски прокурори и западни правителства през последното десетилетие то е отговорно за хакерски операции с изумителен мащаб. То е извършило множество злонамерени действия: политически манипулации, киберсаботаж, намеса в избори, хакване на имейли и изтичане на информация.

През 2015 г. „Пясъчен червей“ изключва електрическата мрежа на Украйна. През следващата година той участва в операция на Русия за намеса в президентските избори в САЩ. Двама негови оперативни работници са обвинени в разпространяване на имейли, откраднати от демократите на Хилъри Клинтън, с помощта на фалшива личност - Guccifer 2.0. След това, през 2017 г. групата хаква още данни в опит да повлияе на резултата от президентския вот във Франция, твърдят от САЩ.

Същата година звеното разгръща най-съществената кибератака в историята. Операторите използват специално разработен зловреден софтуер, наречен NotPetya. Започнал в Украйна, NotPetya бързо се разпространява по целия свят. Той изважда от строя транспортни фирми, болници, пощенски системи и фармацевтични производители - цифрова атака, която се пренасяот виртуалния във физическия свят.

„Файловете Вулкан“ хвърлят също светлина върху планирана роля в следваща атака, замислена от „Пясъчен червей“..

Система, "създадена за нападателни цели“

Хакерски групи като „Sandworm“ проникват в компютърни системи, като първо търсят слаби места. Scan-V подпомага този процес, като извършва автоматизирано разузнаване на потенциални цели по целия свят в търсене на потенциално уязвими сървъри и мрежови устройства. След това разузнавателните данни се съхраняват в хранилище за данни, което дава на хакерите автоматизирано средство за идентифициране на цели.

Габи Ронконе, друг експерт от компанията за киберсигурност Mandiant, направи аналогия със сцени от стари военни филми, в които хората разполагат "своята артилерия и войски на картата“. „Те искат да разберат къде са вражеските танкове и къде трябва да нанесат първия удар, за да пробият вражеските линии", казва тя.

„Scan-V определено е създадена за офанзивни цели. Тя се вписва удобно в организационната структура и стратегическия подход на ГРУ", казва един от анализаторите, след като преглежда документите. "Подобни мрежови диаграми и документи за проектиране не се срещат често. Това наистина са много сложни неща."

Анализатор от Google заяви, че през 2012 г. технологичната компания е свързала „Вулкан“ с операция, включваща зловреден софтуер, известен като MiniDuke. СВР, руската агенция за външно разузнаване, е използвала MiniDuke във фишинг кампании.

Контрол на интернет, наблюдение и дезинформация

През 2018 г. екип от служители на „Вулкан“ пътува на юг, за да присъства на официалното тестване на мащабна програма, позволяваща контрол, наблюдение и дезинформация в интернет. Срещата се проведжда в свързания с ФСБ Радиоизследователски институт в Ростов на Дон. Той е възложил на „Вулкан“ да помогне за създаването на новата система, наречена Amezit, която в досиетата е свързана и с руските военни.

"По Amezit работеха много хора. Бяха инвестирани пари и време", спомня си бивш служител. "Участваха и други компании, вероятно защото проектът беше много голям и важен".

Една от частите на Amezit е насочена към вътрешните пазари, като позволява на оперативните работници да превземат и поемат контрола над интернет, ако в руски регион избухнат размирици или ако страната придобие власт над територия в съперническа национална държава, като например Украйна. Вътрешен документ от 387 страници обяснява как работи Amezit. Военните се нуждаят от физически достъп до хардуер, като например кули за мобилни телефони, и до безжични комуникации. Военните шпиони могат да идентифицират хората, които сърфират в интернет, да видят какво доразглеждат онлайн и да проследят информацията, която потребителите споделят.

След миналогодишната инвазия Русия арестува антивоенни протестиращи и прие наказателни закони, за да предотврати публичната критика на това, което Путин нарича "специална военна операция". „Файловете Вулкан“ съдържат документи, свързани с операция на ФСБ за наблюдение на използването на социалните медии в Русия в гигантски мащаб, като се използва семантичен анализ за откриване на "враждебно" съдържание.

Според източник, запознат с работата на „Вулкан“, фирмата е разработила програма за масово събиране на информация за ФСБ, наречена "Фракция". Тя претърсва сайтове като Facebook или Odnoklassniki - руския еквивалент - в търсене на ключови думи. Целта е да се идентифицират потенциални опозиционни фигури на базата на данни от отворени източници.

Служители на "Вулкан" редовно посещават Центъра за информационна сигурност на ФСБ в Москва, киберзвеното на агенцията, за да се консултират по секретната програма. Сградата се намира в непосредствена близост до централата на ФСБ на "Лубянка" и до книжарница; изтичането на информация разкрива, че шпионите на звеното са били наричани шеговито "книголюбци".

Разработването на тези секретни програми говори за параноята в сърцето на руското ръководство. То се страхува от улични протести и революции, каквито се наблюдават в Украйна, Грузия, Киргизстан и Казахстан. Москва смята интернет за изключително важно оръжие за поддържане на реда. У дома Путин елиминира своите опоненти. Дисиденти са затваряни, критици като Алексей Навални са отравяни и хвърляни в затвора.

Остава открит въпросът дали системите Amezit са били използвани в окупираната Украйна. През 2014 г. Русия тайно погълна източните градове Донецк и Луганск. От миналата година насам тя завзема още територии и спира украинските интернет и мобилни услуги в контролираните от нея райони.

Инструменти за автоматизирана вътрешна пропаганда

Вече е известно, че Кремъл използва своята фабрика за дезинформация - базираната в Санкт Петербург Агенция за интернет изследвания, която беше включена в списъка със санкции на САЩ. Милиардерът Евгений Пригожин, близък съюзник на Путин, стои зад операцията за масова манипулация. Файловете "Вулкан" показват как руската армия е наела частен изпълнител, който да изгради подобни инструменти за автоматизирана вътрешна пропаганда.

Тази подсистема на Amezit позволява на руските военни да провеждат мащабни тайни операции за дезинформация в социалните медии и в интернет чрез създаването на акаунти, които приличат на реални хора онлайн, или аватари. Аватарите имат имена и откраднати лични снимки, които след това се поддържат в продължение на месеци, за да се създаде реалистичен цифров отпечатък.

Изтичането на информация съдържа скрийншоти на фалшиви акаунти в Twitter и хаштагове, използвани от руските военни от 2014 г. до началото на тази година. Те разпространяват дезинформация, включително конспиративна теория за Хилъри Клинтън и отричане на факта, че при бомбардировките на Русия в Сирия са загинали цивилни граждани.

Друг проект, разработен от “Вулкан“и свързан с Amezit, е далеч по-заплашителен. С кодово име Crystal-2V той представлява платформа за обучение на руски кибероператори. Възможна е за едновременна употреба от до 30 обучаеми и изглежда, че симулира атаки срещу редица основни цели от националната инфраструктура: железопътни линии, електроцентрали, летища, водни пътища, пристанища и промишлени системи за контрол.

Продължаващ риск за сигурността?

До нахлуването на Русия в Украйна през 2022 г. служителите на „Вулкан“ открито пътуваха до Западна Европа, посещавайки конференции за ИТ и киберсигурност, включително и среща в Швеция, за да се смесят с делегати от западни фирми за сигурност.

Бивши възпитаници на „Вулкан“ сега живеят в Германия, Ирландия и други страни от ЕС. Някои от тях работят за глобални технологични корпорации. Двама от тях са в Amazon Web Services и Siemens. Siemens отказа да коментира отделни служители, но заяви, че приема подобни въпроси "много сериозно". Amazon заяви, че прилага "строг контрол" и че защитата на данните на клиентите е неин "основен приоритет".

Не е ясно дали бившите инженери на „Вулкан“, които сега са на Запад, представляват риск за сигурността и дали са в полезрението на западните контраразузнавателни служби. Изглежда, че повечето от тях имат роднини в Русия - уязвимост, за която се знае, че е била използвана от ФСБ за оказване на натиск върху руски специалисти в чужбина да сътрудничат.

Огромни рискове има и за анонимния информатор, който стои зад „Файловете Вулкан“. Руският режим е известен с това, че преследва онези, които смята за предатели. В кратката си размяна на реплики с германски журналист предоставилият информацията заяви, че е наясно, че даването на чувствителна информация на чуждестранни медии е опасно. Но той е взел предпазни мерки, които са променили живота му. По думите му той е оставил предишния си живот зад гърба си и сега съществува "като призрак". /БГНЕС

------------------------------

Люк Хардинг, Стилияна Симеонова, Маниша Гангули и Дан Сабах - "Гардиън"