Neupadljiva kancelarija se nalazi u severoistočnom predgrađu Moskve. Na natpisu piše “Poslovni centar”. U blizini se nalaze moderni stambeni blokovi i prostrano staro groblje sa ratnim spomenicima prekrivenim bršljanom. Ovo je oblast gde je Petar Veliki nekada obučavao svoju moćnu vojsku.
Unutar šestospratne zgrade, nova generacija podržava ruske vojne operacije. Njihovo oružje je naprednije od onog kod Petra Velikog: nema štuka i helebarda, već alata za hakovanje i dezinformacije.
Softverski inženjeri koji stoje iza ovih sistema su zaposleni u NTC Vulkan. Na površini, ovo je samo vaša prosečna konsultantska firma za sajber bezbednost. Međutim, curenje u tajnim dosijeima kompanije pokazalo je da podržava sajber-ratovanje Vladimira Putina.
Hiljade stranica poverljivih dokumenata otkrivaju kako su inženjeri Vulkana radili za rusku vojsku i obaveštajne agencije da pomognu u operacijama hakovanja, obučavaju agente da napadaju nacionalnu infrastrukturu, šire dezinformacije i kontrolišu delove interneta.
Rad kompanije je povezan sa Federalnom službom bezbednosti (FSB), domaćom službom za špijunažu, operativnim i obaveštajnim ograncima oružanih snaga, poznatim kao GOU i GRU, i SVR, ruskom spoljnom obaveštajnom službom.
Dokument povezuje alatku Vulkan za sajber napade sa zloglasnom hakerskom grupom Sandvorm, za koju američka vlada kaže da je dva puta izazvala nestanke struje u Ukrajini, poremetila Olimpijske igre u Južnoj Koreji i distribuirala NotPetya, ekonomski najrazorniji malver u istoriji. Pod kodnim imenom Scan-V, sistem skenira internet u potrazi za ranjivostima, koje se zatim čuvaju za buduće sajber napade.
Drugi sistem, nazvan Amezit, je nacrt za nadzor i kontrolu interneta u regionima pod ruskom komandom, kao i omogućavanje dezinformacija putem lažnih profila društvenih medija. Treći sistem koji je razvio Vulkan – Cristal-2V – je program obuke za sajber operatere, koji ih podučava metodama potrebnim za rušenje železničke, vazdušne i pomorske infrastrukture. Datoteka koja objašnjava softver kaže: „Nivo bezbednosti informacija koje se obrađuju i čuvaju u proizvodu je “strogo poverljivo”.
Dosijee o Vulkanu, koji datiraju od 2016. do 2021. godine, objavio je anonimni uzbunjivač ljut zbog rata Rusije u Ukrajini. Takva curenja iz Moskve su izuzetno retka. Nekoliko dana nakon invazije u februaru prošle godine, izvor je kontaktirao Süddeutsche Zeitung i rekao da se GRU i FSB „kriju“ iza Vulkana.
„Ljudi treba da znaju koliko je ovo opasno“, rekao je doušnik. “Zbog događaja u Ukrajini odlučio sam da ovu informaciju objavim. Kompanija radi strašne stvari, a ruska vlada je kukavica i greši. Ljut sam zbog invazije Ukrajine i strašnih stvari koje se tamo dešavaju. Nadam se možete koristiti ove informacije da pokažete šta se dešava iza zatvorenih vrata.
Izvor je kasnije podelio podatke i dodatne informacije sa istraživačkim startupom Paper Trail Media sa sedištem u Minhenu. Nekoliko meseci, novinari iz 11 medija, uključujući Gardijan, Vašington post i Mond, ispitivali su podatke u konzorcijumu koji su predvodili Paper Trail Media i Der Spiegel.
Pet zapadnih obaveštajnih agencija potvrdilo je da su Vulkanovi dosijei autentični. Kompanija i Kremlj nisu odgovorili na više zahteva za komentar.
Curenje sadrži mejlove, interne dokumente, planove projekata, budžete i ugovore. Oni pružaju uvid u dalekosežne napore Kremlja u sajber prostoru u trenutku kada vodi brutalni rat protiv Ukrajine. Nije poznato da li su alati koje je razvio Vulkan korišćeni u stvarnim napadima u Ukrajini ili negde drugde.
Međutim, poznato je da su ruski hakeri u više navrata napali ukrajinske računarske mreže – kampanja koja je još uvek u toku. Od prošlogodišnje invazije, moskovske rakete pogodile su Kijev i druge gradove, uništavajući vitalnu infrastrukturu i ostavljajući zemlju u mraku.
Prema analitičarima, Rusija je takođe u stalnom sukobu sa svojim percipiranim neprijateljem, Zapadom, uključujući SAD, Veliku Britaniju, EU, Kanadu, Australiju i Novi Zeland, koji su svi razvili sopstvene tajne sajber ofanzivne sposobnosti u trci digitalnog naoružanja.
Neki od dokumenata u curenju sadrže ono što se čini kao ilustrativne primere potencijalnih meta. Jedna sadrži mapu sa tačkama u SAD. Drugi sadrži detalje o nuklearnoj elektrani u Švajcarskoj.
Dokument pokazuje da inženjeri preporučuju Rusiji da proširi sopstvene mogućnosti korišćenjem hakerskih alata koje je ukrala američka Agencija za nacionalnu bezbednost 2016. godine i objavljena na internetu.
Džon Hultkvist, potpredsednik za analizu obaveštajnih podataka u kompaniji za sajber bezbednost Mandiant, koja je pregledala uzorak materijala u ime konzorcijuma, rekao je: „Ovi dokumenti sugerišu da Rusija napade na civilnu kritičnu infrastrukturu i manipulaciju društvenim medijima vidi kao jednu te istu misiju to je u suštini napad na volju neprijatelja da se bori“.
Šta je vulkan?
Generalni direktor Vulkana Anton Markov je sredovečni čovek sa podšišanom kosom i tamnim podočnjacima oko očiju. Markov je osnovao Vulkan (što na engleskom znači „vulkan“) 2010. godine zajedno sa Aleksandrom Irzavskim. Obojica su diplomci Vojne akademije u Sankt Peterburgu i u prošlosti su služili vojsku, uzdižući se do čina kapetana, odnosno majora. Imali su dobre kontakte u ovom pravcu“, rekao je bivši radnik.
Kompanija je deo vojno-industrijskog kompleksa u Rusiji. Ovaj podzemni svet uključuje špijunske agencije, komercijalne korporacije i visokoškolske ustanove. Specijalisti kao što su programeri i inženjeri prelaze iz jedne grane u drugu; tajni državni akteri se u velikoj meri oslanjaju na znanje privatnog sektora.
Vulkan je ušao na tržište u vreme kada je Rusija ubrzano širila svoje sajber mogućnosti. Tradicionalno, FSB je preuzeo vodeću ulogu u sajber poslovima. Putin je 2012. godine imenovao ambicioznog i energičnog Sergeja Šojgua za ministra odbrane. Šojgu – koji je odgovoran za ruski rat u Ukrajini – želeo je sopstvene sajber trupe, koje su mu direktno odgovarale.
Od 2011. Vulkan je od vlade dobio posebne dozvole za rad na poverljivim vojnim projektima i državnim tajnama. To je tehnološka kompanija srednje veličine sa više od 120 zaposlenih, od kojih je oko 60 programera softvera. Nije poznato koliko privatnih izvođača u Rusiji ima pristup tako osetljivim projektima, ali prema nekim procenama taj broj nije veći od desetina.
Vulkanova korporativna kultura je više Silikonska dolina nego špijunska agencija. Postoji fudbalski tim za zaposlene, motivacioni mejlovi sa savetima za fitnes i rođendanske zabave za zaposlene. Postoji čak i optimističan slogan: „Učinite svet boljim mestom“ pojavljuje se u sjajnom promotivnom videu.
Vulkan kaže da je specijalizovana za „bezbednost informacija“; zvanično, njegovi kupci su velike ruske državne kompanije. To uključuje Sberbank, najveću banku u zemlji, nacionalnu avio-kompaniju Aeroflot i Ruske železnice. „Rad je bio zabavan. Radili smo sa najnovijim tehnologijama“, rekao je bivši radnik koji je na kraju napustio kompaniju zbog razočaranja svojim radom: „Ljudi su bili zaista pametni. A novac je bio dobar, znatno iznad uobičajene stope.“
Ovim izdašnim platama kupljena je ne samo tehnička stručnost, već i očekivanje diskrecije. Neki zaposleni su diplomci Moskovskog državnog tehničkog univerziteta Bauman, koji već dugo daje regrute Ministarstvu odbrane. Radni procesi su organizovani na principima stroge tajnosti i zaposleni nikada ne znaju na čemu rade druga odeljenja.
Etos kompanije je patriotski, kao što sugeriše curenje. U novogodišnjoj noći 2019, zaposleni je napravio veselu Microsoft Excel datoteku sa sovjetskom vojnom muzikom i slikom medveda. Pored nje su bile reči: „APT Magma Bear“. Trag se odnosi na ruske državne hakerske grupe kao što su Cozy Bear i Fancy Bear i čini se da ukazuju na Vulkanove tajanstvene aktivnosti.
Pet meseci kasnije, Markov je podsetio svoje osoblje na Dan pobede, praznik 9. maja kojim se slavi pobeda Crvene armije nad nacističkom Nemačkom 1945. godine. „Ovo je značajan događaj u istoriji naše zemlje“, rekao je on osoblju. „Odrastao sam gledajući filmove o ratu i imao sam sreću da razgovaram sa veteranima i čujem njihove priče. Ti ljudi su umrli za nas da bismo mogli da živimo u Rusiji.
Jedan od Vulkanovih najdalekosežnijih projekata izveden je uz blagoslov najozloglašenije jedinice za sajber ratovanje u Kremlju poznate kao Sandworm (Peščani crv). Prema američkim tužiocima i zapadnim vladama, Sandworm je odgovoran za hakerske operacije zapanjujućih razmera tokom protekle decenije. Izvršio je brojne zlonamerne radnje: političku manipulaciju, sajber sabotažu, mešanje u izbore, objavljivanje e-pošte i curenje informacija.
Sandworm je paralizovala električnu mrežu Ukrajine 2015. Sledeće godine, Sandworm je učestvovao u drskoj operaciji Rusije da poremeti predsedničke izbore u SAD. Dvojica njegovih zaposlenih optužena su za distribuciju ukradenih mejlova od demokrata Hilari Klinton pod lažnim identitetom Guccifer 2.0. U 2017, Sandworm je prikupio više podataka kako bi uticao na ishod francuskih predsedničkih izbora, prema SAD.
Iste godine, jedinica je izvela najveći sajber napad u istoriji. Napadači su koristili prilagođeni malver pod nazivom NotPetya. Počevši od Ukrajine, NotPetya se brzo proširio širom sveta. Oborio je brodarske kompanije, bolnice, poštanske sisteme i farmaceutske proizvođače – digitalni napad koji se prelio iz virtuelnog u fizički svet.
Vulkan fajlovi bacaju svetlo na neke od digitalnih mašina koje bi mogle da igraju ulogu u sledećem napadu Sandworma.
Sistem “u ofanzivne svrhe”
Sandworm je specijalna jedinica u okviru Glavnog centra za specijalne tehnologije GRU” i interno je poznata pod brojem polja 74455. Ovaj kod se pojavljuje u Vulkan fajlovima kao “Strana za odobrenje” na tehničkom dokumentu. On opisuje “protokol za razmenu podataka” između onoga što izgleda da je to već postojeća vojna baza podataka, koja sadrži informacije o ranjivostima softvera i hardvera, i novi sistem koji je Vulkan pomogao da se izgradi: Scan-V.
Hakerske grupe poput Sandworma provaljuju u računarske sisteme tako što prvo traže ranjivosti. Scan-V podržava ovaj proces i obavlja automatizovano izviđanje potencijalnih ciljeva širom sveta kako bi locirao potencijalno ranjive servere i mrežne uređaje. Nalazi se zatim čuvaju u skladištu podataka, dajući hakerima automatsko sredstvo za identifikaciju meta.
Gabby Roncone, još jedan stručnjak u firmi za sajber bezbednost Mandiant, kao primer je navela scene iz starih vojnih filmova, u kojima ljudi „postavljaju svoju artiljeriju i trupe na mapu. Oni žele da shvate gde su neprijateljski tenkovi i gde prvo treba da napadnu da bi prošli kroz neprijateljske linije”, rekla je ona.
Projekat skeniranja naručio je u maju 2018. Institut za inženjersku fiziku, istraživačka institucija u Moskovskoj oblasti blisko povezana sa GRU. Svi detalji su bili tajna. Nije jasno da li je Sandworm bio nameravani korisnik sistema, ali tim iz Vulkana je u maju 2020. posetio vojni objekat u Himkiju, istom gradu na periferiji Moskve gde se nalazi hakerska jedinica, kako bi istražio skeniranje kako bi testirao sistema.
„Sken je definitivno dizajniran za ofanzivne svrhe. Dobro se uklapa u organizacionu strukturu i strateški pristup GRU“, rekao je analitičar nakon pregleda dokumenata. „Ovakve mrežne dijagrame i projektne dokumente ne nalazite često. To su zaista veoma komplikovane stvari.
Datoteke koje su procurile ne sadrže nikakve informacije o ruskom zlonamernom kodu ili malveru koji se koristi za operacije hakovanja. Međutim, Google analitičar je rekao da je 2012. tehnološka kompanija povezala Vulkan sa operacijom koja je koristila malver poznat kao MiniDuke. Ruska spoljna obaveštajna služba SVR koristila je MiniDuke u phishing kampanjama. Curenje otkriva da je tajni ogranak SVR, vojna jedinica 33949, angažovao Vulkana da radi na nekoliko projekata. Kompanija je svom klijentu dala kodna imena „Sanatorij“ i „Dispanzer“.
Internet kontrola, nadzor i dezinformacije
U 2018, tim Vulkanovih operativaca otputovao je na jug kako bi učestvovao u zvaničnom testiranju dalekosežnog programa koji će omogućiti kontrolu interneta, nadzor i dezinformacije. Sastanak je održan u Institutu za istraživanje radija Rostov na Donu koji je pridružen FSB. FSB je angažovao Vulkana da razvije novi sistem, nazvan Amezit, koji dosijei takođe povezuju sa ruskom vojskom.
„Na Amezitu je radilo mnogo ljudi. Uložen je novac i vreme“, priseća se bivši radnik. „I druge kompanije su bile uključene, verovatno zato što je projekat bio tako veliki i važan.
Vulkan je igrao centralnu ulogu. Kompanija je dobila inicijalni ugovor za izgradnju sistema Amezit 2016. godine, ali dokumenti pokazuju da su Vulkan inženjeri još uvek poboljšavali delove Amezita do 2021. godine, sa planovima za dalji razvoj 2022. godine.
Deo Amezita je fokusiran na domaće zemlje, dozvoljavajući agentima da otmu internet i preuzmu kontrolu nad njim ako izbiju nemiri u ruskom regionu ili zemlja dobije kontrolu nad teritorijom u suparničkoj državi, poput Ukrajine. Internet saobraćaj za koji je utvrđeno da je politički štetan može se ukloniti pre nego što ima šansu da se proširi.
Interni dokument od 387 stranica objašnjava kako Amezit funkcioniše. Vojsci je potreban fizički pristup hardveru, na primer za mobilne tornjeve i za bežičnu komunikaciju. Kada kontrolišu prenos, saobraćaj se može presresti. Vojni špijuni mogu da identifikuju ljude koji surfuju internetom, vide čemu pristupaju na mreži i prate informacije koje korisnici dele.
Od prošlogodišnje invazije, Rusija je hapsila ratne protivnike i donosila krivične zakone kako bi odvratila javnu kritiku onoga što Putin naziva „specijalnom vojnom operacijom“. Vulkan fajlovi sadrže dokumente koji se odnose na operaciju FSB-a za praćenje upotrebe društvenih medija u Rusiji u masovnom obimu, koristeći semantičku analizu za otkrivanje „neprijateljskog“ sadržaja.
Prema izvoru upoznatom sa Vulkanovim radom, kompanija je razvila program masovnog hvatanja pod nazivom Fraction za FSB. Prečešlja veb-sajtove kao što su Facebook ili Odnoklassniki – ruski ekvivalent – tražeći ključne reči. Cilj je da se identifikuju potencijalni protivnici koristeći podatke otvorenog koda.
Zaposleni u Vulkanu su redovno posećivali Centar za bezbednost informacija FSB u Moskvi, kibernetičku jedinicu agencije, da bi se upoznali sa tajnim programom. Zgrada se nalazi pored sedišta FSB na Lubjanki i knjižare; curenje otkriva da su špijune jedinice u šali nazivali “ljubiteljima knjiga”.
Razvoj ovih tajnih programa govori o paranoji koja leži u osnovi ruskog rukovodstva. Plaši se uličnih protesta i revolucija poput onih u Ukrajini, Gruziji, Kirgistanu i Kazahstanu. Moskva vidi internet kao ključno oružje u održavanju reda. Kod kuće, Putin je eliminisao svoje protivnike. Disidenti su zatvarani, kritičari poput Alekseja Navaljnog trovani i zatvarani.
Nejasno je da li su sistemi Amezit raspoređeni u okupiranoj Ukrajini. Rusija je 2014. tajno zauzela istočne gradove Donjeck i Lugansk. Od prošle godine je zauzela dodatne teritorije, isključivši ukrajinski internet i mobilne usluge u oblastima pod svojom kontrolom. Ukrajinski građani su primorani da se povezuju preko telekom provajdera na Krimu, a sim kartice se izdaju u skladištima za filtriranje koje vodi FSB.
Međutim, novinari su uspeli da nanjuše aktivnosti u stvarnom svetu koje sprovode lažni nalozi na društvenim mrežama povezani sa Vulkanom kao delom podsistema Amezit kodnog naziva PRR.
Alati za automatizovanu domaću propagandu
Već se znalo da je Kremlj koristio svoju fabriku dezinformacija, Agenciju za internet istraživanje sa sedištem u Sankt Peterburgu, koja je na američkoj listi sankcija. Milijarder Jevgenij Prigožin, bliski Putinov saveznik, stoji iza operacije masovne manipulacije. Vulkanovi dosijei pokazuju da je ruska vojska angažovala privatnog izvođača da napravi slične alate za automatizovanu domaću propagandu.
Ovaj podsistem Amezit omogućava ruskoj vojsci da sprovodi velike tajne operacije dezinformisanja na društvenim mrežama i internetu tako što kreira naloge koji liče na stvarne ljude na mreži, zvani avatari. Avatari imaju imena i ukradene lične fotografije, koje se zatim obrađuju mesecima da bi se stvorio realističan digitalni otisak.
Curenje uključuje snimke lažnih Tviter naloga i heštegove koje je ruska vojska koristila od 2014. do ranije ove godine. Oni su širili dezinformacije, uključujući teoriju zavere o Hilari Klinton i poricanje da su civili ubijeni u ruskom bombardovanju Sirije. Nakon invazije na Ukrajinu, lažni Tviter nalog povezan sa Vulkanom objavio je: „Odličan lider #Putin“.(Excellent leader #Putin).
Drugi projekat koji je razvio Vulkan, vezan za Amezit, daleko je opasniji. Kodnog naziva Crystal-2V, to je platforma za obuku ruskih sajber agenata. Može da ga koristi do 30 polaznika istovremeno i čini se da simulira napade na niz ključnih nacionalnih infrastruktura: železnice, elektrane, aerodrome, plovne puteve, luke i sisteme industrijske kontrole.
Stalni bezbednosni rizik?
Nametljiva i destruktivna priroda alata koji je Vulkan dobio zadatak da razvije postavlja teška pitanja za programere softvera koji su radili na ovim projektima. Možete li ih nazvati sajber minioni? Ili kao ruski špijuni? Neki su sigurni. Drugi mogu biti samo zupčanici u većoj mašini, koji obavljaju kritične inženjerske zadatke za sajber-vojni kompleks svoje zemlje.
Sve dok Rusija nije izvršila invaziju na Ukrajinu 2022. godine, zaposleni u Vulkanu su otvoreno putovali u Zapadnu Evropu i prisustvovali konferencijama o IT i sajber bezbednosti, uključujući u Švedskoj radi razmene ideja sa predstavnicima zapadnih bezbednosnih kompanija.
Bivši diplomci Vulkana sada žive u Nemačkoj, Irskoj i drugim zemljama EU. Neki od njih rade za globalne tehnološke kompanije. Dvoje je zaposleno u Amazon Veb Services i Siemens-u. Siemens je odbio da komentariše pojedinačne zaposlene, ali je rekao da takva pitanja shvata “veoma ozbiljno”. Amazon je rekao da ima „stroge kontrole“ i da je zaštita podataka o klijentima „glavni prioritet“.
Nejasno je da li bivši inženjeri Vulkana sada na zapadu predstavljaju bezbednosni rizik i da li su na njih skrenule pažnju zapadne kontraobaveštajne agencije. Čini se da većina njih ima rođake u Rusiji, što je ranjivost za koju se zna da je FSB koristio da namami ruske stručnjake u inostranstvu na saradnju.
Bivši radnik koga je kontaktirao novinar izrazio je žaljenje je što je pomogao ruskoj vojsci i ruskoj špijunskoj agenciji. „U početku nije bilo jasno za šta će se moj rad koristiti“, rekao je on. „Vremenom sam shvatio da ne mogu da nastavim i da ne želim da podržavam režim. Plašio sam se da mi se nešto ne desi ili da završim u zatvoru.
Postojali su i ogromni rizici za anonimnog doušnika koji stoji iza Vulkanovih dosijea. Ruski režim je poznat po lovu na izdajnike koje smatra izdajnicima. U kratkom razgovoru sa nemačkim novinarom, uzbunjivači su rekli da su svesni da je deljenje osetljivih informacija sa stranim medijima opasno. Ali preduzeli su mere predostrožnosti koje su im promenile život. Oni su, kako su rekli, ostavili svoj prethodni život iza sebe, i sada postoje „kao duh”.
Postojali su ogromni rizici i za anonimnog uzbunjivača koji stoji iza dosijea Vulkan. Ruski režim je poznat po tome što lovi one koje smatra izdajnicima. U kratkoj razmeni sa nemačkim novinarom, procureli su rekli da su svesni da je davanje osetljivih informacija stranim medijima opasno. Ali preduzeli su mere predostrožnosti koje su im promenile život. Oni su, kako su rekli, ostavili svoj prethodni život iza sebe, a sada su postojali „kao duh”./.theguardian.com/