Tacticile de razboi cibernetic ale lui Putin la nivel global si intern au fost dezvaluite dupa o scurgere de documente de la firma de spionaj cibernetic Vulkan
Sediul discret al firmei Vulkan se afla in suburbia de nord-est a Moscovei. Pe un panou scrie: „Centru de afaceri”. In apropiere se afla blocuri rezidentiale moderne. Zona este locul in care Petru cel Mare si-a antrenat candva puternica sa armata, scrie The Guardian.
In interiorul cladirii cu sase etaje, o noua generatie ajuta la operatiunile militare rusesti. Armele sale sunt mai avansate decat cele din epoca lui Petru cel Mare: nu piroane si halebarde, ci instrumente de hacking si dezinformare.
Inginerii software din spatele acestor sisteme sunt angajati ai NTC Vulkan. La suprafata, pare o firma de consultanta obisnuita in domeniul securitatii cibernetice. Cu toate acestea, o scurgere de fisiere secrete ale companiei a scos la iveala activitatea sa de sustinere a capacitatilor de razboi cibernetic ale lui Vladimir Putin.
Mii de pagini de documente secrete dezvaluie modul in care inginerii de la Vulkan au lucrat pentru armata rusa si agentiile de informatii rusesti pentru a sprijini operatiunile de hacking, pentru a instrui agenti inainte de atacurile asupra infrastructurii, pentru a raspandi dezinformarea si pentru a controla sectiuni ale internetului.
Activitatea companiei este legata de serviciul federal de securitate – FSB, agentia de spionaj intern, de diviziile operationale si de informatii ale fortelor armate, cunoscute sub numele de GOU si GRU, si de SVR, agentia de informatii externe a Rusiei.
Un document face legatura intre un instrument de atac cibernetic Vulkan si celebrul grup de hackeri Sandworm, despre care guvernul SUA a afirmat ca a provocat de doua ori pene de curent in Ucraina, a perturbat Jocurile Olimpice din Coreea de Sud si a lansat NotPetya, cel mai distructiv malware din punct de vedere economic din istorie. Cu numele de cod Scan-V, acesta cerceteaza internetul in cautarea de vulnerabilitati, care sunt apoi stocate pentru a fi utilizate in viitoarele atacuri cibernetice.
Un alt sistem, cunoscut sub numele de Amezit, echivaleaza cu un plan pentru supravegherea si controlul internetului in regiunile aflate sub controlul Rusiei si permite, de asemenea, dezinformarea prin intermediul unor profiluri false de socializare. Un al treilea sistem creat de Vulkan – Crystal-2V – este un program de pregatire pentru operatorii cibernetici in ceea ce priveste metodele necesare pentru a distruge infrastructura feroviara, aeriana si maritima. Un fisier care explica software-ul afirma: „Nivelul de secretizare a informatiilor procesate si stocate in produs este ‘Top Secret’.”
Fisierele Vulkan, care dateaza din 2016 pana in 2021, au fost scurse de un denuntator anonim infuriat de razboiul Rusiei in Ucraina. Astfel de scurgeri de informatii de la Moscova sunt extrem de rare. La cateva zile dupa invazia din februarie anul trecut, sursa a abordat ziarul german Suddeutsche Zeitung si a declarat ca GRU si FSB „se ascund in spatele” Vulkan.
„Din cauza evenimentelor din Ucraina, am decis sa fac publice aceste informatii. Compania face lucruri rele, iar guvernul rus este las. Sunt suparat din cauza invaziei din Ucraina si a lucrurilor teribile care se intampla acolo. Sper ca puteti folosi aceste informatii pentru a arata ce se intampla in spatele usilor inchise.”
Sursa a impartasit ulterior datele si informatii suplimentare cu start-up-ul de investigatie Paper Trail Media, cu sediul la Munchen. Timp de cateva luni, jurnalisti care lucreaza pentru 11 institutii media, printre care Guardian, Washington Post si Le Monde, au investigat dosarele intr-un consortiu condus de Paper Trail Media si Der Spiegel.
Cinci agentii de informatii occidentale au confirmat ca fisierele Vulkan par a fi autentice. Compania si Kremlinul nu au raspuns la multiplele solicitari de comentarii.
Scurgerea de informatii contine e-mailuri, documente interne, planuri de proiecte, bugete si contracte. Acestea ofera o perspectiva asupra eforturilor ample ale Kremlinului in domeniul cibernetic, intr-un moment in care acesta duce un razboi brutal impotriva Ucrainei. Nu se stie daca instrumentele construite de Vulkan au fost folosite pentru atacuri in lumea reala, in Ucraina sau in alta parte.
Analistii spun ca Rusia este, de asemenea, angajata intr-un conflict continuu cu ceea ce percepe ca fiind inamicul sau, Occidentul, inclusiv SUA, Marea Britanie, UE, Canada, Australia si Noua Zeelanda, care si-au dezvoltat propriile capacitati ofensive cibernetice clasificate intr-o cursa a inarmarii digitale.
Unele documente din scurgerea de informatii contin ceea ce par a fi exemple ilustrative de tinte potentiale. Unul dintre ele contine o harta care prezinta puncte pe teritoriul SUA. Un altul contine detaliile unei centrale nucleare din Elvetia.
Unul dintre documente arata ca inginerii recomanda Rusiei sa isi sporeasca propriile capacitati prin utilizarea unor instrumente de hacking furate in 2016 de la Agentia Nationala de Securitate a SUA si postate online.
John Hultquist, vicepresedintele departamentului de analiza a informatiilor din cadrul firmei de securitate cibernetica Mandiant, care a revizuit selectii ale materialului la cererea consortiului, a declarat: „Aceste documente sugereaza ca Rusia vede atacurile asupra infrastructurii critice civile si manipularea retelelor sociale ca fiind una si aceeasi misiune, care este, in esenta, un atac asupra vointei de a lupta a inamicului”.
Ce este Vulkan?
Directorul executiv al Vulkan, Anton Markov, este un barbat de varsta mijlocie, cu parul tuns si pungi negre in jurul ochilor. Markov a fondat Vulkan in 2010, impreuna cu Alexander Irzhavski. Ambii sunt absolventi ai Academiei militare din Sankt Petersburg si au servit in trecut in armata, ajungand capitan si, respectiv, maior. „Aveau contacte bune in aceasta directie”, a declarat un fost angajat.
Compania face parte din complexul militaro-industrial al Rusiei. Aceasta lume subterana inglobeaza agentii de spionaj, firme comerciale si institutii de invatamant superior. Specialisti precum programatori si ingineri trec de la o ramura la alta. Actorii secreti ai statului se bazeaza foarte mult pe expertiza din sectorul privat.
Vulkan a fost lansat intr-un moment in care Rusia isi extindea rapid capacitatile cibernetice. In mod traditional, FSB a preluat conducerea in domeniul afacerilor cibernetice. In 2012, Putin l-a numit pe ambitiosul si energicul Serghei Shoigu in functia de ministru al apararii. Shoigu – care se ocupa de razboiul Rusiei in Ucraina – a dorit sa aiba propria divizie ciberneticae, care sa-i raporteze direct.
Din 2011, Vulkan a primit licente guvernamentale speciale pentru a lucra la proiecte militare clasificate si la secrete de stat. Este o companie tehnologica de dimensiuni medii, cu peste 120 de angajati – dintre care aproximativ 60 sunt dezvoltatori de software. Nu se stie cati contractori privati primesc acces la astfel de proiecte sensibile in Rusia, dar unele estimari sugereaza ca nu sunt mai mult de o duzina.
Cultura corporativa a Vulkan este mai degraba de tip Silicon Valley decat de agentie de spionaj. Are o echipa de fotbal a personalului si e-mailuri motivationale cu sfaturi de fitness si sarbatoriri ale zilelor de nastere ale angajatilor. Exista chiar si un slogan optimist: „Make the world a better place” apare intr-un videoclip promotional.
Vulkan spune ca este specializata in „securitatea informatiilor” – oficial, clientii sai sunt mari companii de stat rusesti. Printre acestea se numara Sberbank, cea mai mare banca a tarii, compania aeriana nationala Aeroflot si caile ferate rusesti. „Munca a fost distractiva. Foloseam cele mai noi tehnologii”, a declarat un fost angajat care, in cele din urma, a plecat dupa ce a devenit dezamagit de locul de munca. „Oamenii erau foarte inteligenti. Iar banii erau buni, mult peste rata obisnuita”.
Pe langa expertiza tehnica, acele salarii generoase cumparau si discretia. Unii angajati sunt absolventi ai Universitatii Tehnice de Stat Bauman din Moscova, care are o lunga istorie de a furniza recruti Ministerului Apararii. Fluxurile de lucru sunt organizate pe principii de strict secret operational, personalul nefiind niciodata informat cu privire la ce lucreaza alte departamente.
Etica firmei este patriotica, sugereaza documente transmise presei. In ajunul Anului Nou din 2019, un angajat a creat un fisier Microsoft Excel vesel, cu muzica militara sovietica si o imagine a unui urs. Alaturi de acesta erau cuvintele: „APT Magma Bear”. Referirea se refera la grupurile de hacking de stat rusesti, precum Cozy Bear si Fancy Bear, si pare sa indice propriile activitati obscure ale lui Vulkan.
Cinci luni mai tarziu, Markov le-a reamintit muncitorilor sai de Ziua Victoriei, o sarbatoare de 9 mai care celebreaza victoria Armatei Rosii asupra Germaniei naziste in 1945. „Acesta este un eveniment important in istoria tarii noastre”, a declarat el angajatilor. „Am crescut cu filme despre razboi si am avut norocul de a comunica cu veteranii si de a le asculta povestile. Acesti oameni au murit pentru noi, pentru ca noi sa putem trai in Rusia.”
Unul dintre cele mai ample proiecte ale lui Vulkan a fost realizat cu binecuvantarea celei mai infame unitati de razboinici cibernetici a Kremlinului, cunoscuta sub numele de Sandworm. Potrivit procurorilor americani si guvernelor occidentale, in ultimul deceniu, Sandworm a fost responsabil pentru operatiuni de hacking la o scara uimitoare. Aceasta a desfasurat numeroase acte maligne: manipulare politica, sabotaj cibernetic, interferente electorale, dumping de e-mailuri si scurgeri de informatii.
Sandworm a dezactivat reteaua electrica a Ucrainei in 2015. In anul urmator, a participat la operatiunea Rusiei de interferenta in alegerile prezidentiale din SUA. Doi dintre agentii sai au fost pusi sub acuzare pentru distribuirea de e-mailuri furate de la democratii lui Hillary Clinton. Apoi, in 2017, Sandworm a sustras alte date in incercarea de a influenta rezultatul votului prezidential din Franta, potrivit SUA.
In acelasi an, unitatea a declansat cel mai important atac cibernetic din istorie. Operatorii au folosit un malware personalizat numit NotPetya. Inceput in Ucraina, NotPetya s-a raspandit rapid in intreaga lume. Acesta a scos din functiune firme de transport maritim, spitale, sisteme postale si producatori farmaceutici – un atac digital care s-a extins din lumea virtuala in cea fizica.
Un sistem „construit in scopuri ofensive
O unitate speciala din cadrul „centrului principal pentru tehnologii speciale” al GRU, Sandworm este cunoscuta pe plan intern prin numarul de cod 74455. Acesta descrie un „protocol de schimb de date” intre o baza de date aparent preexistenta administrata de armata, care continea informatii despre punctele slabe ale software-ului si ale hardware-ului, si un nou sistem pe care l-a construit Vulkan: Scan-V.
Grupurile de hackeri precum Sandworm patrund in sistemele informatice cautand mai intai punctele slabe. Scan-V sprijina acest proces, efectuand recunoasteri automate ale unor potentiale tinte din intreaga lume, in cautare de servere si dispozitive de retea potential vulnerabile. Informatiile sunt apoi stocate intr-un depozit de date, oferindu-le hackerilor un mijloc automat de identificare a tintelor.
Proiectul Scan a fost comandat in mai 2018 de catre Institutul de Fizica Inginereasca, o unitate de cercetare din regiunea Moscovei, strans asociata cu GRU. Toate detaliile au fost clasificate.
„Scan este cu siguranta construit in scopuri ofensive. Se potriveste in structura organizationala si in abordarea strategica a GRU”, a declarat un analist dupa ce a vazut documentele. „Nu gasesti prea des astfel de diagrame de retea si documente de proiectare. Sunt intr-adevar lucruri foarte complicate”.
Fisierele scurse nu contin informatii despre malware, folosit pentru operatiunile de hacking. Insa un analist de la Google a declarat ca, in 2012, firma de tehnologie a legat Vulkan de o operatiune care a implicat un malware cunoscut sub numele de MiniDuke. SVR, agentia de informatii externe a Rusiei, a folosit MiniDuke in campanii de phishing.
Controlul, supravegherea si dezinformarea pe internet
In 2018, o echipa de angajati Vulkan a calatorit in sudul tarii pentru a participa la testarea oficiala a unui program de amploare care permite controlul, supravegherea si dezinformarea internetului. Intalnirea a avut loc la Institutul de cercetare radiofonica Rostov-on-Don, legat de FSB. Acesta a subcontractat Vulkan pentru a ajuta la crearea noului sistem, denumit Amezit, care a fost asociat in dosare cu armata rusa.
„O multime de oameni au lucrat la Amezit. S-au investit bani si timp”, si-a amintit un fost angajat. „Au fost implicate si alte companii, probabil pentru ca proiectul era atat de mare si important”.
Vulkan a jucat un rol central. Aceasta a castigat un contract initial pentru a construi sistemul Amezit in 2016, dar documentele sugereaza ca unele parti ale Amezit erau inca in curs de imbunatatire de catre inginerii Vulkan pana in 2021, cu planuri de dezvoltare ulterioara in 2022.
O parte a Amezit este orientata spre interiorul tarii, permitand agentilor sa deturneze si sa preia controlul internetului in cazul in care izbucnesc tulburari intr-o regiune rusa sau daca tara obtine un “cap de pod” pe teritoriul unui stat national rival, cum ar fi Ucraina. Traficul de internet considerat daunator din punct de vedere politic poate fi eliminat inainte de a avea sansa de a se raspandi.
Un document intern de 387 de pagini explica modul in care functioneaza Amezit. Armata are nevoie de acces fizic la hardware, cum ar fi turnurile de telefonie mobila, si la comunicatiile wireless. Odata ce controleaza transmisia, traficul poate fi interceptat. Spionii militari pot identifica persoanele care navigheaza pe internet, pot vedea ce acceseaza online si pot urmari informatiile pe care utilizatorii le impartasesc.
De la invazia de anul trecut, Rusia a arestat protestatarii anti-razboi si a adoptat legi punitive pentru a impiedica critica publica a ceea ce Putin numeste o „operatiune militara speciala”. Fisierele Vulkan contin documente legate de o operatiune a FSB de monitorizare a utilizarii retelelor de socializare in interiorul Rusiei la o scara gigantica, folosind analiza semantica pentru a detecta continutul „ostil”.
Potrivit unei surse familiarizate cu activitatea Vulkan, firma a dezvoltat un program de colectare in masa pentru FSB numit Fraction. Acesta analizeaza site-uri precum Facebook sau Odnoklassniki – echivalentul rusesc – in cautarea unor cuvinte cheie. Scopul este de a identifica potentialele figuri ale opozitiei din datele din surse deschise.
Personalul Vulkan a vizitat in mod regulat centrul de securitate a informatiilor al FSB din Moscova, unitatea cibernetica a agentiei, pentru a se consulta cu privire la programul secret. Cladirea se afla langa sediul FSB din Lubyanka.
Dezvoltarea acestor programe secrete vorbeste despre paranoia din sanul conducerii Rusiei. Aceasta este ingrozita de proteste de strada si de revolutii de genul celor din Ucraina, Georgia, Kargazstan si Kazahstan. Moscova considera internetul ca fiind o arma cruciala pentru mentinerea ordinii. Acasa, Putin si-a eliminat adversarii.
Este o intrebare deschisa daca sistemele Amezit au fost folosite in Ucraina ocupata. In 2014, Rusia a ocupat orasele Donetsk si Luhansk din estul tarii. Incepand de anul trecut, a ocupat si mai mult teritoriu si a inchis serviciile ucrainene de internet si de telefonie mobila in zonele pe care le controleaza. Cetatenii ucraineni au fost fortati sa se conecteze prin intermediul furnizorilor de telecomunicatii din Crimeea, cu cartele sim distribuite in taberele de „filtrare” conduse de FSB.
Cu toate acestea, reporterii au reusit sa depisteze activitatea reala desfasurata de conturi false de socializare legate de Vulkan ca parte a unui subsistem al Amezit, cu numele de cod PRR.
Instrumente pentru propaganda interna automatizata
Se stia deja ca Kremlinul s-a folosit de unitatea sa de dezinformare, Internet Research Agency, cu sediul la Sankt Petersburg, care a fost inclusa pe lista de sanctiuni a SUA. Miliardarul Evgheni Prigojin, un aliat apropiat al lui Putin, se afla in spatele operatiunii de manipulare in masa. Dosarele Vulkan arata cum armata rusa a angajat un contractor privat pentru a construi instrumente similare pentru propaganda interna automatizata.
Acest subsistem Amezit permite armatei ruse sa desfasoare operatiuni secrete de dezinformare pe scara larga pe retelele de socializare si pe internet, prin crearea de conturi care seamana cu persoane reale online, sau avatare. Avatarul are nume si fotografii personale furate, care sunt apoi cultivate timp de luni de zile pentru a crea o amprenta digitala realista.
Scurgerea de informatii contine capturi de ecran ale unor conturi false de Twitter si hashtag-uri folosite de armata rusa din 2014 pana la inceputul lui 2021. Acestea au raspandit dezinformari, inclusiv o teorie a conspiratiei despre Hillary Clinton si o negare a faptului ca bombardamentele Rusiei in Siria au ucis civili. Dupa invazia Ucrainei, un cont fals de Twitter legat de Vulkan a postat: „Excelent lider #Putin”.
Un alt proiect dezvoltat de Vulkan legat de Amezit este mult mai amenintator. Cu numele de cod Crystal-2V, acesta este o platforma de antrenament pentru cooperativele cibernetice rusesti. Capabila sa permita utilizarea simultana de catre pana la 30 de cursanti, aceasta pare sa simuleze atacuri impotriva unei serii de obiective de infrastructura nationala esentiala: linii de cale ferata, statii electrice, aeroporturi, cai navigabile, porturi si sisteme de control industrial.
Un risc de securitate permanent?
Natura intruziva si distructiva a instrumentelor pentru care Vulkan a fost angajat sa construiasca ridica intrebari dificile pentru dezvoltatorii de software care au lucrat la aceste proiecte. Pot fi descrisi drept mercenari cibernetici? Sau spioni rusi? Unii aproape sigur sunt. Altii sunt poate simple rotite intr-o masinarie mai larga, indeplinind sarcini ingineresti importante pentru complexul ciber-militar al tarii lor.
Pana la invazia Rusiei in Ucraina, in 2022, personalul Vulkan a calatorit in mod deschis in Europa de Vest, vizitand conferinte IT si de securitate cibernetica, inclusiv o reuniune in Suedia, pentru a se amesteca cu delegati ai firmelor de securitate occidentale.
Fosti absolventi ai Vulkan locuiesc acum in Germania, Irlanda si alte tari din UE. Unii lucreaza pentru corporatii tehnologice globale. Doi dintre ei lucreaza la Amazon Web Services si Siemens. Siemens a refuzat sa comenteze cu privire la angajatii individuali, dar a declarat ca ia astfel de intrebari „foarte in serios”. Amazon a declarat ca a implementat „controale stricte” si ca protejarea datelor clientilor este „prioritatea sa principala”.
Nu este clar daca fostii ingineri Vulkan care se afla acum in Occident reprezinta un risc de securitate si daca au intrat in atentia agentiilor de contrainformatii occidentale. Se pare ca majoritatea au rude in Rusia, o vulnerabilitate despre care se stie ca a fost folosita de FSB pentru a face presiuni asupra profesionistilor rusi din strainatate pentru a colabora.
Contactat de un reporter, un fost colaborator si-a exprimat regretul de a fi ajutat armata si agentia de spionaj intern a Rusiei. „Pentru inceput, nu era clar la ce va fi folosita munca mea”, a spus acesta. „Cu timpul am inteles ca nu puteam continua si ca nu voiam sa sprijin regimul. Mi-era teama ca mi se va intampla ceva sau ca voi ajunge la inchisoare.”
Riscuri enorme au existat si pentru denuntatorul anonim din spatele fisierelor Vulkan. Regimul rus este cunoscut pentru ca ii vaneaza pe cei pe care ii considera tradatori. In scurtul schimb de replici cu un jurnalist german, divulgatorul a declarat ca era constient ca furnizarea de informatii sensibile catre presa straina este periculoasa. Dar si-a luat masuri de precautie care sa-i schimbe viata. A spus ca si-a lasat in urma viata anterioara si ca acum traieste „ca o fantoma”.
