Мащабен теч от Москва разкри машината за хакерски атаки на Кремъл

Безпрецедентен теч на стотици документи от руска фирма за киберсигурност разкри мащабите на водената от Кремъл война във виртуалното пространство чрез хакерски атаки, пропаганда и др. способи. Разследването бе публикувано от 11 западни медии днес следобед и се основава на 5000 страници поверителни корпоративни документи, свързани с базираната в Москва компания "Вулкан". То за пръв път показва кухнята на атаките, с които се сблъсква целият свят, включително и България. Документите са изнесени от служител на фирмата, обезверен заради войната в Украйна. Те се смятат за автентични от експерти и предлагат рядък поглед отвътре - от Москва изключително трудно пробива такъв тип информация навън, коментират западните издания, сред които британският "Гардиън", германският "Шпигел" и американският "Вашингтон Поуст".

Документите показват планове и програми за дезинформационни кампании, координиране на хакерски атаки, поразяване на ключова инфраструктура, включително въздушен, воден и жп транспорт. Те разкриват, че руските хакери не са просто случайни групи, които търсят бързо трупане на точки с произволни удари, а са част от стройна организация, свързана с държавата, военните и службите за сигурност на Русия. Няма данни доколко разработките от разкритията са прилагани на практика, но те разкриват растящата параноя на режима в Кремъл и машинациите, с които той се обгражда.

В някои документи от "Вулканлийкс" има потенциални цели, които изглеждат като илюстративни примери. Един от тях например съдържа карта с концентрацията на интернет сървъри в САЩ. Друга карта показва детайли на ядрена централа в близост до Берн, Швейцария,  заедно с швейцарското министерство на външните работи. Не е ясно дали това са реални цели или просто хипотетични обекти за тренировка, отбелязват авторите на разследването.

"Вулканлийкс" разкрива, че софтуерни инженери на фирмата са работили за руски военни и разузнавателни служби в помощ на хакерски операции. Тренирали са служители преди атаки срещу важни инфраструктурни обекти, разпространявали са дезинформация и са контролирали сегменти от интернет. Работата на фирмата се свързва с Федералната служба за сигурност, оперативните и разузнавателните управления на въоръжените сили на Русия (ГОУ и ГРУ), както и Службата за външно разузнаване.

Един от документите свързва програма за кибератака на "Вулкан" с легендарната хакерска група Sandworm ("Пясъчен червей"), за която американското правителство твърди, че стои зад два токови удара в Украйна, кибератака в Южна Корея по време на зимните олимпийски игри през 2018 г. и NotPetya - най-голямата хакерска атака в историята на интернет. Тя беше замесена и в опита за вмешателство на изборите през 2016 г. Под кодовото име Scan-V, тази програма издирва слаби точки в интернет, които след това се складират за бъдещи кибератаки. 

Sandworm е известна в системата на ГРУ с кода 74455. Този код се открива в един от документите на "Вулкан" като звено, което трябва да даде одобрение за един технически документ. Документът описва "протокол за обмен на данни" между явно съществуваща военна база данни с разузнавателна информация за софтуерни и хардуерни слабости и нова система, разработвана от "Вулкан" (Scan-V). Проектът е поръчан през май 2018 г. от Института по инженерна физика, който се свързва с ГРУ.

Друга система, известна като "Амезит", на практика представлява план за наблюдение и контрол на интернет в региони под руска власт. Тя би позволила да се неутрализира политически вреден интернет трафик при възникване на размирици на руска територия. Тази система позволява и разпространяването на дезинформация през фалшиви профили в социалните мрежи. "Вулкан" започва работа по системата през 2016 г., след като печели поръчка на Института за радио изследвания в Ростов на Дон. Този институт се свързва с ФСБ, а впоследствие разработката "Амезит" се свързва и с военните. 

По второто приложение на "Амезит" - за онлайн пропаганда и дезинформация, разследването разкрива фалшиви профили с имена и крадени лични снимки, които се "отглеждат" в продължение на месеци, за да създадат реалистична диря в социалните мрежи. В изтеклите документи има скрийншотове с фалшиви профили в "Туитър" и хаштагове, използвани от руската армия от 2014 г. до тази година. Те разпространяват фалшиви новини, включително конспиративни теории за Хилари Клинтън. След нахлуването в Украйна, един свързван с "Вулкан" профил в "Туитър" поства например: "Отличен ръководител #Путин".

Само с един клик "Амезит" може да създаде стотици ботове във "Фейсбук", Twitter и YouTube и да им "възложи" задачи - публикуване на постове и видео, коментари, поставяне на лайкове, да увеличават трафика на четенията на статии. 

Трета програма, създадена от "Вулкан" - Crystal-2V, е програма за обучение на киберспециалисти как се блокира ключова транспортна инфраструктура по земя, вода и въздух. Според един файл, който обяснява този софтуер, "обработваната и съхранява информация в този продукт е с ниво "строго секретно".

В един от документите софтуерните инженери на "Вулкан" препоръчват Русия да обогати възможностите си с хакерските програми, откраднати през 2016 г. от Американската агенция за национална сигурност и публикувани онлайн. 

Документите

Документите във "Вулканлийкс" са от 2016 до 2021 г. Изнесени са от анонимен служител, гневен на родината си заради войната в Украйна. Дни след нахлуването на Русия в Украйна, той търси контакт с германския вестник "Зюддойче Цайтунг" и обявява, че ГРУ и ФСБ "се крият зад фирмата "Вулкан". "Хората трябва да знаят рисковете, които крие това. Тази компания върши ужасни неща, а руското правителство е страхливо и на грешна позиция. Гневен съм заради нахлуването в Украйна и страшните неща, които се случват там. Надявам се, че можете да използвате тази информация, за да покажете какво се случва при затворени врата", коментира източникът.

Източникът споделя впоследствие документите и допълнителна информация с базирания в Мюнхен стартъп за разследвания Paper Trail Media. В продължение на месеци, журналисти от 11 медии, сред които "Гардиън", "Вашингтон Поуст", "Монд", преглеждат документите в консорциум, воден от Paper Trail Media и "Шпигел".

Пет западни разузнавателни служби потвърждават, че документите на "Вулкан" изглеждат автентични. Компанията и Кремъл не реагират на многократните запитвания за коментар от 11-те издания, които стоят зад разследването.

Във "Вулканлийкс" има имейли, вътрешни документи, проектни планове, бюджети и договори. Не е известно дали инструментите, разработени от компанията са използвани за истински атаки. Но руски хакери непрекъснато атакуват компютърните мрежи на Украйна. Според анализатори Русия е в непрекъснат конфликт и с редица западни държави, в които вижда свой враг - САЩ, Великобритания, Канада, Австралия, Нова Зеландия, страните от ЕС.

Кои са "Вулкан"

"Вулкан" е създадена през 2010 г. от двама възпитаници на военната академия в Санкт Петербург - Антон Марков и Александър Иржавски. И двамата са служили в армията, като единият стига до капитан, а другият до майор. "Имаха добри контакти по тази линия", спомня си бивш служител.

Компанията е част от руския военно-промишлен комплекс, отбелязва "Гардиън". Този подземен свят включва шпионски структури, търговски фирми и институти за висше образование. Специалисти като програмисти и софтуерни инженери се движат от едно звено в друго и тайните държавни играчи разчитат много на експертизата от частния сектор.

"Вулкан" се появява в период, когато Русия бързо надгражда кибермощта си. Традиционно това е задача на ФСБ, но през 2012 г. Путин назначава амбициозния Сергей Шойгу за военен министър и той иска свои собствени киберотряди, които докладват директно на него, продължава с ретроспекцията британското издание. От 2011 г. нататък "Вулкан" получава специални лицензи да работи по класифицирани военни и държавни проекти. Фирмата е сравнително малка - около 120 души, от които 60 са софтуерни разработчици. Не е известно колко частни фирми имат достъп до такива чувствителни проекти в Русия, но според някои оценки става дума за не повече от 12.

На пръв поглед корпоративната култура на "Вулкан" повече прилича на Силициева долина, вместо на шпионска агенция - има фирмен футболен отбор, мотивационни имейли с фитнес съвети и честитки за рожден ден на някой служител. В едно промоционално видео се вижда и позитивното лого на фирмата "Да направим света по-добро място".

Официално компанията се занимава с информационна сигурност - нейни клиенти са големи руски държавни компании. Сред тях са "Сбербанк", "Аерофлот" и руските железници. "Работата беше интересна. Използвахме най-новите технологии. Хората са много умни. Парите бяха добри - доста над обичайното ниво", разказва бивш служител. Срещу високите заплати освен експертност се очаква и дискретност. Работи се при изключителна оперативна секретност, като различните звена никога не знаят какво работят другите.

Една от картите в документите, отнасящи се до програмата "Амезит":

Източник: "Сега"