UA / RU
Підтримати ZN.ua

Витік таємних файлів Vulkan: секретне кібервійсько Путіна

Обурений війною в Україні інформатор поділився таємними документами про те, хто веде кібервійну.

Група західних ЗМІ опублікувала засноване на витоку секретних документів розслідування про кібер-можливості Росії. Воно стосується NTC Vulkan — російської фірми з кібербезпеки, яка є підрядником російських військових і розвідувальних служб.

Журналісти дослідили тисячі сторінок документів та з’ясували, як упродовж багатьох років група найкращих російських ІТ-інженерів співпрацювала з російською армією та її розвідкою: здійснювала хакерські операції, тренувала оперативників перед атаками на національні інфраструктури, поширювала дезінформацію та контролювала певні сегменти Інтернету.

Інформацію журналістам надав один з колишніх працівників фірми, обурений діями Росії в Україні. Через кілька днів після вторгнення в лютому минулого року джерело звернулося до німецької газети Süddeutsche Zeitung і повідомило, що за Vulkan стоять ГРУ і ФСБ.

«У зв’язку з подіями в Україні я вирішив оприлюднити цю інформацію. Компанія робить погані речі, а російський уряд є боягузливим і неправим. Я злий через вторгнення в Україну і ті жахливі речі, які там відбуваються. Я сподіваюся, що ви зможете використати цю інформацію, щоб показати, що відбувається за зачиненими дверима», — написав викривач, який поділився наявною інформацією з низкою ЗМІ.

Пізніше п’ять західних спецслужб підтвердили справжність документів. Витік секретних файлів містить внутрішні документи за 2016-2021 роки, плани проєктів, електронні листи, контракти та бюджети. Вони дають змогу зрозуміти масштаби здійснюваних Росією кібератак на Україну та інші країни.

Vulkan був запущений у той час, коли Росія стрімко розширювала свої кібер-можливості. Традиційно лідерство у кіберсправах взяла на себе ФСБ. У 2012 році Путін призначив міністром оборони амбітного та енергійного Сергія Шойгу. Шойгу, який відповідає за війну Росії в Україні, хотів мати власні кібервійська, які підпорядковувалися б безпосередньо йому.

З 2011 року Vulkan отримав спеціальні державні ліцензії на роботу над секретними військовими проектами та державною таємницею. Це технологічна компанія середнього розміру з понад 120 співробітниками, близько 60 з яких є розробниками програмного забезпечення. Невідомо, скільки приватних підрядників мають доступ до таких чутливих проектів у Росії, але за деякими оцінками їх не більше десятка.

Корпоративна культура Vulkan більш подібна на Кремнієву долину, аніж на шпигунське агентство. У фірмі є штатна футбольна команда, а також мотиваційні електронні листи з порадами щодо фітнесу та святкування днів народження співробітників. Є навіть  рекламний відеоролик з оптимістичним слоганом: «Зробимо світ кращим».

Офіційно сфера діяльності Vulkan — інформаційна безпека. Його клієнтами є великі російські державні компанії, зокрема «Сбербанк», найбільший банк країни, національна авіакомпанія«Аерофлот» і російські залізниці. 

Один з документів пов’язує інструмент для кібератак Vulkan із сумнозвісною хакерською групою Sandworm. Саме ця група, за даними уряду США, двічі викликала відключення електроенергії в Україні, зірвала Олімпійські ігри в Південній Кореї та запустила NotPetya — найбільш економічно руйнівне шкідливе програмне забезпечення в історії.  NotPetya старував в Україні і стрімко поширився по всьому світу. Він вивів з ладу транспортні компанії, лікарні, поштові системи та виробників фармацевтичних препаратів – цифрова атака перекинулася з віртуального у фізичний світ.

Читайте також: Росія здійснила хакерську атаку на енергосистему України, яка мала на меті блекаут країни за прикладом 2016 року

У 2015 році Sandworm вивів з ладу енергомережу України. Наступного року він брав участь у операції Росії зі зриву виборів президента США. Двох її учасників звинуватили в розповсюдженні електронних листів, вкрадених у демократки Гілларі Клінтон. У 2017 році Sandworm викрала додаткові дані, намагаючись вплинути на результати президентських виборів у Франції.

Читайте також: Україні варто готуватися до нової фази кібервійни з Росією — POLITICO

Інша система, відома як «Амезіт» — це план стеження та контролю за Інтернетом у підконтрольних Росії регіонах. Також вона дозволяє здійснювати через фальшиві профілі в соціальних мережах інформаційні вкиди. 

Питання про те, чи використовувалися системи «Амезіт» на території окупованої України, залишається відкритим. У 2014 році Росія захопила східні міста Донецьк і Луганськ. Починаючи з минулого року, вона окупувала ще більше території та закрила український Інтернет і мобільні послуги в контрольованих районах. Громадян України змушують підключатися через кримських операторів зв’язку, сім-карти роздають у фільтраційних таборах, керованих ФСБ.

«Амезіт» дозволяє російським військовим проводити широкомасштабні секретні операції з дезінформації в соціальних мережах та Інтернеті шляхом створення ботів — облікових записів, які нагадують реальних людей. Вони мають імена та викрадені особисті фотографії, які потім використовуються упродовж кількох місяців, аби  створити реалістичний цифровий слід.

Надані джерелом документи містять, зокрема, скріншоти підроблених акаунтів у Twitter і хештеги, які використовували російські військові з 2014 року до початку цього року. Вони поширювали дезінформацію, зокрема теорію змови про Гілларі Клінтон і заперечення того, що російські бомбардування Сирії призвели до загибелі мирних жителів. Після вторгнення в Україну один фейковий обліковий запис у Twitter, пов’язаний з Vulkan, написав: «Чудовий лідер #Путін».

Читайте також: Росія реактивує своїх тролів та ботів напередодні проміжних виборів у США

Третя система, створена Vulkan – Crystal-2V – це навчальна програма для кібероператорів методам, необхідним для виведення з ладу залізничної, повітряної та морської інфраструктури. У файлі, що пояснює програмне забезпечення, зазначено: «Рівень секретності інформації, що обробляється та зберігається в продукті — «Цілком таємно».

Деякі документи у витоку містять, ймовірно, ілюстративні приклади потенційних цілей. Один містить карту, на якій зображено точки по всій території США. Інший —деталі атомної електростанції в Швейцарії.

В одному з документів інженери рекомендують Росії розширити власні можливості за допомогою хакерських інструментів, викрадених у 2016 році з Агентства національної безпеки США та опублікованих в Інтернеті.

Читайте також: ЄС відкрив в Україні лабораторію кіберзахисту

Після торішнього вторгнення Росія заарештувала антивоєнних протестувальників і ухвалила каральні закони, щоб запобігти публічній критиці того, що Путін називає «спеціальною військовою операцією». Файли Vulkan містять документи, пов’язані з операцією ФСБ з моніторингу використання соціальних медіа в Росії у гігантських масштабах, використовуючи семантичний аналіз для виявлення «ворожого» контенту.

Фірма розробила програму масового збору для ФСБ під назвою Fraction. Вона прочісує такі сайти, як Facebook або Однокласники (російський еквівалент), шукаючи ключові слова. Мета – виявляти потенційних опозиціонерів за даними з відкритих джерел.

Співробітники Vulkan регулярно відвідували центр інформаційної безпеки ФСБ у Москві, кіберпідрозділ агентства, щоб отримати консультації щодо секретної програми. Будівля розташована поруч із управлінням ФСБ на Луб'янці та книгарнею: саме тому працівників підрозділу жартома прозвали «книголюбами».

Розробка цих секретних програм говорить про параною в серці російського керівництва. Воно боїться вуличних протестів і революцій на кшталт України, Грузії, Киргизстану та Казахстану. Москва розглядає Інтернет як вирішальну зброю для підтримки порядку. Вдома Путін усунув своїх опонентів. Дисидентів ув'язнили; критики, такі як Олексій Навальний, отруєні та ув'язнені.

До вторгнення Росії в Україну в 2022 році співробітники Vulkan відкрито подорожували до Західної Європи , відвідуючи конференції з ІТ та кібербезпеки, зокрема зустріч у Швеції для обміну досвідом з делегатами із західних охоронних фірм.

Колишні працівники Vulkan зараз живуть у Німеччині, Ірландії та інших країнах ЄС. Деякі працюють у світових технологічних корпораціях. Двоє – в Amazon Web Services і Siemens. Siemens відмовилась коментувати окремих співробітників, однак заявила, що ставиться до таких питань «дуже серйозно». Компанія Amazon заявила, що запровадила «суворий контроль» і що захист даних клієнтів є її «головним пріоритетом».

Незрозуміло, чи становлять колишні інженери Vulkan, які зараз перебувають на заході, загрозу безпеці, і чи привернули вони увагу західних контррозвідувальних служб. Здавалося б, більшість із них мають родичів у Росії, що, як відомо, часто-густо використовується ФСБ для тиску на російських спеціалістів за кордоном з метою співпраці.

Як пише The Guardian, один з колишніх співробітників висловлював жаль з приводу того, що допомагав російським військовій та розвідувальній машинам.

«Спочатку я  не розумів, для чого використовуватимуть мою роботу. З часом, кол я це усвідомив, я зрозумів, що не можу продовжувати, і що я не хочу підтримувати режим. Я боявся, що зі мною щось трапиться, або я опинюся у в’язниці», — розповів він.

Російський режим відомий тим, що полює на тих, кого він вважає зрадниками. У своїй короткій розмові з німецьким журналістом, людина, яка надала документи для розслідування, заявила, що усвідомлює небезпеку, проте вжила заходів для того, аби змінити життя, залишивши минуле позаду.