NEUGLEDNI ured nalazi se u sjeveroistočnom predgrađu Moskve. Na ploči piše: "Poslovni centar". U blizini su moderni stambeni blokovi i staro groblje na kojem se nalaze ratni spomenici obrasli bršljanom. To je područje gdje je Petar Veliki nekoć obučavao svoju moćnu vojsku.
Unutar šesterokatnice nova generacija pomaže ruskim vojnim operacijama. Njezino oružje naprednije je od onog iz doba Petra Velikog, nisu to više helebarde, već alati za hakiranje i dezinformiranje.
NTC Vulkan
Softverski inženjeri koji stoje iza ovih sustava su zaposlenici NTC Vulkana. Izgleda kao uobičajena konzultantska tvrtka za kibernetičku sigurnost. Međutim curenje tajnih datoteka iz tvrtke razotkrilo je njezin rad na jačanju sposobnosti Vladimira Putina za kibernetičko ratovanje, piše The Guardian.
Tisuće stranica tajnih dokumenata otkrivaju kako su Vulkanovi inženjeri radili za ruske vojne i obavještajne agencije kako bi podržali operacije hakiranja, obučavali operativce prije napada na nacionalnu infrastrukturu, širili dezinformacije i kontrolirali dijelove interneta.
Tri ključna sustava
Rad tvrtke povezan je s federalnom sigurnosnom službom ili FSB-om, domaćom špijunskom agencijom; operativnim i obavještajnim odjelima oružanih snaga, poznatima kao GOU i GRU; te SVR-om, ruskom vanjskom obavještajnom organizacijom.
Jedan dokument povezuje Vulkanov alat za kibernetičke napade s ozloglašenom hakerskom grupom Sandworm, za koju je američka vlada rekla da je dvaput uzrokovala nestanak struje u Ukrajini, poremetila Olimpijske igre u Južnoj Koreji i pokrenula NotPetya, ekonomski najdestruktivniji malware u povijesti. Pod kodnim nazivom Scan-V, pretražuje internet u potrazi za ranjivostima koje se zatim pohranjuju za korištenje u budućim kibernetičkim napadima.
Drugi sustav, poznat kao Amezit, predstavlja nacrt za nadzor i kontrolu interneta u regijama pod zapovjedništvom Rusije, a također omogućuje dezinformiranje putem lažnih profila na društvenim mrežama. Treći sustav koji je izradio Vulkan - Crystal-2V - program je obuke za kibernetičke operativce u metodama za rušenje željezničke, zračne i pomorske infrastrukture. Datoteka koja objašnjava softver navodi: "Razina tajnosti obrađenih i pohranjenih informacija u proizvodu je 'Strogo povjerljivo'".
Dokumente objavio zviždač bijesan zbog ruskog rata u Ukrajini
Dokumente o Vulkanu, koji datiraju od 2016. do 2021., objavio je anonimni zviždač razljućen ruskim ratom u Ukrajini. Takva curenja informacija iz Moskve iznimno su rijetka. Nekoliko dana nakon invazije u veljači prošle godine izvor se obratio njemačkim novinama Süddeutsche Zeitung i rekao da se GRU i FSB kriju iza Vulkana.
"Ljudi bi trebali znati opasnosti ovoga. Zbog događaja u Ukrajini odlučio sam objaviti ovu informaciju. Tvrtka radi loše stvari, a ruska vlada je kukna i zlonamjerna. Ljutit sam zbog invazije na Ukrajinu i strašnih stvari koje se tamo događaju. Nadam se da možete iskoristiti ove informacije da pokažete što se događa iza zatvorenih vrata", rekao je zviždač.
Izvor je kasnije podijelio podatke i nove informacije s istraživačkim startupom Paper Trail Media sa sjedištem u Münchenu. Nekoliko mjeseci novinari koji rade za 11 medija, uključujući The Guardian, Washington Post i Le Monde, istraživali su dosjee u konzorciju predvođenom Paper Trail Mediom i Der Spiegelom.
Dosjei se čine autentičnima
Pet zapadnih obavještajnih agencija potvrdilo je da se dosjei Vulkana čine autentičnima. Tvrtka i Kremlj nisu odgovorili na brojne zahtjeve za komentarom.
Jedan dokument pokazuje kako inženjeri preporučuju Rusiji da poveća vlastite sposobnosti korištenjem alata za hakiranje koji su 2016. ukradeni od američke Agencije za nacionalnu sigurnost i objavljeni na internetu.
John Hultquist, potpredsjednik za analizu obavještajnih podataka u tvrtki za kibernetičku sigurnost Mandiant, koja je pregledala neke materijale na zahtjev konzorcija, rekao je: "Ovi dokumenti sugeriraju da Rusija vodi napade na civilnu infrastrukturu i manipulaciju društvenim medijima, što je u biti napad na neprijateljsku volju za borbom."
Što je Vulkan?
Izvršni direktor Vulkana Anton Markov muškarac je srednjih godina, podšišane kose i tamnih vrećica oko očiju. Markov je osnovao Vulkan 2010. godine zajedno s Aleksandrom Iržavskim. Obojica su diplomirala na vojnoj akademiji u Sankt-Peterburgu i služili su u vojsci, napredujući do satnika odnosno bojnika. "Imali su dobre kontakte u tom smjeru", rekao je jedan bivši zaposlenik.
Tvrtka je dio ruskog vojno-industrijskog kompleksa. Ovaj podzemni svijet obuhvaća špijunske agencije, komercijalne tvrtke i visokoškolske ustanove. Stručnjaci poput programera i inženjera sele se iz jedne grane u drugu; tajni državni akteri uvelike se oslanjaju na stručnost privatnog sektora.
Vulkan je lansiran kada je Rusija ubrzano širila svoje kibernetičke sposobnosti. Tradicionalno, FSB je preuzeo vodstvo u kibernetičkim poslovima. Putin je 2012. imenovao ambicioznog i energičnog Sergeja Šojgua za ministra obrane. Šojgu je želio vlastite kibernetičke postrojbe, koje će odgovarati izravno njemu.
Dobili posebne državne dozvole za rad na tajnim projektima
Vulkan je 2011. dobio posebne državne dozvole za rad na tajnim vojnim projektima i državnim tajnama. To je tehnološka tvrtka srednje veličine s više od 120 zaposlenika - od kojih je oko 60 programera. Nije poznato koliko privatnih izvođača ima pristup takvim osjetljivim projektima u Rusiji, ali neke procjene govore da ih nema više od desetak.
Vulkanova korporativna kultura više sliči Silicijskoj dolini nego špijunskoj agenciji. Ima nogometnu ekipu za osoblje i motivacijsku e-poštu sa savjetima za fitness i proslavama rođendana zaposlenika. Postoji čak i optimističan slogan: "Učinimo svijet boljim mjestom" koji se pojavljuje u sjajnom promotivnom videu.
Službeno su klijenti velike ruske državne firme
Vulkan kaže da je specijaliziran za "sigurnost informacija"; službeno su njegovi klijenti velike ruske državne tvrtke poput Sberbanka, najveće ruske banke; nacionalnog zračnog prijevoznika Aeroflota te Ruske željeznice.
"Posao je bio zabavan. Koristili smo najnovije tehnologije. Ljudi su bili stvarno pametni. I novac je bio dobar, znatno iznad uobičajene plaće", rekao je jedan bivši zaposlenik koji je na kraju otišao jer se razočarao u posao.
Kao i tehnička stručnost, velikodušne plaće kupile su diskreciju. Neki su djelatnici diplomirali na Moskovskom državnom tehničkom sveučilištu Bauman, koje ima dugu povijest novačenja kadrova za ministarstvo obrane. Tijek rada organiziran je prema načelima stroge operativne tajnosti, pri čemu se osoblju nikada ne govori na čemu drugi odjeli rade.
Etika tvrtke je patriotska, sugerira curenje informacija. U novogodišnjoj noći 2019. zaposlenik je kreirao veselu Microsoft Excel datoteku sa sovjetskom vojnom glazbom i slikom medvjeda. Uz njega su bile riječi: "APT Magma Bear". Referenca je na ruske državne hakerske skupine kao što su Cosy Bear i Fancy Bear, a čini se da ukazuje i na Vulkanove vlastite tajnovite aktivnosti.
Misteriozni Sandworm
Pet mjeseci kasnije Markov je posjetio svoje radnike na Dan pobjede 9. svibnja, kada se slavi pobjeda Crvene armije protiv nacističke Njemačke 1945. godine. "Ovo je značajan događaj u povijesti naše zemlje. Odrastao sam na filmovima o ratu i imao sam sreću komunicirati s veteranima i slušati njihove priče. Ovi ljudi su umirali za nas, da možemo živjeti u Rusiji", rekao je Markov osoblju.
Jedan od Vulkanovih najdalekosežnijih projekata izveden je uz blagoslov najzloglasnije jedinice kibernetičkih ratnika u Kremlju, poznate kao Sandworm. Prema američkim tužiteljima i zapadnim vladama, tijekom prošlog desetljeća Sandworm je bio odgovoran za operacije hakiranja nevjerojatnih razmjera. Počinio je brojna zloćudna djela: političku manipulaciju, kibernetičku sabotažu, uplitanje u izbore i curenje podataka.
Sandworm je onesposobio električnu mrežu Ukrajine 2015. Sljedeće godine sudjelovao je u ruskoj operaciji uplitanja u predsjedničke izbore u SAD-u. Dvoje njegovih operativaca optuženo je za distribuciju e-pošte ukradene od Demokratske stranke koristeći lažni identitet Guccifer 2.0. Zatim je 2017. Sandworm ukrao dodatne podatke u pokušaju da utječe na ishod predsjedničkih izbora u Francuskoj.
Najveći kibernetički napad u povijesti
Iste godine postrojba je izvela najveći kibernetički napad u povijesti. Operativci su koristili prilagođeni zlonamjerni softver pod nazivom NotPetya. Počevši od Ukrajine, NotPetya se brzo proširio po cijelom svijetu. Srušio je izvanmrežne dostavne tvrtke, bolnice, poštanske sustave i proizvođače lijekova - digitalni napad koji se iz virtualnog prelio u fizički svijet.
Datoteke Vulkan bacaju svjetlo na dio digitalnog stroja koji bi mogao igrati ulogu u sljedećem napadu koji će pokrenuti Sandworm.
Sustav "izgrađen za ofenzivne svrhe"
Kao posebna jedinica unutar GRU-ovog "glavnog centra za specijalne tehnologije", Sandworm je interno poznat po svom broju 74455. Ovaj se kod pojavljuje u datotekama Vulkana kao "partner za odobrenje" u tehničkom dokumentu.
Opisuje "protokol razmjene podataka" između očigledno već postojeće vojne baze podataka koja sadrži obavještajne podatke o softverskim i hardverskim slabostima i novog sustava za čiju je izgradnju Vulkan zadužen - Scan-V.
Hakerske skupine kao što je Sandworm prodiru u računalne sustave prvo tražeći slabe točke. Scan-V podržava taj proces, provodeći automatizirano izviđanje potencijalnih ciljeva diljem svijeta u potrazi za potencijalno ranjivim poslužiteljima i mrežnim uređajima. Obavještajni podaci se zatim pohranjuju u repozitorij podataka, dajući hakerima automatizirani način identificiranja ciljeva.
Gabby Roncone, još jedna stručnjakinja za kibernetičku sigurnost tvrtke Mandiant, iznijela je analogiju scena iz starih ratnih filmova u kojima ljudi postavljaju "svoje topništvo i trupe na kartu. Oni žele razumjeti gdje su neprijateljski tenkovi i gdje trebaju prvo napasti kako bi probili neprijateljske linije".
Povjerljivi detalji
Projekt Scan naručio je u svibnju 2018. Institut za inženjersku fiziku, istraživačka ustanova u moskovskoj regiji blisko povezana s GRU-om. Svi detalji su bili klasificirani. Nije jasno je li Sandworm namjeravani korisnik sustava, ali u svibnju 2020. Vulkanova ekipa posjetila je vojni objekt u Himkiju, istom gradu na periferiji Moskve u kojem se nalazi hakerska jedinica, kako bi testirali sustav Scan.
"Scan je definitivno napravljen za ofenzivne svrhe. Dobro se uklapa u organizacijsku strukturu i strateški pristup GRU-a. Ovakve mrežne dijagrame i projektne dokumente ne nalazite često. To je stvarno vrlo zamršena stvar", rekao je jedan analitičar nakon pregleda dokumenata.
Datoteke koje su procurile ne sadrže informacije o ruskom zlonamjernom kodu ili zlonamjernom softveru koji se koristi za operacije hakiranja. Ali analitičar iz Googlea rekao je da je tehnološka tvrtka 2012. godine povezala Vulkan s operacijom koja uključuje zlonamjerni softver poznat kao MiniDuke. SVR je koristio MiniDuke u phishing kampanjama. Curenje pokazuje da je tajni dio SVR-a, vojna jedinica 33949, angažirao Vulkan za rad na više projekata. Tvrtka je svog klijenta nazvala kodnim imenom "sanatorij" i "dispanzer".
Internetska kontrola, nadzor i dezinformacije
Godine 2018. skupina zaposlenika Vulkana otputovala je na jug kako bi prisustvovala službenom testiranju sveobuhvatnog programa koji omogućuje kontrolu interneta, nadzor i dezinformiranje. Sastanak je održan u Radio istraživačkom institutu Rostov na Donu povezanom s FSB-om. Institut je angažirao Vulkan kao podizvođača za pomoć u stvaranju novog sustava, nazvanog Amezit, koji je u otkrivenim dokumentima također povezan s ruskom vojskom.
"Puno je ljudi radilo na Amezitu. Uloženi su novac i vrijeme. I druge tvrtke bile su uključene, vjerojatno zato što je projekt bio tako velik i važan", prisjetio se bivši zaposlenik.
Vulkan je imao središnju ulogu. Dobio je početni ugovor za izgradnju sustava Amezit još 2016. godine, ali dokumenti sugeriraju da su Vulkanovi inženjeri još uvijek poboljšavali dijelove Amezita do 2021. godine, s planovima za daljnji razvoj u 2022.
Jedan dio Amezita je okrenut prema Rusiji, omogućujući operativcima da preuzmu kontrolu nad internetom ako izbiju nemiri u nekoj ruskoj regiji ili ako zemlja stekne uporište nad teritorijem u suparničkoj nacionalnoj državi, poput Ukrajine. Internetski promet za koji se smatra da je politički štetan može se ukloniti prije nego što dobije priliku za širenje.
Kako djeluje Amezit?
Interni dokument od 387 stranica objašnjava kako Amezit djeluje. Vojska treba fizički pristup hardveru, kao što su tornjevi mobilne telefonije i bežičnih komunikacija. Nakon što uspostave kontrolu nad prijenosom, promet se može presresti. Vojni špijuni mogu identificirati ljude koji pretražuju web, vidjeti čemu pristupaju na mreži i pratiti informacije koje korisnici dijele.
Nakon prošlogodišnje invazije Rusija je uhitila brojne prosvjednike protiv rata i donijela kaznene zakone kako bi spriječila javnu kritiku onoga što Putin naziva "specijalnom vojnom operacijom". Datoteke Vulkana sadrže dokumente povezane s operacijom FSB-a za praćenje korištenja društvenih medija u Rusiji u ogromnim razmjerima, koristeći semantičku analizu za uočavanje "neprijateljskog" sadržaja.
Prema izvoru koji je upoznat s radom Vulkana, tvrtka je razvila program zajedničkog prikupljanja podataka za FSB pod nazivom Fraction, koji pročešljava društvene mreže kao što je Facebook, tražeći ključne riječi. Cilj je identificirati potencijalne oporbene osobe iz podataka.
Osoblje Vulkana redovito je posjećivalo središte za informacijsku sigurnost FSB-a u Moskvi, kibernetičku jedinicu službe, kako bi se posavjetovalo o tajnom programu. Zgrada se nalazi pored sjedišta FSB-a u Lubjanki i knjižare; curenje otkriva da su špijuni imali šaljivi nadimak "ljubitelji knjiga".
Paranoja u srcu Kremlja
Razvoj ovih tajnih programa govori o paranoji u srcu ruskog državnog vodstva. Prestravljena uličnim prosvjedima i revolucijama kakve su viđene u Ukrajini, Gruziji, Kirgistanu i Kazahstanu, Moskva smatra internet ključnim oružjem u održavanju reda. Putin je eliminirao svoje domaće protivnike. Disidenti su bili zatvoreni; kritičari poput Alekseja Navalnog otrovani i zatvoreni.
Otvoreno je pitanje jesu li Amezitovi sustavi korišteni u okupiranoj Ukrajini. Rusija je 2014. zauzela istočne gradove Donjeck i Luhansk. Rusija je prošle godine osvojila još ukrajinskog teritorija i zatvorila ukrajinski internet i mobilne usluge u područjima koje kontrolira. Građani Ukrajine bili su prisiljeni povezati se putem pružatelja telekomunikacijskih usluga sa sjedištem na Krimu, sa SIM karticama koje su se dijelile u filtracijskim kampovima koje vodi FSB.
Međutim, novinari su uspjeli pratiti aktivnosti u stvarnom svijetu koje su provodili lažni računi na društvenim mrežama povezani s Vulkanom kao dio podsustava Amezita, kodnog naziva PRR.
Alati za automatiziranu domaću propagandu
Već se znalo da je Kremlj iskoristio svoju tvornicu dezinformacija, Agenciju za istraživanje interneta sa sjedištem u Sankt-Peterburgu, koja je stavljena na američki popis sankcija. Iza operacije masovne manipulacije stoji milijarder Jevgenij Prigožin, Putinov bliski saveznik. Dokumenti Vulkana pokazuju kako je ruska vojska unajmila privatnog izvođača za izradu sličnih alata za automatiziranu domaću propagandu.
Ovaj podsustav Amezita omogućuje ruskoj vojsci izvođenje velikih tajnih operacija dezinformiranja na društvenim medijima i diljem interneta, stvaranjem računa koji nalikuju stvarnim ljudima na internetu ili avatarima. Avatari imaju imena i ukradene osobne fotografije, koje se zatim mjesecima obrađuju kako bi se stvorio realan digitalni otisak.
Otkriveni dokumenti sadrže snimke zaslona lažnih Twitter računa i hashtagova koje je koristila ruska vojska od 2014. do početka ove godine. Širili su dezinformacije, uključujući teoriju zavjere o Hillary Clinton i poricanje da je rusko bombardiranje Sirije ubilo civile. Nakon invazije na Ukrajinu jedan lažni Twitter račun povezan s Vulkanom objavio je: "Izvrstan vođa #Putin".
Još jedan projekt koji je razvio Vulkan vezan uz Amezit daleko je opasniji. Kodnog naziva Crystal-2V, to je platforma za obuku ruskih kibernetičkih operatera. Sposoban dopustiti istovremenu upotrebu do 30 polaznika, čini se da simulira napade na niz bitnih nacionalnih infrastrukturnih ciljeva: željezničke pruge, električne centrale, zračne luke, plovne kanale, luke i industrijske kontrolne sustave.
Trajni sigurnosni rizik?
Nametljiva i destruktivna priroda alata za čiju je izradu angažiran Vulkan postavlja teška pitanja programerima koji su radili na tim projektima. Mogu li se oni nazvati cyber plaćenicima? Ili ruskim špijunima? Neki gotovo sigurno to i jesu. Drugi su možda samo kotačići u većem stroju, koji obavljaju važne inženjerske zadatke za kibernetički vojni kompleks svoje zemlje.
Sve do ruske invazije na Ukrajinu 2022. godine, osoblje Vulkana otvoreno je putovalo zapadnom Europom, posjećujući konferencije o kibernetičkoj sigurnosti, primjerice u Švedskoj, kako bi se družili s predstavnicima zapadnih sigurnosnih tvrtki.
Bivši djelatnici Vulkana sada žive u Njemačkoj, Irskoj i drugim zemljama Europske unije. Neki rade za globalne tehnološke korporacije. Dvojica su u Amazon Web Servicesu i Siemensu. Siemens je odbio komentirati konkretne zaposlenike, ali je rekao da takva pitanja shvaća "vrlo ozbiljno". Amazon je rekao da provodi "stroge kontrole" i da je zaštita podataka o korisnicima njegov "glavni prioritet".
"S vremenom sam shvatio da ne mogu dalje"
Nije sasvim jasno predstavljaju li bivši inženjeri Vulkana sigurnosni rizik na Zapadu i jesu li došli u središte pozornosti zapadnih protuobavještajnih agencija. Većina, čini se, ima rođake u Rusiji, što je ranjivost za koju se zna da ju je FSB koristio za pritisak na ruske stručnjake u inozemstvu.
U kontaktu s novinarom jedan bivši djelatnik izrazio je žaljenje što je pomogao ruskoj vojsci i domaćoj špijunskoj agenciji: "U početku nije bilo jasno za što će se moj rad koristiti. S vremenom sam shvatio da ne mogu dalje i da ne želim podržavati režim. Bojao sam se da će mi se nešto dogoditi ili da ću završiti u zatvoru."
Postojali su i golemi rizici za anonimnog zviždača koji stoji iza curenja Vulkanovih dokumenata. Ruski režim poznat je po lovu na one koje smatra izdajicama.
U kratkom razgovoru s njemačkim novinarom osoba koja je objavila informacije rekla je kako je svjesna da je davanje osjetljivih informacija stranim medijima opasno. Ali poduzela je mjere opreza koje su joj promijenile život. Ostavila je svoj prethodni život iza sebe i sada postoji "kao duh".