Neugledni ured nalazi se u sjeveroistočnom predgrađu Moskve. Na tabli piše 'Poslovni centar'. U blizini su moderni stambeni blokovi i staro ratno groblje s spomenicima obraslima bršljanom. To je područje gdje je Petar Veliki nekoć obučavao svoju moćnu vojsku. Unutar šesterokatnice pripadnici nove generacije pomažu u ruskim vojnim operacijama. Njihovo je oružje naprednije od onog iz doba Petra Velikog. To su digitalni alati za hakiranje i dezinformiranje.
Softverski inženjeri koji stoje iza ovih sustava su zaposlenici tvrtke NTC Vulkan koja se prema van predstavlja kao jedna od uobičajenih konzultantskih tvrtki za kibernetičku sigurnost. Međutim, curenje tajnih datoteka iz te tvrtke razotkrilo je njezin rad u cyber ratovanju Vladimira Putina i vlastodržaca iz Kremlja. Tisuće stranica tajnih dokumenata otkrivaju kako su zaposlenici Vulkana radili za ruske vojne i obavještajne agencije obavljajući hakerske operacije i obučavajući operativce za napade na tuđu infrastrukturu, širenje dezinformacija i kontroliranje dijelova interneta, piše Guardian.
Veze s vojnim i obavještajnim aparatom
Rad tvrtke povezan je s ruskom sigurnosnom službom, FSB-om, ali i vojnim operativnim i obavještajnim službama kao što su GOU i GRU te SVR-om, ruskom vanjskom obavještajnom agencijom.
Jedan od tajnih dokumenata koji su iscurili iz te tvrtke, razotrkiva vezu Vulkanovog alata za kibernetičke napade s ozloglašenom hakerskom grupom Sandworm, za koju američka vlada tvrdi da je dvaput uzrokovala nestanak struje u Ukrajini, poremetila Zimske olimpijske igre u Južnoj Koreji 2018. godine i pokrenula NotPety, najdestruktivniji malware u povijesti. Pod kodnim nazivom Scan-V, taj zloćudni softver pretražuje internet u potrazi za ranjivostima koje se zatim pohranjuju za korištenje u budućim kibernetičkim napadima.
Drugi sustav koji je izradio Vulkan, Amezit, koristi se za nadzor i kontrolu interneta u regijama pod zapovjedništvom Rusije, a omogućuje i dezinformiranje putem lažnih profila na društvenim mrežama. Treći sustav, Crystal-2V, program je za obuku kibernetičkih operativaca u metodama potrebnim za rušenje željezničke, zračne i pomorske infrastrukture. razina tajnosti svih spomenutih datoteka je 'Strogo povjerljivo'.
'Ljudi bi trebali znati opasnosti ovoga'
Dosjee Vulkan, koji datiraju od 2016. do 2021., razotkrio je anonimni zviždač bijesan zbog ruskog rata u Ukrajini. Takva curenja informacija iz Moskve iznimno su rijetka. Nekoliko dana nakon invazije u veljači prošle godine, zviždač se obratio novinarima njemačkog Süddeutsche Zeitunga i rekao im da se GRU i FSB skrivaju iza Vulkana.
"Ljudi bi trebali znati opasnosti ovoga. Zbog događaja u Ukrajini odlučio sam objaviti ovu informaciju. Tvrtka radi loše stvari, a ruska vlada je kukavička i kriva je. Ljut sam zbog invazije na Ukrajinu i strašnih stvari koje se tamo događaju. Nadam se da možete iskoristiti ove informacije da pokažete što se događa iza zatvorenih vrata", kaza je taj zviždač njemačkim novinarima.
Kasnije je podijelio podatke i dodatne informacije s jednim istraživačkim startupom iz Münchena. Nekoliko mjeseci novinari iz 11 medija, uključujući Guardian, Washington Post i Le Monde, istraživali su dosjee u suradnji s minhenskim statupom Paper Trail Media i tjednikom Der Spiegel. Pet zapadnih obavještajnih agencija potvrdilo je da se 'dosjei Vulkan' čine autentičnima. Ta tvrtka i Kremlj nisu odgovorili na brojne zahtjeve za komentar.
'Cilj je neprijatelju uništiti volju za borbom'
Podaci koji su iscurili sadrže e-poštu, interne dokumente, projektne planove, proračune i ugovore nudeći uvid u sveobuhvatne napore Kremlja u cyber-sferi dok vodi rat u Ukrajini. Nije poznato jesu li alati koje je napravio Vulkan korišteni za napade u stvarnom svijetu, u Ukrajini ili drugdje, ali je poznato da su ruski hakeri više puta napadali ukrajinske računalne mreže i vjerojatno pomogli u uništavanju kritične infrastrukture u toj zemlji.
Neki iscurjeli dokumenti sadrže ilustrativne primjere potencijalnih meta poput karte s punktovima diljem SAD-a ili podatke o nuklearnoj elektrani u Švicarskoj. Jedan dokument otkriva preporuku ruskim vlastima da poveća vlastite sposobnosti korištenjem alata za hakiranje koji su 2016. ukradeni od američke Agencije za nacionalnu sigurnost i objavljeni na internetu.
John Hultquist, analitičar u tvrtki za kibernetičku sigurnost Mandiant kaže kako ti domkumenti “sugeriraju da Rusija vidi napade na civilnu kritičnu infrastrukturu i manipulaciju društvenim medijima kao jednu te istu misiju, kojoj je cilj uništiti neprijateljevu volju za borbom.”
Kakva je to tvrtka Vulkan?
Direktor Vulkana, Anton Markov, osnovao je Vulkan 2010. godine s Aleksandrom Iržavskim. Obojica su diplomirali na vojnoj akademiji u Sankt Peterburgu i u vojsci napredovali do čina satnika. U tom smislu, imali su dobre veze u vojsci. Tvrtka je dio ruskog vojno-industrijskog kompleksa, ali njegovog podzemnog svijeta koji obuhvaća špijunske agencije, komercijalne tvrtke i visokoškolske ustanove. Vulkan je pokrenut u vrijeme kada je Rusija ubrzano radila na jačanju svoje cyber-sposobnosti, a FSB je preuzeo vodstvo u tim poslovima. Godine 2012. Putin je imenovao Sergeja Šojgua za ministra obrane, a on je želio vlastite kibernetičke trupe, koje bi bile podređene izravno njemu.
Od 2011. Vulkan je dobio posebne državne dozvole za rad na tajnim vojnim projektima i državnim tajnama. To je tehnološka tvrtka srednje veličine s oko 120 zaposlenika, od kojih su polovina programeri softvera. Nije poznato koliko privatnih izvođača ima pristup takvim osjetljivim projektima u Rusiji, ali neke procjene pokazuju da ih nije više od desetak.
Cinični slogan: Učinimo svijet boljim mjestom
Vulkanova korporativna kultura više podsjeća na tvrte iz Silicijske doline nego na špijunsku agenciju. Osoblje ima svoju nogometnu momčad, a zaposlenicima stižu motivacijski mailovi sa savjetima za fitness i proslave rođendana. Tvrtka čak ima i optimističan slogan: "Učinimo svijet boljim mjestom". U Vulkanu kažu da su specijalizirani za "sigurnost informacija", a službeno su njihovi klijenti velike ruske državne tvrtke poput Sberbanke, Aeroflota i Ruskih željeznica.
“Posao je bio zabavan. Koristili smo najnovije tehnologije,” rekao je jedan bivši zaposlenik koji je na kraju otišao razočaran u posao. “Ljudi su bili stvarno pametni. I plaće su bile dobre, znatno iznad prosjeka.”
Neki su djelatnici diplomirali na Moskovskom državnom tehničkom sveučilištu Bauman, koje ima dugu povijest financiranja od strane Ministarstva obrane. Posao je organiziran prema načelima stroge operativne tajnosti, pri čemu se osoblju nikada ne govori na čemu rade drugi odjeli. Etika tvrtke je patriotska, sugeriraju dokumenti koji su iscurili zahvaljujući zviždaču. U novogodišnjoj noći 2019. jedan je zaposlenik kreirao veselu datoteku sa sovjetskom vojnom glazbom i slikom medvjeda uz natpis "APT Magma Bear". To je bila referenca na ruske državne hakerske skupine poput Cosy Bear i Fancy Bear, a ukazivalo je na tajne aktivnosti Vulkana.
Suradnja sa zloglasnom cyber grupom Sandworm
Jedan od Vulkanovih najdalekosežnijih projekata izveden je uz blagoslov najzloglasnije jedinice kibernetičkih ratnika u Kremlju, poznate kao Sandworm. Prema tvednjama američkih službi, tijekom proteklog desetljeća Sandworm je bio odgovoran za operacije hakiranja nevjerojatnih razmjera. Izvršio je brojne zloćudne radnje: političke manipulacije, kibernetičke sabotaže, uplitanja u izbore, curenje podataka…
Sandworm je 2015. godine onesposobio električnu mrežu Ukrajine, a sljedeće godine sudjelovao u ruskoj operaciji uplitanja u američke predsjedničke izbore. Dvoje njegovih operativaca optuženo je za distribuciju e-pošte ukradene od demokratske kandidatkinje Hillary Clinton. Sandworm je 2017. pokušao utjecati i na ishod predsjedničkih izbora u Francuskoj. Iste godine postrojba je izvela najveći kibernetički napad u povijesti. Operativci su koristili prilagođeni zloćudni softver NotPetya. Počevši od Ukrajine, NotPetya se brzo proširio po cijelom svijetu rušeći izvanmrežne brodarske tvrtke, bolnice, poštanske sustave i proizvođače lijekova. Digitalni napad se iz virtualnog prelio u fizički svijet. 'Dosjei Vulkan' bacaju svjetlo na dio digitalnog stroja koji bi mogao igrati ulogu u sljedećem napadu kojeg će pokrenuti Sandworm.
Sustav 'izgrađen za ofenzivne svrhe'
Hakerske skupine kao što je Sandworm prodiru u računalne sustave najprije tražeći slabe točke. Scan-V podržava taj proces, provodeći automatizirano izviđanje potencijalnih ciljeva diljem svijeta u potrazi za potencijalno ranjivim poslužiteljima i mrežnim uređajima. Obavještajni podaci se zatim pohranjuju u repozitorij podataka, dajući hakerima automatizirani način identificiranja ciljeva.
Projekt Scan naručio je u svibnju 2018. Institut za inženjersku fiziku iz Moskve, blisko povezan s GRU-om. Svi detalji su bili klasificirani.
“Scan je definitivno napravljen za ofenzivne svrhe. Udobno se uklapa u organizacijsku strukturu i strateški pristup GRU-a”, rekao je jedan analitičar nakon pregleda dokumenata. “Ovakve mrežne dijagrame i projektne dokumente ne nalazite često. To je stvarno vrlo zamršena stvar.”
Datoteke koje su procurile ne sadrže informacije o ruskom zlonamjernom kodu ili zlonamjernom softveru koji se koristi za operacije hakiranja. Ali jedan analitičar iz Googlea rekao je da je tehnološka tvrtka 2012. povezala Vulkan s operacijom koja uključuje zlonamjerni softver poznat kao MiniDuke. SVR, ruska vanjska obavještajna agencija, koristila je MiniDuke u phishing kampanjama. Curenje pokazuje da je tajni dio SVR-a, vojna jedinica 33949, angažirao Vulkan za rad na više projekata. Tvrtka je svog klijenta nazvala kodnim imenom "sanatorij" i "dispanzer".
Internetska kontrola, nadzor i dezinformacije
Godine 2018. tim zaposlenika Vulkana otputovao je na jug kako bi prisustvovao službenom testiranju sveobuhvatnog programa koji omogućuje kontrolu interneta, nadzor i dezinformiranje. Sastanak je održan u Radioistraživačkom institutu u Rostovu na Donu, povezanom s FSB-om. Angažirao je Vulkan kao podizvođača za pomoć u stvaranju novog sustava, nazvanog Amezit, koji je u dosjeima također povezan s ruskom vojskom.
“Puno je ljudi radilo na Amezitu. Uložen je novac i vrijeme”, prisjetio se bivši zaposlenik. "I druge tvrtke bile su uključene, vjerojatno zato što je projekt bio tako velik i važan."
Vulkan je imao središnju ulogu. Dobio je početni ugovor za izgradnju sustava Amezit 2016., ali dokumenti sugeriraju da su Vulkanovi inženjeri još uvijek poboljšavali dijelove Amezita do 2021., s planovima za daljnji razvoj u 2022.
Preuzet će kontrolu interneta ako izbiju nemiri
Jedan dio Amezita je okrenut prema zemlji, omogućujući operativcima da otmu i preuzmu kontrolu nad internetom ako izbiju nemiri u Rusiji ili ako zemlja dobije uporište nad teritorijem u suparničkoj nacionalnoj državi, poput Ukrajine. Internetski promet za koji se smatra da je politički štetan može se ukloniti prije nego što ima priliku za širenje.
Interni dokument od 387 stranica objašnjava kako Amezit djeluje. Vojska treba fizički pristup hardveru, kao što su tornjevi mobilne telefonije, i bežičnim komunikacijama. Nakon što kontroliraju prijenos, promet se može presresti. Vojni špijuni mogu identificirati ljude koji pretražuju web, vidjeti čemu pristupaju na mreži i pratiti informacije koje korisnici dijele.
Prema izvoru koji je upoznat s radom Vulkana, tvrtka je razvila program skupnog prikupljanja za FSB pod nazivom Fraction. Pročešljava stranice kao što su Facebook ili Odnoklassniki – ruski ekvivalent – tražeći ključne riječi. Cilj je identificirati potencijalne oporbene osobe iz podataka iz otvorenih izvora.
Sve ovo govori o paranoji u Kremlju
Osoblje Vulkana redovito je posjećivalo FSB-ov centar za informacijsku sigurnost u Moskvi, kibernetičku jedinicu agencije, kako bi se posavjetovalo o tajnom programu. Zgrada se nalazi pokraj sjedišta FSB-a u Lubjanki i knjižare; curenje otkriva da su špijuni jedinice u šali dobili nadimak "ljubitelji knjiga".
Razvoj ovih tajnih programa govori o paranoji u srcu ruskog vodstva. Prestravljena je uličnim prosvjedima i revolucijama kakve su viđene u Ukrajini, Gruziji, Kirgistanu i Kazahstanu. Moskva smatra internet ključnim oružjem u održavanju reda. Kod kuće, Putin je eliminirao svoje protivnike. Disidenti su bili zatvoreni; kritičari poput Alekseja Navaljnog otrovani i zatvoreni.
Otvoreno je pitanje jesu li sustavi Amezit korišteni u okupiranoj Ukrajini. Godine 2014. Rusija je tajno progutala istočne gradove Donjeck i Lugansk. Od prošle godine zauzeo je daljnji teritorij i zatvorio ukrajinski internet i mobilne usluge u područjima koja kontrolira. Građani Ukrajine bili su prisiljeni povezati se putem pružatelja telekomunikacijskih usluga sa sjedištem na Krimu, sa sim karticama koje su dijelili u kampovima za "filtraciju" koje vodi FSB.
Međutim, novinari su uspjeli pratiti aktivnosti u stvarnom svijetu koje su provodili lažni računi na društvenim mrežama povezani s Vulkanom kao dio podsustava Amezita, kodnog naziva PRR.
Alati za automatiziranu domaću propagandu
Već se znalo da je Kremlj iskoristio svoju tvornicu dezinformacija, Agenciju za istraživanje interneta sa sjedištem u Sankt Peterburgu, koja je stavljena na američki popis sankcija. Iza operacije masovne manipulacije stoji milijarder Jevgenij Prigožin, Putinov bliski saveznik. Dosjei Vulkan pokazuju kako je ruska vojska unajmila privatnog izvođača za izradu sličnih alata za automatiziranu domaću propagandu.
Podsustav Amezit omogućuje ruskoj vojsci izvođenje velikih tajnih operacija dezinformiranja na društvenim medijima i diljem interneta, stvaranjem računa koji nalikuju stvarnim ljudima na internetu ili avatare. Avatari imaju imena i ukradene osobne fotografije, koje se zatim mjesecima obrađuju kako bi se stvorio realan digitalni otisak.
Još jedan projekt koji je razvio Vulkan vezan uz Amezit daleko je opasniji. Kodnog naziva Crystal-2V, to je platforma za obuku ruskih cyber-operatera. Sposoban dopustiti istovremenu upotrebu do 30 polaznika, čini se da simulira napade na niz bitnih nacionalnih infrastrukturnih ciljeva: željezničke pruge, električne postaje, zračne luke, vodeni putovi, luke i industrijski kontrolni sustavi.
Bivši zaposlenici Vulkana sada rade za Amazon, Siemens...
Nametljiva i destruktivna priroda alata za čije je izradu angažiran Vulkan postavlja teška pitanja programerima softvera koji su radili na tim projektima. Mogu li se opisati kao cyber-plaćenici? Ili ruski špijuni? Neki gotovo sigurno jesu. Drugi su možda tek zupčanici u širem stroju koji obavljaju važne inženjerske zadatke za cyber-vojni kompleks svoje zemlje.
Sve do ruske invazije na Ukrajinu 2022., osoblje Vulkana otvoreno je putovalo zapadnom Europom, posjećujući konferencije o informatičkoj tehnologiji i kibernetičkoj sigurnosti, uključujući skup u Švedskoj, kako bi se družili s delegatima zapadnih sigurnosnih tvrtki, piše Guardian.
Bivši zaposlenici Vulkana sada žive u Njemačkoj, Irskoj i drugim zemljama EU. Neki rade za globalne tehnološke korporacije poput Amazon Web Services i Siemensa. Siemens je odbio komentirati pojedinačne zaposlenike, ali je rekao da takva pitanja shvaća "vrlo ozbiljno". Amazon je rekao da provodi "stroge kontrole" i da je zaštita podataka o korisnicima njegov "glavni prioritet".
Zviždač: 'Ostavio sam prošli život, živim kao duh'
Nejasno je predstavljaju li bivši inženjeri Vulkana sada na zapadu sigurnosni rizik i jesu li došli u centar pozornosti zapadnih protuobavještajnih agencija. Većina, čini se, ima rođake u Rusiji, što je ranjivost za koju se zna da ju je FSB koristio za pritisak na ruske stručnjake u inozemstvu da surađuju.
Postojali su i golemi rizici za anonimnog zviždača koji stoji iza dosjea Vulkan. Ruski režim poznat je po lovu na one koje smatra izdajicama. U kratkom razgovoru s njemačkim novinarom, osoba koja je objavila informacije rekla je da je svjesni kako je davanje osjetljivih informacija stranim medijima opasno. Ali poduzeo je mjere opreza koje su mu promijenile život. Ostavio je svoj prethodni život iza sebe i sada, kaže, živi "kao duh".