Tūkstančiai puslapių slaptų dokumentų nurodė, kaip „Vulkan“ kompanijos inžinieriai dirbo Rusijos karinėms ir žvalgybos agentūroms, siekdami įgyvendinti įsilaužimo operacijas, rengdami operatyvininkus atakoms prieš nacionalinę infrastruktūrą ir skleisdami dezinformaciją.
„Vulkan“ failus, kurie datuojami 2016–2021 m., nutekino anoniminis informatorius, kurį, pasak jo paties, supykdė Rusijos karas Ukrainoje. Praėjus kelioms dienoms po invazijos praėjusių metų vasarį šaltinis kreipėsi į Vokietijos laikraštį „Süddeutsche Zeitung“ ir pareiškė, kad Rusijos armijos karinės žvalgybos tarnyba (GRU) ir Rusijos federalinė saugumo tarnyba (FSB) „slepiasi“ už „Vulkan“.
„Žmonės turėtų žinoti, kokie pavojai iš to kyla, – žiniasklaidos priemonei sakė informatorius. – Dėl įvykių Ukrainoje nusprendžiau paviešinti šią informaciją. Bendrovė daro blogus dalykus, o Rusijos vyriausybė yra baili ir neteisinga. Esu piktas dėl invazijos į Ukrainą ir baisių dalykų, kurie ten vyksta. Tikiuosi, kad galėsite pasinaudoti šia informacija, kad parodytumėte, kas vyksta už uždarų durų“.
Vėliau šaltinis pasidalijo duomenimis ir su Miunchene įsikūrusia tyrimų bendrove „Paper Trail Media“. Keletą mėnesių „Paper Trail Media“ ir „Der Spiegel“ vadovaujamame konsorciume bylas tyrė 11 žiniasklaidos priemonių, įskaitant „The Guardian“, „Washington Post“ ir „Le Monde“.
Pasak „The Guardian“, penkios Vakarų žvalgybos agentūros patvirtino, kad „Vulkan“ failai atrodo autentiški. Bendrovė ir Kremlius į daugkartinius prašymus pakomentuoti neatsakė.
Sunkiai pastebimas „Vulkan“ biuras yra Maskvos šiaurės rytų priemiestyje. Ant iškabos parašyta: „Verslo centras“. Netoliese – modernūs gyvenamieji kvartalai ir senosios kapinės. Iš pažiūros įmonė atrodo kaip eilinė kibernetinio saugumo konsultacijų bendrovė. Tačiau nutekėjus slaptiems šios bendrovės failams paaiškėjo, kad jos veikla stiprina Vladimiro Putino kibernetinio karo pajėgumus.
Pasak „The Guardian“, bendrovės veikla susijusi su Federaline saugumo tarnyba (FSB), vidaus žvalgybos agentūra, ginkluotųjų pajėgų operatyviniais ir žvalgybos padaliniais, vadinamais GOU ir GRU, ir Rusijos užsienio žvalgybos organizacija SVR.
Viename dokumente „Vulkan“ kibernetinės atakos programa siejama su liūdnai pagarsėjusiais įsilaužėliais „Sandworm“, kuri, JAV vyriausybės teigimu, du kartus sukėlė elektros energijos tiekimo sutrikimus Ukrainoje, sutrikdė olimpines žaidynes Pietų Korėjoje ir paleido „NotPetya“ – ekonomiškai destruktyviausią kenkėjišką programinę įrangą istorijoje.
Kita sistema, vadinama „Amezit“, yra interneto stebėjimo ir kontrolės Rusijos valdomuose regionuose projektas, be to, ji leidžia vykdyti dezinformaciją per suklastotus socialinių tinklų profilius. Trečioji „Vulkan“ sukurta sistema – „Crystal-2V“ – yra kibernetinių operacijų vykdytojų mokymo programa, skirta metodams, reikalingiems geležinkelių, oro ir jūrų infrastruktūrai sugriauti.
Nutekintuose dokumentuose yra elektroninių laiškų, vidaus dokumentų, projektų planų, biudžetų ir sutarčių. Juose galima susipažinti su Kremliaus plataus masto veiksmais kibernetinėje erdvėje. Nežinoma, ar „Vulkan“ sukurtos priemonės buvo naudojamos vykdant realias atakas Ukrainoje ar dar ir kitur.
Kai kuriuose nutekintuose dokumentuose pateikiami, atrodo, iliustratyvūs galimų taikinių pavyzdžiai. Viename iš jų pateikiamas žemėlapis, kuriame pažymėti taškai visoje JAV teritorijoje. Kitame – duomenys apie Šveicarijoje esančią atominę elektrinę.
Viename dokumente matyti, kaip inžinieriai rekomenduoja Rusijai papildyti savo pajėgumus panaudojant įsilaužimo įrankius, 2016 m. pavogtus iš JAV Nacionalinės saugumo agentūros ir kurie buvo paskelbti internete.
„Šie dokumentai rodo, kad Rusija atakas prieš civilinę ypatingos svarbos infrastruktūrą ir manipuliavimą socialiniais tinklais laiko viena ir ta pačia misija, kuri iš esmės yra puolimas nukreiptas prieš priešo valią kovoti“, – teigė kibernetinio saugumo bendrovės „Mandiant“, kuri konsorciumo prašymu peržiūrėjo atrinktą medžiagą, žvalgybos analizės viceprezidentas John'as Hultquist.
Kas yra „Vulkan“?
Bendrovės „Vulkan“ vadovas yra Antonas Markovas, įkūręs įmonę 2010 m. kartu su Aleksandru Iržavskiu. Abu jie yra baigę Sankt Peterburgo karo akademiją ir praeityje tarnavo kariuomenėje, atitinkamai įgydami kapitono ir majoro laipsnius. „Jie turėjo gerų ryšių šia kryptimi“, – žiniasklaidos priemonėms sakė vienas buvęs darbuotojas.
„Vulkan“ pradėjo veikti tuo metu, kai Rusija sparčiai plėtė savo kibernetinius pajėgumus. Tradiciškai kibernetiniams reikalams vadovavo FSB. 2012 m. V. Putinas gynybos ministru paskyrė Sergejų Šoigu. S. Šoigu, kuris vadovauja Rusijos karui Ukrainoje, norėjo turėti savo kibernetinius dalinius, kurie būtų tiesiogiai jam pavaldūs.
Nuo 2011 m. „Vulkan“ gavo specialias vyriausybės licencijas dirbti su įslaptintais kariniais projektais ir valstybės paslaptimis. Nėra žinoma, kiek privačių rangovų Rusijoje gauna prieigą prie tokių slaptų projektų, tačiau, kai kuriais vertinimais, jų yra ne daugiau kaip keliolika.
„Vulkan“ sako, kad specializuojasi „informacijos saugumo“ srityje – oficialiai jos klientai yra didelės Rusijos valstybinės bendrovės. Tarp jų – didžiausias šalies bankas „Sberbank“, nacionalinė oro linijų bendrovė „Aeroflot“ ir Rusijos geležinkeliai.
„Darbas buvo įdomus. Naudojome naujausias technologijas, – žurnalistams sakė vienas iš buvusių darbuotojų, kuris galiausiai išėjo iš darbo, kai nusivylė juo. – Žmonės buvo tikrai protingi. Ir pinigai buvo geri, gerokai didesni nei įprasta“.
Be techninių žinių, už tuos dosnius atlyginimus buvo galima tikėtis konfidencialumo. Kai kurie darbuotojai yra baigę Maskvos Baumano valstybinį technikos universitetą, kuris nuo seno į gynybos ministeriją siunčia naujus darbuotojus. Darbo procesai organizuojami laikantis griežtų veiklos slaptumo principų, darbuotojams niekada nesakoma, ką dirba kiti skyriai.
Vienas iš „Vulkan“ projektų buvo vykdomas su Kremliaus liūdnai pagarsėjusio kibernetinio karinio dalinio, vadinamo „Sandworm“ (liet. smėlio kirminas), palaiminimu. JAV prokurorų ir Vakarų vyriausybių duomenimis, per pastarąjį dešimtmetį „Sandworm“ buvo atsakingas už stulbinamo masto įsilaužimo operacijas. Jis atliko daugybę piktavališkų veiksmų: politines manipuliacijas, kibernetinį sabotažą, kišimąsi į rinkimus, elektroninių laiškų išmetimą ir nutekinimą.
2015 m. „Sandworm“ išjungė Ukrainos elektros energijos tinklą. Kitais metais ji veikė kitoje Rusijos operacijoje, kuria siekta sužlugdyti JAV prezidento rinkimus. Dviem jos operatyvininkams buvo pateikti kaltinimai dėl elektroninių laiškų, pavogtų iš Hillary Clinton demokratų, platinimo naudojant netikrą personažą Guccifer 2.0. 2017 m. JAV teigimu, „Sandworm“ pavogė dar daugiau duomenų, siekdama paveikti Prancūzijos prezidento rinkimų balsavimo rezultatus.
Tais pačiais metais padalinys surengė didžiausią istorijoje kibernetinę ataką. Operatyvininkai naudojo specialiai sukurtą kenkėjišką programinę įrangą „NotPetya“. Prasidėjusi Ukrainoje, „NotPetya“ greitai išplito po visą pasaulį. Dėl jos neveikė laivybos įmonės, ligoninės, pašto sistemos ir vaistų gamintojai – skaitmeninė ataka iš virtualaus pasaulio persikėlė į fizinį.
Pasak žiniasklaidos priemonių, išplatinusių informaciją apie „Vulkan“, įmonės failai padeda atskleisti skaitmeninės technikos dalį, kuri gali būti svarbi kitai „Sandworm“ vykdomai atakai.
GRU „pagrindiniam specialiųjų technologijų centrui“ priklausantis padalinys „Sandworm“, pasak tyrimo, pavedė „Vulkan“ sukurti naują sistemą Scan-V. Tokios įsilaužėlių grupės kaip „Sandworm“ skverbiasi į kompiuterių sistemas pirmiausia ieškodamos silpnų vietų.
Scan-V padeda šiam procesui, vykdydama automatinę potencialių taikinių žvalgybą visame pasaulyje ir ieškodama pažeidžiamų serverių ir tinklo įrenginių. Tada žvalgybinė informacija saugoma duomenų saugykloje, todėl įsilaužėliams suteikiama automatizuota priemonė taikiniams nustatyti.
Kitos kibernetinio saugumo bendrovės „Mandiant“ ekspertė Gabby Roncone pateikė analogiją su senų karinių filmų scenomis, kuriose žmonės žemėlapyje išdėsto savo artileriją ir karius. „Jie nori suprasti, kur yra priešo tankai ir kur jiems reikia smogti pirmiesiems, kad pralaužtų priešo linijas“, – sakė ji.
Interneto kontrolė ir dezinformacija
2018 m. „Vulkan“ darbuotojų komanda išvyko į pietus, kad dalyvautų oficialiuose plataus masto programos, leidžiančios kontroliuoti, stebėti ir dezinformuoti internetą, bandymuose. Susitikimas vyko su FSB susijusiame Rostovo prie Dono radijo tyrimų institute. Jis sudarė subrangos sutartį su „Vulkan“, kad ši padėtų kurti naująją sistemą, pavadintą „Amezit“, kuri bylose taip pat buvo siejama su Rusijos kariuomene.
„Prie „Amezit“ dirbo daug žmonių. Buvo investuoti pinigai ir laikas, – prisiminė buvęs darbuotojas. – Dalyvavo ir kitos bendrovės, galbūt todėl, kad projektas buvo toks didelis ir svarbus“.
Dokumentai rodo, kad „Vulkan“ inžinieriai „Amezit“ dalis vis dar tobulino iki pat 2021 m., o 2022 m. buvo planuojama toliau ją plėtoti. Viena „Amezit“ dalis yra skirta šalies viduje ir leidžia operatyvininkams užgrobti internetą ir perimti jo kontrolę, jei Rusijos regione kiltų neramumai. Politiškai žalingu laikomą interneto srautą galima pašalinti, kol jis dar nespėjo išplisti.
Nuo praėjusių metų invazijos Rusija suėmė prieš karą Ukrainoje protestuojančius žmones ir priėmė baudžiamąjį įstatymą, kad užkirstų kelią viešajai kritikai to, ką V. Putinas vadina „specialia karine operacija“. „Vulkan“ failuose yra dokumentų, susijusių su FSB operacija, kurios tikslas – milžinišku mastu stebėti socialinių tinklų naudojimą Rusijoje.
Pasak šaltinio, susipažinusio su „Vulkan“ darbu, įmonė sukūrė FSB skirtą masinio duomenų rinkimo programą „Frakcija“. Ji šukuoja tokias svetaines kaip „Facebook“ ar „Odnoklassniki“ (rusiškas atitikmuo), ieškodama raktinių žodžių. Taip siekiama iš atvirų šaltinių duomenų nustatyti potencialius opozicijos veikėjus.
„Vulkan“ darbuotojai reguliariai lankėsi FSB informacijos saugumo centre Maskvoje, agentūros kibernetiniame padalinyje, kad konsultuotųsi dėl slaptos programos.
Šių slaptų programų kūrimas byloja apie Rusijos vadovybės paranoją. Ji bijo gatvės protestų ir revoliucijų, kokių būta Ukrainoje, Gruzijoje, Kirgizijoje ir Kazachstane. Maskva internetą laiko svarbiausiu ginklu tvarkai palaikyti. Klausimas, ar „Amezit“ sistemos buvo naudojamos okupuotoje Ukrainoje.
2014 m. Rusija užgrobė rytinius Donecko ir Luhansko miestus. Nuo praėjusių metų ji užėmė dar daugiau teritorijų ir nutraukė Ukrainos interneto ir mobiliojo ryšio paslaugų teikimą savo kontroliuojamose teritorijose. Ukrainos piliečiai buvo priversti jungtis per Kryme įsikūrusius telekomunikacijų paslaugų teikėjus, o SIM kortelės buvo išduodamos FSB valdomose „filtravimo“ stovyklose.
Automatizuotos propagandos priemonės
Jau buvo žinoma, kad Kremlius naudojosi savo dezinformacijos fabriku – Sankt Peterburge įsikūrusia Interneto tyrimų agentūra, kuri buvo įtraukta į JAV sankcijų sąrašą. Iš „Vulkan“ bylų matyti, kaip Rusijos kariuomenė pasamdė privatų rangovą, kad šis sukurtų panašias automatinės vidaus propagandos priemones.
Ši „Amezit“ posistemė leidžia Rusijos kariuomenei vykdyti plataus masto slaptas dezinformacijos operacijas socialiniuose tinkluose ir visame internete, sukuriant paskyras, panašias į realius žmones internete, arba kitaip – avatarus. Avatarai turi vardus ir pavogtas asmenines nuotraukas, kurios vėliau kelis mėnesius puoselėjamos, siekiant sukurti tikroviškumo įspūdį.
Nutekintame dokumente pateikiamos netikrų „Twitter“ paskyrų ir „hashtagų“, kuriuos Rusijos kariuomenė naudojo nuo 2014 m. iki šių metų pradžios, ekrano kopijos. Jose atsiskleidžia dezinformacija, įskaitant sąmokslo teoriją apie Hillary Clinton ir neigimą, kad dėl Rusijos vykdyto Sirijos bombardavimo žuvo civiliai gyventojai.
Kitas „Vulkan“ sukurtas projektas, susijęs su „Amezit“, kelia kur kas didesnę grėsmę. Kodiniu pavadinimu „Crystal-2V“ jis yra Rusijos kibernetinių operacijų vykdytojų mokymo platforma. Ją vienu metu gali naudoti iki 30 mokinių, ji skirta imituoti atakas prieš įvairius svarbius nacionalinės infrastruktūros objektus: geležinkelio linijas, elektros stotis, oro uostus, vandens kelius, uostus ir pramonės valdymo sistemas.
Pavojus saugumui
Iki Rusijos invazijos į Ukrainą 2022 m. „Vulkan“ darbuotojai keliavo į Vakarų Europą, lankėsi IT ir kibernetinio saugumo konferencijose ir bendravo su Vakarų saugumo įmonių delegatais.
Buvę „Vulkan“ absolventai dabar gyvena Vokietijoje, Airijoje ir kitose ES šalyse. Kai kurie dirba pasaulinėse technologijų korporacijose. Du iš jų dirba bendrovėse „Amazon Web Services“ ir „Siemens“. Siemens“ atsisakė komentuoti atskirus darbuotojus, tačiau teigė, kad į tokius klausimus žiūri „labai rimtai“. Bendrovė „Amazon“ teigė, kad įgyvendino „griežtą kontrolę“ ir kad klientų duomenų apsauga yra jos „svarbiausias prioritetas“.
Neaišku, ar buvę „Vulkan“ inžinieriai, dabar dirbantys Vakaruose, kelia grėsmę saugumui ir ar jie pateko į Vakarų kontržvalgybos tarnybų akiratį. Vienas buvęs darbuotojas, su kuriuo susisiekė prie tyrimo dirbę žurnalistai, išreiškė apgailestavimą, kad padėjo Rusijos karinei ir vidaus šnipinėjimo agentūrai.
„Iš pradžių nebuvo aišku, kam bus panaudotas mano darbas, – sakė jie. – Laikui bėgant supratau, kad negaliu tęsti ir kad nenoriu remti režimo. Bijojau, kad man kas nors nutiks arba atsidursiu kalėjime“.
