От поне десетилетие световната общественост е наясно с деструктивното въздействие на дирижирани от Русия хакерски атаки и кампании за разпространение на дезинформация и фалшиви новини.
Отделни разследвания са разкривали например връзката между "тролската ферма" за фалшиви новини на Евгений Пригожин и Кремъл или пък между различни хакерски групи и разузнавателните служби.
Сега обаче ново мащабно журналистическо разследване хвърля нов поглед върху техническата част на подобни операции.
Става въпрос за работата на международен екип от 11 медии върху повече от 5000 страници поверителни корпоративни документи с информация за московската ИТ фирма "Вулкан", която изгражда инструменти за руските кибервойни срещу Запада. На повърхността компанията изглежда като съвсем нормално предприятие за консултантски услуги в сферата на киберсигурността.
Действителността обаче е много по-различна.
Досиетата "Вулкан" обхващат периода между 2016 до 2021 г. и са изпратени до немския вестник Süddeutsche Zeitung от анонимен информатор малко след нахлуването на руската армия в Украйна в края на миналия февруари.
"Хората трябва да знаят опасността от това", пише подателят на документите. "Заради събитията в Украйна реших да направя тази информация публично достояние. Компанията върши ужасни неща, а руското правителство е страхливо и грешно. Ядосан съм заради нахлуването в Украйна и ужасните неща, които се случват там. Надявам се, че можете да използвате тази информация, за да покажете какво се случва тайно от всички."
След това източникът споделя информацията и с екипа разследващи журналисти на Paper Trail Media, които от своя страна се свързват със свои колеги от 11 други световни медии, включително The Guardian, The Washington Post, Der Standard и Le Monde. В продължение на месеци всички те проверяват достоверността на документите, а пет западни разузнавателни агенции потвърждават направените заключения.
От своя страна всички опити за свързване с "Вулкан" или руското правителство за коментар - остават неуспешни.
Според документите компанията е основана през 2010 г. от Антон Марков и съдружника му Александър Иржавски. И двамата са завършили военна академия в Санкт Петербург и са служили в армията, като достигат до звания капитан и майор съответно.
От тогава насам компанията им става част от военно-индустриалния комплекс, който включва в себе си военна индустрия, армия, разузнаване, академични институции и частни фирми.
В случая "Вулкан" действа като частна фирма с договори с различни клиенти, но в същото време получава и лиценз за работа върху класифицирани военни проекти. Според оценките на разследващия екип в Русия има по-малко от 10 подобни частни IT фирми, изпълняващи поръчки за армията.
Newsletter: https://t.co/kVZelDauS8
— Catalin Cimpanu (@campuscodi) March 31, 2023
Podcast: https://t.co/9ThtWo56lG
-North Korean hackers behind supply chain attack on 3CX
-Lumen discloses two security breaches
-UAE users targeted with zero-days from Spanish vendor
-VulkanFiles leak exposes Russian military hacking tools pic.twitter.com/ouheptpr3Q
Една от тях е свързана с програмата Scan-V. По същество тя представлява разузнавателно средство за хакери, което претърсва интернет и намира уязвими и подходящи за атака места.
Тук документите сочат към връзка със "Звено 74455" на руската служба за военно разузнаване, което е известно и като хакерската група Sandworm.
Смята се, че именно тя е отговорна за някои от най-мащабните атаки от последните години, включително срещу президентските избори във Франция от 2018 г., зимните Олимпийски игри в Южна Корея, както и глобалното разпространение на разрушителния вирус NotPetya, който се смята, че е причинил финансови щети за около 10 милиарда долара.
Няма данни досега Scan-V да е използвана в активни хакерски кампании.
Друга програма е Amezit.
Подробен документ от 387 страници описва програмата като средство за следене и контролиране на интернет комуникациите в определен регион. Тя дава изключително широки възможности за шпиониране на активност в социални мрежи, следене на трафик и информации, които потребители споделят и разпространяват. Така лесно се разкриват и заглушават потенциални опозиционни фигури.
As the Mandiant #VulkanFiles blog highlights, information confrontation encompasses a spectrum of strategic objectives and integrates a range of cyber capabilities. https://t.co/R36jZ130vIhttps://t.co/k7tzbiF6Vq pic.twitter.com/PTkGJOPjqY
— Jamie Collier (@TheCollierJam) March 31, 2023
Освен това Amezit е замислена и като средство за разпространяване на пропаганда или дезинформация чрез фалшиви профили в социални мрежи. Идеята е тези акаунти да се култивират по автоматизиран начин в продължение на месеци, така че да приличат на истински хора с реални имена, снимки и активност.
В действителност обаче зад тях стоят агенти, чиято цел е да разпространяват конспиративни теории и политически постове в точно определена линия.
Основната следа за тази програма води към институт в Ростов на Дон, който е пряко свързан с Федералната служба за сигурност (ФСБ) - прекият наследник на съветското КГБ. Както и със Scan-V, не е ясно дали Amezit в крайна сметка е достигнала оперативна функционалност и в момента се прилага на практика.
Друга програма на "Вулкан" е проектът с работно име Crystal-2V. Той представлява тренировъчна платформа за обучение на руски кибероператори.
Може да се използва по едно и също време от 30 души и дава възможност за симулации на атаки срещу важни инфраструктурни цели - железопътни линии, електроцентрали, летища, пристанища и промишлени системи за контрол.
