The Guardian: Утечка документов разоблачила компанию Vulkan, которая ведет "войну" Кремля в интернете

Российская компания Vulkan работает на ФСБ и создала для Кремля систему для мониторинга и контроля внутрироссийского интернета и поиска оппозиционеров. Vulkan связана с вирусом NotPetya и вмешательством в выборы США. Журналисты несколько месяцев прорабатывали данные от информатора и пришли к выводу, что они правдивы.

Источник: совместное расследование журналистов 11 СМИ, опубликованное The Guardian.

Дословно: "Тысячи страниц секретных документов показывают, как программисты Vulkan работали на российские военные и разведывательные ведомства, поддерживая хакерские операции, обучая оперативников перед атаками на национальную инфраструктуру, распространяя дезинформацию и контролируя части интернета.

Работа компании связана с ФСБ, внутренним шпионским агентством, оперативными и разведывательными подразделениями вооруженных сил РФ (ГРУ и ГШ), а также внешней разведкой России.

В одном из документов инструмент кибератак Vulkan связывают с хакерской группой Sandworm, которая, по данным правительства США, дважды вызвала отключение электроэнергии в Украине, сорвала Олимпийские игры в Южной Корее и запустила вирус NotPetya.

Другая система, известная как "Амезит", представляет собой план наблюдения и контроля над интернетом в регионах, подконтрольных России, а также делает возможной дезинформацию через фальшивые профили в соцсетях.

Третья система, созданная компанией Vulkan, - "Кристалл-2V" - является учебной программой для кибероперативников по методам, необходимым для вывода из строя железнодорожной, воздушной и морской инфраструктуры".

Детали: Сообщается, что файлы Vulkan, которые датируются 2016-2021 годами, предоставил анонимный информатор, возмущенный войной России в Украине.

Через несколько дней после вторжения РФ в 2022 году информатор обратился к немецкой газете Süddeutsche Zeitung и заявил, что ГРУ и ФСБ "прячутся за Vulkan".

Позже источник поделился данными и дополнительной информацией с мюнхенским стартапом расследований Paper Trail Media.

В течение нескольких месяцев журналисты, работающие в 11 СМИ, включая Guardian, Washington Post и Le Monde, расследовали эти файлы в консорциуме под руководством Paper Trail Media и Der Spiegel.

Пять западных спецслужб подтвердили, что файлы Vulkan являются подлинными. Компания и Кремль не ответили на многочисленные запросы о комментариях.

Утечка содержит электронные письма, внутренние документы, планы проектов, бюджеты и контракты.

Пока неизвестно, использовались ли инструменты, созданные Vulkan, для реальных атак в Украине или где-либо еще, но российские хакеры неоднократно атаковали украинские компьютерные сети.

Аналитики считают, что РФ также участвует в постоянном конфликте с теми, кого она считает своим врагом - Западом, включая США, Британию, ЕС, Канаду, Австралию и Новую Зеландию.

Некоторые документы в утечке содержат, как представляется, иллюстративные примеры потенциальных целей. Один из них содержит карту, на которой обозначены точки по всей территории США. Другой содержит детали атомной электростанции в Швейцарии.

В одном из документов инженеры рекомендуют России расширить собственные возможности с помощью хакерских инструментов, похищенных в 2016 году из Агентства национальной безопасности США и размещенных в Интернете.

Исполнительный директор Vulkan Антон Марков. Он основал Vulkan в 2010 году вместе с Александром Иржавским. Оба являются выпускниками военной академии в Санкт-Петербурге и в прошлом служили в армии, дослужившись до званий капитана и майора соответственно.

Компания является частью военно-промышленного комплекса России.

С 2011 года "Вулкан" получил специальные государственные лицензии на работу над засекреченными военными проектами и государственной тайной.

Это технологическая компания среднего размера, в которой работает более 120 сотрудников, около 60 из которых - разработчики программного обеспечения.

Vulkan заявляет, что специализируется на "информационной безопасности"; официально ее клиентами являются крупные российские государственные компании. Среди них - Сбербанк, "Аэрофлот" и российские железные дороги.

Один из самых масштабных проектов Vulkan осуществлялся с благословения наиболее печально известного подразделения кибервойск Кремля, известного как "Песчаный червь" (Sandworm).

По данным американской прокуратуры и западных правительств, в течение последнего десятилетия Sandworm ответственны за политические манипуляции, киберсаботаж, вмешательство в выборы, слив электронной почты и утечку информации.

В 2015 году Sandworm выводили из строя энергосистему Украины. В следующем году приняли участие в срыве президентских выборов в США.

Двум ее оперативникам были предъявлены обвинения в распространении электронных писем, похищенных у демократов Хиллари Клинтон, с использованием фейкового лица Guccifer 2.0. Затем в 2017 году Sandworm похитил еще больше данных, пытаясь повлиять на исход президентских выборов во Франции, утверждают в США.

В том же году подразделение совершило самую масштабную кибератаку в истории. Оперативники использовали разработанное на заказ вредоносное программное обеспечение под названием NotPetya. Начавшись в Украине, NotPetya быстро распространился по всему миру.

Файлы Vulkan проливают свет на часть цифровой техники, которая может сыграть определенную роль в следующей атаке, развязанной Sandworm.

Специальное подразделение "Главного центра специальных технологий" ГРУ, Sandworm известен внутри организации под своим полевым номером 74455. Этот код появляется в файлах Vulkan как "одобряющая сторона" в техническом документе. Он описывает "протокол обмена данными" между, очевидно, уже действующей военной базой данных, содержащей разведывательную информацию о слабых местах в программном и аппаратном обеспечении, и новой системой, которую "Вулкан" должен был помочь построить: Scan-V.

Хакерские группы, такие как Sandworm, проникают в компьютерные системы, сначала ища слабые места. Scan-V поддерживает этот процесс, проводя автоматизированную разведку потенциальных целей по всему миру в поисках потенциально уязвимых серверов и сетевых устройств. Затем разведданные хранятся в хранилище данных, предоставляя хакерам автоматизированные средства для идентификации целей.

В 2018 году команда сотрудников Vulkan отправилась на юг для участия в официальном тестировании масштабной программы, позволяющей контролировать интернет, слежку и дезинформацию.

Встреча состоялась в связанном с ФСБ Научно-исследовательском институте радиовещания в Ростове-на-Дону. Он заключил субподряд с компанией Vulkan на создание новой системы под названием "Амезит", которая также была связана в файлах с российскими военными.

Одна часть "Амезита" ориентирована на внутренний рынок, что позволяет оперативникам перехватывать и контролировать интернет, если в российском регионе вспыхивают беспорядки или страна получает контроль над территорией другого государства-соперника.

Интернет-трафик, который считается политически вредным, может быть удален до того, как он успеет распространиться.

Внутренний документ на 387 страницах объясняет, как работает Amezit. Военным нужен физический доступ к оборудованию, такому как вышки мобильной связи, и к беспроводной связи.

Как только они контролируют передачу, трафик можно перехватывать. Военные шпионы могут идентифицировать людей, просматривающих веб-страницы, видеть, к чему они обращаются в Интернете, и отслеживать информацию, которой пользователи обмениваются.

Файлы Vulkan содержат документы, связанные с операцией ФСБ по мониторингу использования социальных сетей в России в гигантских масштабах с использованием семантического анализа для выявления "враждебного" контента.

По словам источника, знакомого с работой Vulkan, фирма разработала для ФСБ программу массового сбора данных под названием "Фракция". Она прочесывает соцсети, такие как Facebook или "Одноклассники", чтобы "выявить потенциальных оппозиционеров".

Сотрудники Vulkan регулярно посещали Центр информационной безопасности ФСБ в Москве, киберподразделение ведомства, чтобы проконсультироваться по поводу секретной программы.

Здание находится рядом со штаб-квартирой ФСБ на Лубянке и книжным магазином; утечка показывает, что шпионов этого подразделения в шутку прозвали "книголюбами".

Также "Амезит" позволяет российским военным проводить масштабные скрытые дезинформационные операции в соцсетях и в интернете с помощью создания учетных записей, которые напоминают реальных людей в сети, или аватаров. Аватары имеют имена и похищенные личные фотографии, которые затем месяцами обрабатываются для создания реалистичного цифрового следа.

Утечка содержит скриншоты фейковых аккаунтов в Твиттере и хэштегов, которые использовали российские военные с 2014 года до начала этого года.

Они распространяли дезинформацию, в частности теорию заговора против Хиллари Клинтон и отрицание того, что в результате российских бомбардировок Сирии погибли гражданские.

После вторжения в Украину один фейковый аккаунт в Twitter, связанный с Vulkan, написал: "Отличный лидер #Путин".

Другой проект, разработанный Vulkan и связанный с "Амезитом" под кодовым названием "Кристалл-2V" является тренировочной платформой для российских кибероперативников.

Он может позволить одновременное использование до 30 пользователей и имитирует атаки на ряд важных объектов национальной инфраструктуры: железнодорожные линии, электростанции, аэропорты, водные пути, порты и системы управления промышленностью.

До вторжения России в Украину в 2022 году сотрудники Vulkan открыто путешествовали по Западной Европе, посещая конференции по ИТ и кибербезопасности, в том числе встречу в Швеции, чтобы пообщаться с делегатами западных фирм, занимающихся вопросами безопасности.

Бывшие работники Vulkan сейчас живут в Германии, Ирландии и других странах ЕС. Некоторые из них работают в глобальных технологических корпорациях. Двое - в Amazon Web Services и Siemens.

В Siemens отказались комментировать отдельных сотрудников, но заявили, что относятся к таким вопросам "очень серьезно". Amazon заявила, что ввела "строгий контроль" и что защита данных клиентов является ее "приоритетом".

Один из бывших сотрудников, с которым связался журналист, выразил сожаление, что помог российской военной и внутренней разведке: "Сначала было непонятно, для чего будет использована моя работа. "Со временем я понял, что не могу продолжать, и что я не хочу поддерживать режим. Я боялся, что со мной что-то случится, или я окажусь в тюрьме".