Журналисты из 11 изданий и 8 стран, благодаря анониму-информатору, получили доступ к архиву документов российской IT компании «Вулкан» (Vulkan), которая занимается разработкой программного обеспечения в области безопасности, и которую задействовала российская разведка – в частности, ГРУ и ФСБ – для проведения сложных киберопераций против Украины, США и стран Европы.
Информатор, имя которого неизвестно, первоначально передал архив документов компании «Вулкан» репортеру немецкой газеты Süddeutsche Zeitung, объяснив свой мотив несогласием с вторжением России в Украину.
В этом архиве – более 5 тысяч страниц документов «Вулкана» за период с 2016 по 2021 год.
Эти документы больше года подробно изучались журналистами изданий Paper Trail Media и Spiegel в качестве основных расследователей, а также журналистами Washington Post, Guardian, Le Monde, Spiegel, iStories, Paper Trail Media и Süddeutsche Zeitung, ZDF. Российское издание «Важные истории» также приводит свое расследование.
Основные выводы этого расследования, сделанные газетой The Washington Post, таковы:
1. СВР, ФСБ и Минобороны для расширения кибератак используют новые технологии и платформы. Российские «кибервойска» – это не разрозненная группа хакеров, запускающих программы-вымогатели ради быстрого заработка. Это часть мощных усилий, спонсируемых российским государством, с задействованием всей мощи российских спецслужб и частных российских компаний для выявления критически важных целей и уязвимых мест противника.
Документы из архива «Вулкана» подробно описывают программное обеспечение, обладающее широкими возможностями по созданию и координации хакерских атак в режиме реального времени.
Два основных проекта компании «Вулкан» – под названием «Амезит» и «Скан» – были созданы для проведения автоматизированных кампаний по дезинформации в социальных сетях и определения целей, уязвимых для взлома.
Третья программа, «Кристалл-2», предлагает обучение, связанное с вредоносными, реальными атаками на критически важную инфраструктуру, включая воздушный, морской и железнодорожный транспорт.
В документах проекта «Амезит» подробно описывается процесс автоматизации огромного количества фальшивых аккаунтов в социальных сетях для кампаний по дезинформации. В одном из документов объясняется, как использовать банки SIM-карт мобильных телефонов, чтобы обойти проверку подлинности новых аккаунтов в Facebook, Twitter и других социальных сетях.
Репортеры Le Monde, Spiegel и Paper Trail Media, проверяя аккаунты в Твиттере, о которых идет речь в файлах «Вулкана», нашли доказательства того, как разработки «Вулкана» использовались россиянами в многочисленных кампаниях по дезинформации в нескольких странах. В частности, в 2016 году в Твиттере, когда российские спецслужбы работали над увеличением популярности кандидата в президенты Дональда Трампа и над подрывом доверия к Хиллари Клинтон.
Журналисты также обнаружили доказательства того, как программное обеспечение «Вулкана» использовалось для создания поддельных аккаунтов в социальных сетях внутри и за пределами России, чтобы продвигать нарративы в соответствии с официальной государственной российской пропагандой.
2. «Слитые» документы «Вулкана» показывают, что кампании по дезинформации могут быть поставлены на автопилот, по крайней мере, частично. По документам видно, что автоматизированные системы позволяют операторам создавать поддельные аккаунты в Facebook, Twitter, YouTube и на других платформах, а также использовать оборудование под названием «sim-банк» для массового ответа на проверочные текстовые сообщения.
Программное обеспечение «Вулкана» позволяет собирать фотографии и другую информацию для создания фальшивых аккаунтов и реалистично хронометрировать свою деятельность в Интернете. После создания поддельных аккаунтов их можно использовать для размещения информации, добавления друзей, отправки прямых сообщений, загрузки фотографий, видео и для того, чтобы ставить лайки.
3. Программное обеспечение компании «Вулкан» прочесывает интернет-сети в поисках целей и точек вторжения. Проекты позволяют клиентам, а именно – оперативникам российской военной разведки – выявлять потенциальные цели, и выбрав – получать информацию об их компьютерных сетях, адресах электронной почты и программном обеспечении, которое может быть использовано для компроментации систем.
Карты и другие иллюстрации в документах «Вулкана» четко указывают, что часть этих потенциальных целей находятся в Европе и США. В одном из документов была карта США, как пишет Washington Post, с «нарисованными кругами в местах сосредоточением интернет-сервисов».
На другой карте в архиве «Вулкана» изображена атомная электростанция Мюлеберг в Швейцарии, недалеко от Берна, а также МИД Швейцарии. Washington Post отмечает, что пока неясно, были ли это реальные цели или просто гипотетические, используемые для тренировки хакеров.
4. По мнению расследователей Washington Post, одним из клиентов «Вулкана», похоже, была самая известная хакерская группа России, которую западные аналитики по кибербезопасности называют Sandworm. Ключевые доказательства, указывающие на это, включают документ, где один из сотрудников военного подразделения Sandworm, под кодовым названием 74455, утверждает протокол передачи данных для одной из программных платформ, которые «Вулкан» создал в 2019 году.
Американские и западные официальные лица приписывают Sandworm многочисленные успешные кибератаки, включая срыв церемонии открытия зимних Олимпийских игр 2018 года и выпуск в 2017 году вредоносной программы NotPetya, изначально нацеленной на Украину, но которая, в итоге, нарушила судоходство и другую корпоративную деятельность по всему миру. Ущерб от этого составил более 10 миллиардов долларов. Эксперты считают, что хакеры Sandworm стоят за двумя отключениями электроэнергии в Украине. Sandworm по-прежнему продолжает кибератаки, поддерживающие российское вторжение в страну.
5. Хакерство может выходить за пределы цифрового мира: в документе учебной программы «Вулкана» под названием «Кристалл-2» прямо говорится о возможности атак на реальную инфраструктуру, включая системы управления воздушными, морскими и железнодорожными перевозками.
Эксперты по кибербезопасности, изучившие эти документы, разделились во мнении, описывают ли эти документы наступательные или оборонительные методы, призванные помочь защитить российскую инфраструктуру от внешних атак. Но, как минимум, программное обеспечение «Вулкана», по-видимому, играет определенную роль в обучении тому, как с помощью кибератак выводить из строя реальные объекты.
6. Washington Post пишет, что несмотря на то, что у журналистов нет возможности проверить личность анонима-информатора, чье имя остается неизвестным, тем не менее документы, которые он «слил», кажутся реальными тем аналитикам разведки США и экспертам по кибербезопасности, которые ознакомились с архивом «Вулкана».
Среди массы этих документов – руководства, технические характеристики, электронные письма, финансовые отчеты и детали дизайна программного обеспечения, включая макеты и другие иллюстрации.
Washington Post – о связях «Вулкана» с западными корпорациями
Компания «Вулкан» была основана в 2010 году и насчитывает около 135 сотрудников, согласно данным российских сайтов деловой информации. На сайте компании указано, что ее главный офис находится на северо-востоке Москвы. Рекламный ролик на сайте «Вулкана», представляет компанию как технологический стартап, «решающий корпоративные проблемы». В конце ролика говорится, что цель «Вулкана», – «сделать мир лучше».
Некоторые бывшие сотрудники «Вулкана» впоследствии работали в крупных западных компаниях, включая Amazon и Siemens. Обе компании не оспаривают этот факт, но при этом уточнили, что «их внутренний корпоративный контроль защищает от несанкционированного доступа к конфиденциальным данным».
В архиве «Вулкана» есть документы, где говорится об использовании американских технологий и оборудования при создании систем для российских спецслужб. В проектной документации неоднократно упоминаются процессоры Intel и роутеры Cisco, которые должны были использоваться, в том числе, для конфигурации систем и программного обеспечения для российских военных и разведывательных подразделений.
Журналисты Washington Post нашли также на сайте «Вулкана» информацию о сотрудничестве с американскими компаниями, включая IBM, Boeing и Dell. Представители этих компаний не оспаривают факт работы с «Вулканом», но заявили, что в настоящее время не имеют никаких деловых отношений с этой компанией.