Издание The Guardian обнародовало данные расследования, проведенного 11 СМИ, в рамках которого разоблачили российскую компанию NTC Vulkan, работающую на российских военных и разведку.
Вот что о них известно.
Издание The Guardian обнародовало данные расследования, проведенного 11 СМИ, в рамках которого разоблачили российскую компанию NTC Vulkan, работающую на российских военных и разведку.
Вот что о них известно.
В Vulkan осуществляли хакерские операции, тренировали оперативников перед атаками на национальную инфраструктуру, распространяли дезинформацию и контролировали разделы интернета.
Vulkan связывают с хакерской группировкой Sandworm, которую еще называют «Песчаный червь кремля». Их считают подразделением ГРУ. Хакеры Sandworm запустили в 2015 году вирус NotPetya, а также совершали нападения на объекты энергетики Украины в 2022 году. Один из самых масштабных проектов Vulkan был реализован по благословению самого печального подразделения кибервоинов Кремля, известного как Sandworm.
Кроме того, в обнародованных из «Вулкана» файлах есть один, созданный сотрудником в новогоднюю ночь 2019 года. Он содержал слова: «APT Magma Bear». Речь идет о российских государственных хакерских группах, таких как Cozy Bear и Fancy Bear, и, похоже, указывает на собственную теневую деятельность Vulkan.
Среди инструментов, которые используют злоумышленники:
Данные о Vulkan, а именно файлы, датируемые 2016–2021 годами, анонимный информатор, противник войны, развязанной россией в Украине, обнародовал в феврале прошлого года, обратившись в немецкую газету Süddeutsche Zeitung. Он сообщил, что ГРУ и ФСБ «прячутся за» «Вулканом».
Позже этот человек поделился данными и дополнительной информацией с мюнхенским стартапом Paper Trail Media. Несколько месяцев журналисты 11 СМИ, включая Guardian, Washington Post и Le Monde, исследовали файлы в консорциуме во главе с Paper Trail Media и Der Spiegel.
Пять западных спецслужб подтвердили подлинность файлов Vulkan. Компания и Кремль не ответили на многочисленные запросы комментариев.
Исполнительный директор «Вулкана» Антон Марков основал компанию в 2010 году вместе с Александром Иржавским. Оба окончили военную академию Санкт-Петербурга и в прошлом служили в армии, дослужившись до капитана и майора соответственно.
Предприятие является частью военно-промышленного комплекса россии.
С 2011 года «Вулкан» получил специальные государственные лицензии на работу над секретными военными проектами и государственной тайной. Это технологическая компания среднего размера с более чем 120 сотрудниками, около 60 из которых являются разработчиками программного обеспечения. Неизвестно, сколько частных подрядчиков имеют доступ к «чувствительным» проектам в россии, но по некоторым оценкам их не больше десятка.
«Вулкан» сообщает, что специализируется на «информационной безопасности»; официально его клиентами являются крупные русские государственные компании. Среди них Сбербанк, крупнейший банк страны, национальная авиакомпания «Аэрофлот» и российские железные дороги.
Часть сотрудников являются выпускниками МГТУ имени Баумана, имеющего долгую историю кормления призывников в министерство обороны.
Рабочие процессы организованы по принципам строгой операционной тайны, при этом сотрудникам никогда не сообщают, над чем работают другие отделы. Кроме того, в компании существует корпоративная культура, больше похожая на технологического гиганта.
Файлы включают в себя электронные письма, внутренние документы, планы проектов, бюджеты и контракты. Внутри содержится информация с призывом понять масштабные усилия Кремля в киберсфере, когда он ведет жестокую войну против Украины.
Некоторые документы утечки содержат то, что выглядит как иллюстративные примеры потенциальных целей. Один содержит карту, на которой изображены точки по всей территории США. Другой содержит детали атомной электростанции в Швейцарии.
В одном документе показано, как инженеры рекомендуют россии расширить свои возможности с помощью хакерских инструментов, похищенных в 2016 году из Агентства национальной безопасности США и опубликованных в интернете.
Специальное подразделение в «главном центре специальных технологий» ГРУ Sandworm известно внутри под номером поля 74455. Этот код появляется в файлах Vulkan как «партия одобрения» в техническом документе. В нем описывается протокол обмена данными между, очевидно, уже существующей военной базой данных, содержащей информацию о недостатках программного и аппаратного обеспечения, и новой системой, которую Vulkan поручили создать: Scan-V.
Проект Скан был заказан в мае 2018 года Институтом инженерной физики, исследовательским учреждением в Московской области, тесно связанным с ГРУ. Все детали были засекречены. Неясно, был Sandworm предполагаемым пользователем системы, но в мае 2020 года команда из Vulkan посетила военный объект в Химках, том самом городе на окраине Москвы, где базируется хакерское подразделение, чтобы проверить систему Scan.
В утечке файлов нет информации о русском вредоносном коде или вредоносном программном обеспечении, которое используется для хакерских операций. Но аналитик Google сказал, что в 2012 году техническая фирма связала Vulkan с операцией, связанной с вредоносным программным обеспечением под названием MiniDuke. СВР, российская внешняя разведка, использовала MiniDuke в фишинговых кампаниях. Утечка показывает, что тайная часть СВР, военная часть 33949, наняла Вулкан для работы над несколькими проектами. Своего клиента компания называла санаторий и профилакторий.
В 2018 году команда сотрудников Vulkan встретилась в научно-исследовательском институте радиовещания в Ростове-на-Дону с представителями ФСБ. Они наняли субподрядчика от Vulkan, чтобы помочь в создании новой системы под названием Amezit, также связанной в файлах с российской армией.
Amezit направлен на захват и контроль интернета. Интернет-трафик, считающийся политически вредным, можно удалить до того, как он распространится.
Военные шпионы могут идентифицировать просматривающих веб-страницы людей, видеть, к чему они обращаются в интернете, и отслеживать информацию, которой делятся пользователи.
Файлы Vulkan содержат документы, связанные с операцией ФСБ по мониторингу использования социальных медиа в россии в гигантских масштабах, используя семантический анализ для выявления враждебного контента.
По словам источника, знакомого с работой Vulkan, компания разработала программку массового сбора для ФСБ под заглавием Fraction. Он прочесывает такие сайты как Facebook или Одноклассники (русский эквивалент), ища ключевые слова. Цель — выявить потенциальных оппозиционеров по данным.
Журналистам удалось отследить реальную деятельность, осуществляемую фейковыми учетными записями в социальных сетях, связанные с Vulkan, как часть подсистемы Amezit под кодовым названием PRR.
Эта подсистема Amezit позволяет российским военным проводить широкомасштабные тайные операции по дезинформации в социальных сетях и интернете путем создания аккаунтов, напоминающих реальных людей в интернете или аватаров. Аватары имеют имена и украденные личные фотографии, которые затем культивируются в течение месяцев, чтобы создать реалистичный цифровой след.
Файлы Vulkan показывают, как российские военные наняли частный подрядчик для создания инструментов для автоматизированной внутренней пропаганды, использующего петербургское Агентство интернет-исследований.
Эта подсистема Amezit позволяет российским военным проводить широкомасштабные тайные операции по дезинформации в социальных сетях и интернете путем создания аккаунтов, напоминающих реальных людей в интернете или аватаров. Аватары имеют имена и украденные личные фотографии, которые затем культивируются в течение месяцев, чтобы создать реалистичный цифровой след.
Другой разработанный «Вулканом» проект, связанный с Amezit, под кодовым названием «Кристалл-2В» это обучающая платформа для российских кибероператоров. Способный одновременно использовать до 30 слушателей, он, похоже, имитирует атаки на ряд важных целей национальной инфраструктуры: железнодорожные линии, электростанции, аэропорты, водные пути, порты и промышленные системы управления.
