Анонімне джерело злило тисячі сторінок конфіденційних корпоративних документів про співпрацю російських спецслужб із московським оборонним підрядником. Про це у спільному розслідуванні пише The Washington Post та кілька інших видавців, які отримали документи. Компанія «Вулкан» на замовлення проводила кібератаки, втручалася в роботу критичної інфраструктури в Європі та США та поширювала дезінформацію.
Анонім надав документи НТЦ «Вулкан» німецькому журналісту та висловив обурення нападом Росії на Україну. Джерело спілкувалося з репортером через зашифрований месенджер та відмовилося назвати себе з міркувань безпеки.
«Я злий через вторгнення в Україну і ті жахливі речі, які там відбуваються», – написав чоловік. – Сподіваюся, ви зможете використати цю інформацію, щоб показати, що відбувається за зачиненими дверима… Компанія робить погані речі, а російський уряд є боягузливим і неправим». Про це анонім заявив невдовзі після вторгнення в Україну. Потім репортер поділився документами з консорціумом новинних організацій, зокрема The Washington Post, командою журналістів-розслідувачів Paper Trail Media та німецьким Der Spiegel.
Читайте також: Закритий штучний інтелект. Чому OpenAI відмовляється від відкритого підходу до ChatGPT
Понад 5000 сторінок документів датовані між 2016 і 2021 роками. Вони містять внутрішню електронну пошту компанії, фінансові записи та контракти, які демонструють як амбіції авторів російських кібероперацій, так і масштаб роботи, яку Москва передала зовнішньому підряднику.
У документах детально описується набір комп’ютерних програм і баз даних, з якими російські спецслужби та хакерські групи можуть знаходити вразливі місця та координувати атаки. «Вулкан» підтримував операції з дезінформації в соціальних мережах, проводив тренінги для стажерів із дистанційного підриву реальних цілей, таких як морські, повітряні та залізничні системи управління.
Також документи включають посібники, технічні характеристики та інші деталі програмного забезпечення, розробленого «Вулкан» для російського військових та розвідувальних відомств. Серед іншого, у паперах описані програми для створення фейкових сторінок у соцмережах. Один документ із кешу описує, як використовувати банки SIM-карт для обходу перевірки нових облікових записів у Facebook, Twitter та інших соцмережах.
Журналісти також знайшли докази використання купи облікових записів у Росії та за її межами для поширення наративів державної пропаганди, включаючи заперечення причетності росіян до загибелі мирних жителів у Сирії.
Читайте також: Як ведуться сучасні кібервійни. Попередній аналіз
«Кілька макетів користувальницького інтерфейсу для проєкту, відомого як Amezit, схоже, зображують приклади можливих цілей хакерів, включаючи Міністерство закордонних справ Швейцарії та атомну електростанцію. Інший документ показує карту Сполучених Штатів з колами на містах, які представляють кластери інтернет-серверів», – йдеться у спільному розслідуванні.
Один із макетів у проєктному документі 2016 року відображає об’єкт на карті та IP-адреси, доменні імена та операційні системи, якими в ньому користуються. Йдеться про будівлю швейцарського МЗС у Берні. Інший об’єкт, виділений на карті, – атомна електростанція Muhleberg на захід від столиці Швейцарії.
Офіційні особи п’яти західних спецслужб і кількох незалежних компаній з кібербезпеки, після перегляду витягів на запит The Washington Post і кількох партнерських медіа, заявили, що документи є автентичними. Експерти не знайшли остаточних доказів того, що Росія розгорнула всі системи або використала їх у конкретних кібератаках. Утім, документи описують тестування та оплату роботи, виконану «Вулканом» для російських служб безпеки та кількох пов’язаних з ними науково-дослідних інститутів.
Зокрема, компанія співпрацювала з урядовою хакерською групою Sandworm. Офіційні особи США звинувачують Sandworm у відключеннях електроенергії в Україні, зриві церемонії відкриття зимових Олімпійських ігор 2018 року та запуску програмного забезпечення NotPetya.
Читайте також: ГРУ РФ курувало проєкт Bonanza Media, що поширював фейки про катастрофу MH17 – розслідування
Троє анонімних колишніх працівників «Вулкану» підтвердили деякі подробиці про компанію. Також отримані фінансові записи компанії збігаються з раніше відомими документами про кілька операцій на мільйони доларів.
Згадки про «Вулкан» можна знайти у VirusTotal – службі із базою даних шкідливого програмного забезпечення. WP пише, що «Вулкан» заснований 2010 року та має близько 135 працівників. На сайті компанії зазначено, що її головний офіс розташовано на північному сході Москви.
Деякі співробітники Vulkan пізніше працювали у великих західних компаніях на кшталт Amazon і Siemens. Обидві компанії у заявах підтвердили це, але зазначили, що внутрішній корпоративний контроль захищає від несанкціонованого доступу до конфіденційних даних.
Інші великі компанії, включаючи IBM, Boeing і Dell, колись співпрацювали з «Вулканом». Вони не заперечують це, але заявляють, що зараз вони не мають жодних ділових відносин з компанією.