Rijedak uvid u Putinove tajne taktike sajber ratovanja

Vulkan fajlovi: Procurjela dokumenta na više od 5000 stranica pokazuju kako su ruske obavještajne agencije u saradnji sa firmom iz Moskve jačale sposobnost da izvode sajber napade, šire dezinformacije i nadziru internet. Razvoj ovih tajnih programa govori o paranoji u srcu ruskog rukovodstva

22321 pregleda 6 komentar(a)
Jača kapacitete za sajber ratovanje: Vladimir Putin, Foto: REUTERS
Jača kapacitete za sajber ratovanje: Vladimir Putin, Foto: REUTERS

Neugledna kancelarija nalazi se u predgrađu u sjeveroistočnom dijelu Moskve. Na tabli piše: Poslovni centar. U blizini se nalaze moderni stambeni blokovi i staro groblje sa bršljanom obraslim ratnim spomenicima. U toj oblasti je nekada vježbala vojska Petra Velikog.

Unutar šestospratne zgrade, jedna nova generacija pomaže u ruskim vojnim operacijama. Njeno oružje je naprednije od onoga iz vremena Petra Velikog: to nijesu koplja i halebarde, već sredstva za hakovanje i širenje dezinformacija.

Softverski inženjeri koji stoje iza ovih sistema su zaposleni u firmi NTC Vulkan. Na prvi pogled, izgleda kao obična konsultantska firma za sajber bezbjednost. Međutim, procurjela tajna dokumenta iz kompanije razotkrila su njen rad na jačanju kapaciteta Vladimira Putina za sajber ratovanje.

Hiljade stranica tajnih dokumenata otkrivaju kako su inžinjeri iz Vulkana radili za ruske vojne i obavještajne agencije podržavajući hakerske operacije, obučavajući operativce prije napada na državnu infrastrukturu, šireći dezinformacija i kontrolišući određene djelove interneta.

Rad kompanije je povezan sa Federalnom službom bezbjednosti (FSB), domaćom špijunskom agencijom, operativnim i obavještajnim odsjecima u oružanim snagama, poznatim kao GOU i GRU, i sa SVR, ruskom spoljnoobavještajnom organizacijom.

Sjedište FSB-ja u Moskvi
Sjedište FSB-ja u Moskvifoto: Reuters

U jednom dokumentu povezuje se Vulkanov instrument za sajbernapad sa ozloglašenom hakerskom grupom Sandworm, za koju američka vlada tvrdi da je dva puta izazvala prekide u snabdijevanju električnom energijom u Ukrajini, poremetila Olimpijadu u Južnoj Koreji i pokrenula NotPetya, ekonomski najdestruktivniji štetni softver u istoriji. Pod kodnim imenom Scan-V, pretražuje Internet tražeći ranjivosti, koje se kasnije koriste u budućim sajbernapadima.

Drugi sistem, poznat kao Amezit, predstavlja plan za nadzor i kontrolu interneta u regionima pod ruskom kontrolom i takođe omogućava širenje dezinformacija preko lažnih profila na društvenim mrežama.

Treći Vulkanov sistem - Crystal-2V - je program obuke sajberoperativaca o metodama potrebnim za obaranje željezničke, vazdušne i pomorske infrastrukture. U dokumentu o tom softveru stoji: “Stepen tajnosti procesuiranih i pohranjenih podataka u proizvodu je “najveća tajna”.

Vulkan fajlove, koji datiraju od 2016. do 2021. godine, medijima je procurio anonimni zviždač ljut zbog ruskog rata u Ukrajini. Ovakve vrste curenja podataka u Moskvi su izuzetno rijetka. U danima nakon invazije u februaru prošle godine, izvor je prišao njemačkom listu “Zidojče cajtung” i kazao da se GRU i FSB “kriju iza” Vulkana.

”Ljudi treba da znaju koliko je ovo opasno”, kazao je zviždač. “Zbog događaja u Ukrajini, odlučio sam da objavim ove podatke. Kompanija radi loše stvari a ruska vlada se ponaša pogrešno i kukavički. Ljut sam zbog invazije na Ukrajinu i užasnih stvari koje se tamo događaju. Nadam se da možete iskoristiti ovu informaciju kako bi pokazali šta se dešava iza zatvorenih vrata”.

Izvor je kasnije podijelio podatke i dalje informacije sa istraživačkim startapom “Pejpr trejl medija” sa sjedištem u Minhenu. Mjesecima su, novinari iz 11 medija, uključujući “Gardijan”, “Vašington post” i “Mond”, pregledali dokumenta u konzorcijumu na čijem čelu su bili “Pejpr trejl medija” i “Špigl”.

Pet zapadnih obavještajnih agencija je potvrdilo da Vulkan dokumenta djeluju autentično. Iz Kremlja i kompanije nijesu odgovarali na upite za komentar.

Među procurjelim fajlovima su mejlovi, interna dokumenta, projektni planovi, budžeti i ugovori. Ona pružaju uvid u napore Kremlja u sajber svijetu, u trenutku kada sprovodi brutalni rat u Ukrajini. Ne zna se pouzdano da li su sredstva koja je dizajnirao Vulkan korištena za napade u realnom svijetu, u Ukrajini ili negdje drugo.

Međutim, poznato je da su ruski hakeri u više navrata targetirali ukrajinske računarske mreže, i ta kampanja se nastavlja. Od invazije prošle godine, projektili Moskve pogodili su Kijev i druge gradove, uništavajući ključnu infrastrukturu i ostavljajući zemlju u mraku.

Analitičari tvrde da Rusija takođe vodi kontinuirani konflikt sa zapadom, koji smatra neprijateljem, uključujući SAD, Veliku Britaniju, EU, Kanadu, Australiju i Novi Zeland, koji su svi razvili svoje tajne sajber ofanzivne kapacitete u trci digitalnog naoružavanja.

Pojedini fajlovi sadrže i ono što izgleda kao slikovit primjer potencijalnih meta. Jedan sadrži mapu sa tačkicama širom SAD. Drugi sadrži detalje o nuklearnoj elektrani u Švajcarskoj.

Jedan dokument pokazuje da su inžinjeri preporučivali Rusiji da pojača svoje kapacitete koristeći hakerske instrumente koji su 2016. godine ukradeni od američke Agencije za nacionalnu bezbjednost i objavljeni na internetu.

Džon Haltkvist, potpredsjednik firme za obavještajnu analizu u kompaniji za sajber bezbjednost Mandiant, koja je na zahtjev istraživačkog konzorcijuma pregledala dio materijala, kazao je: Ova dokumenta ukazuju da Rusija na napade na ključnu civilnu infrastrukturu i na manipulaciju društvenim mrežama gleda kao na istu misiju, što je suštinski napad na volju neprijatelja da se bori”.

Šta je Vulkan?

Izvršni direktor Vulkana, Anton Markov, je čovjek srednjih godina, kratko podšišan sa velikim podočnjacima. Markov je osnovao Vulkan 2010. godine, sa Aleksandrom Irzavskim. Obojica su diplomirali na vojnoj akademiji u Sankt Peterburgu i služili u vojsci, napredujući do činova kapetana i majora. “Imali su dobre kontakte u tom pravcu”, kazao je jedan bivši zaposleni.

Anton Markov
Anton Markovfoto: Tviter

Kompanija je dio ruskog vojno-industrijskog kompleksa. Ovaj podzemni svijet obuhvata špijunske agencije, komercijalne firme i visokoškolske ustanove. Specijalisti kao što su programeri i inženjeri prelaze iz jedne grane u drugu; a tajni državni akteri se u velikoj mjeri oslanjaju na stručnost privatnog sektora.

Vulkan je osnovan u vrijeme kada je Rusija brzo širila svoje sajberkapacitete. Tradicionalno, FSB je prednjačila u sajberaktivnostima. Vladimir Putin je 2012. godine imenovao ambicioznog i energetičnog Sergeja Šojgua za ministra odbrane. Šojgu je želio sopstvene sajbertrupe, koje će odgovarati direktno njemu.

Od 2011. Vulkan je dobio specijalne vladine dozvole da radi na povjerljivim vojnim projektima i državnim tajnama. To je tehnološka kompanija srednje veličine, sa preko 120 zaposlenih - od kojih su njih 60 softverski programeri.

Razvoj ovih tajnih programa govori o paranoji u srcu ruskog rukovodstva, koje se užasava uličnih protesta i revolucija. Moskva smatra da je internet ključno oružje u održavanju reda

Korporativna kultura Vulkana više je poput one u Silicijumskoj dolini nego u špijunskoj agenciji. Zaposleni imaju svoj fudbalski tim, šalju se motivacioni mejlovi sa fitnes savjetima i organizuju proslave rođendana zaposlenih. Imaju čak i slogan: “Učiniti svijet boljim mjestom” koji se pojavljuje u promotivnom spotu.

Iz Vulkana tvrde da im je specijalnost “informaciona bezbjednost”; zvanično njihovi klijenti su velike ruske državne kompanije. Među njima su Sberbanka, aviokompanija Aeroflot i Ruska željeznica. “Posao je bio zabavan. Koristili smo najnovije tehnologije”, kazao je za “Gardijan” jedan zaposleni koji je kasnije napustio firmu. “Ljudi su bili zaista pametni. Plata je bila dobra, znatno iznad prosječne”.

Pored tehničke ekspertize, tako velikodušne plate podrazumijevale su i diskreciju. Pojedini zaposleni su diplomirali na Bauman državnom tehnološkom univerzitetu u Moskvi, koji ima dugu istoriju stvaranja kadra za ministarstvo odbrane. Radni proces je organizovan na principima stroge operativne tajnosti, a zaposlenima se nikada ne govori šta se radi u drugim sektorima.

Na osnovu procurjelih dokumenata može se zaključiti da je kultura kompanije patriotska. U novogodišnjoj noći 2019. godine jedan zaposleni je kreirao veseli fajl u Majkrosoft ekselu sa sovjetskom vojnom muzikom i slikom medvjeda. Pored je pisalo: “APT Magma Bear”. To je bila aluzija na ruske državne hakerske grupe poput Cozy Bear i Fancy Bear, i djeluje da ukazuje na tajne aktivnosti Vulkana.

Pet mjeseci kasnije, Markov je podsjetio njegove zaposlene na Dan pobjede, kada se slavi pobjeda Crvene armije nad nacističkom Njemačkom 1945. “Ovo je značajan događaj u istoriji naše zemlje”, kazao je on zaposlenima. “Odrastao sam na filmovima o ratu i imao sreće da razgovaram sa veteranima i slušam njihove priče. Ti ljudi su dali svoje živote za nas, kako bismo mogli živjeti u Rusiji”.

Jedan od Vulkanovih najdalekosežnijih projekata je sproveden uz blagoslov najozloglašenije Kremljove jedinice sajber ratnika, poznate kao Sandworm. Prema tvrdnjama ruskih tužilaca i zapadnih vlada, tokom protekle decenije Sandworm je odgovoran za hakerske operacije zapanjujućih razmjera. Sproveli su brojne zloćudne aktivnosti: političku manipulaciju, sajbersabotažu, uplitanje u izbore, upade u mejlove i objavljivanje podataka.

Sandworm je onesposobio ukrajinsku električnu mrežu 2015. Naredne godine je učestvovao u drskoj operaciji u cilju uticanja na predsjedničke izbore u SAD. Dva operativca grupe su optužena za distribuiranje mejlova ukradenih od demokrata Hilari Klinton koristeći lažni profil, Guccifer 2.0.

Hakeri
foto: REUTERS

Zatim je 2017. Sandworm ukrao dodatne podatke u pokušaju da utiče na ishod francuskih predsjedničkih izbora, tvrde SAD.

Te iste godine jedinica je sprovela sajbernapad sa najvećim posljedicama u istoriji. Operativci su koristili štetni softver NotPetya. Počevši u Ukrajini, NotPetya se brzo proširila svijetom. Srušila je mreže pomorskih kompanija, bolnica, poštanskih sistema i farmaceutskih kompanija - digitalni masakr koji se iz virtuelnog prelio na fizički svijet.

Vulkan dokumenta bacaju svjetlo na dio digitalne mašinerije koja bi mogla imati ulogu u novom napadu Sandworma.

Sistem napravljen za napade

Sandworm je specijalna jedinica u okviru GRU-ovog “glavnog centra za specijalne tehnologije”. Njegov kod 74455 se u Vulkan fajlovima pojavljuje kao “strana za odobrenje” na tehničkom dokumentu. On opisuje “protokol za razmjenu podataka” između očigledno već postojeće vojne baze podataka koja sadrži obavještajne podatke o softverskim i hardverskim slabostima i novog sistema koji je Vulkan trebalo da napravi: Scan-V.

Hakerske grupe kao što je Sandworm prodiru u kompjuterske sisteme tako što prvo traže slabe tačke. Scan-V podržava taj proces, obavljajući automatizovano izviđanje potencijalnih meta širom svijeta u potrazi za potencijalno ranjivim serverima i mrežnim uređajima. Obavještajni podaci se zatim čuvaju u spremištu podataka, dajući hakerima automatizovano sredstvo za identifikaciju meta.

Gabi Ronkone, još jedna ekspertkinja iz kompanije za sajber bezbjednost Mandiant, uporedila je to sa scenama iz starih vojnih filmova u kojima ljudi postavljaju “artiljeriju i trupe na mapu. Oni žele da shvate gdje su neprijateljski tenkovi i gdje prvo treba da udare da bi probili neprijateljske linije”, kazala je. Projekat Scan je u maju 2018. naručio Institut za inženjersku fiziku, istraživački objekat u Moskovskoj oblasti blisko povezan sa GRU. Svi detalji su bili povjerljivi. Nije jasno da li je bilo planirano da Sandworm bude korisnik tog sistema, ali je u maju 2020. tim iz Vulkana posjetio vojni objekat u Himkiju, istom gradu nadomak Moskve gdje je smještena hakerska jedinica, da testira sistem Scan.

“Scan je definitivno napravljen za ofanzivne svrhe. On se dobro uklapa u organizacionu strukturu i strateški pristup GRU”, rekao je jedan analitičar nakon pregleda dokumenata. “Ovakve mrežne dijagrame ne nalazite često. To su zaista vrlo zamršene stvari”.

Procurjeli fajlovi ne sadrže nikakve informacije o ruskom štetnom kodu ili malveru, koji se koristi za hakerske operacije. Međutim, jedan analitičar Gugla je 2012. rekao da je ta tehnološka firma povezala Vulkan sa operacijom koja uključuje malver poznat kao MiniDuke. SVR, ruska spoljna obavještajna agencija, koristila je MiniDuke u pokušajima krađe podataka. Procurjeli podaci pokazuju da je tajni dio SVR, vojna jedinica 33949, angažovao Vulkan da radi na više projekata.

Kontrola interneta, nadzor i dezinformacije

Tim zaposlenih u Vulkanu je 2018. otputovao na jug kako bi prisustvovao zvaničnom testiranju programa koji omogućava kontrolu interneta, nadzor i dezinformacije. Sastanak je održan u Radio istraživačkom institutu u Rostovu na Donu koji je povezan sa FSB. Vulkan je 2016. angažovan da pomogne u stvaranju novog sistema, nazvanog Amezit, koji je u fajlovima takođe povezan sa ruskom vojskom.

FBI GRU
foto: REUTERS

”Puno ljudi je radilo za Amezit. Uloženi su novac i vrijeme. Bile su uključene i druge kompanije, moguće zato što je projekat bio tako veliki i važan”, prisjetio se jedan bivši zaposleni.

Dokumenta pokazuju da su inženjeri Vulkana unapređivali Amezit do 2021, sa planovima za dalji razvoj 2022.

Jedan dio Amezita je usmjeren na domaću radinost, što omogućava operativcima da preuzmu kontrolu nad internetom ako izbiju neredi u nekoj ruskoj oblasti, ili ako zemlja uspostavi kontrolu nad teritorijom u rivalskoj državi, poput Ukrajine. Internet saobraćaj za koji se smatra da je politički štetan može se ukloniti prije nego što dobije priliku da se proširi.

Interni dokument na 387 stranica objašnjava kako Amezit funkcioniše. Vojsci je potreban fizički pristup hardveru, kao što su stubovi mobilnih telefona, i bežičnim komunikacijama. Kada uspostave kontrolu nad prenosom, saobraćaj se može presresti. Vojni špijuni mogu da identifikuju ljude koji pretražuju veb, vide čemu pristupaju na mreži i prate informacije koje korisnici dijele.

Od invazije prošle godine, Rusija hapsi antiratne demonstrante i usvaja kaznene zakone kako bi spriječila javnu kritiku onoga što Putin naziva “specijalnom vojnom operacijom”. Vulkan fajlovi sadrže dokumenta povezana sa operacijom FSB-a za praćenje upotrebe društvenih mreža u Rusiji u ogromnim razmjerama, koristeći semantičku analizu da bi se uočio “neprijateljski” sadržaj.

Prema riječima izvora upoznatog sa radom Vulkana, ta firma je za FSB napravila program za prikupljanje podataka nazvan Fraction. On češlja mreže poput Fejdbuka i ruskog ekvivalenta Odnoklasniki, tražeći ključne riječi. Cilj je da se identifikuju potencijalne opozicione figure iz podataka iz otvorenih izvora.

Osoblje Vulkana je redovno posjećivalo centar FSB-a za informacionu bezbjednost u Moskvi, sajber jedinicu te agencije, da se konsultuju oko tajnog programa. Ta zgrada se nalazi pored sjedišta FSB Lubjanka i jedne knjižare. Procurjeli podaci pokazuju da su špijuni te jedinice dobili nadimak “ljubitelji knjiga”.

Razvoj ovih tajnih programa govori o paranoji u srcu ruskog rukovodstva, koje se užasava uličnih protesta i revolucije poput onih u Ukrajini, Gruziji, Kirgistanu i Kazahstanu. Moskva smatra da je internet ključno oružje u održavanju reda. Kod kuće, Putin je eliminisao svoje protivnike. Disidenti su zatočeni, a kritičari poput Alekseja Navaljnog otrovani i u zatvoru.

Ostaje pitanje da li se Amezit sistemi koriste u okupiranoj Ukrajini. Rusija je 2014. tajno zauzela istočne gradove Donjeck i Lugansk. Od prošle godine je osvojila dodatnu teritoriju i isključila internet i mobilne usluge u ukrajinskim oblastima koje kontroliše. Ukrajinski građani su bili primorani da se povežu preko provajdera telekomunikacija na Krimu, sa sim karticama koje su se dijelile u kampovima za “filtraciju” kojima upravlja FSB.

Međutim, novinari su uspjeli da prate aktivnosti u stvarnom svijetu sa lažnih naloga na društvenim mrežama povezanih sa Vulkanom kao dio Amezitovog podsistema kodnog imena PRR.

Alati za automatizovanu domaću propagandu

Već se znalo da je Kremlj koristio svoju fabriku dezinformacija, Agenciju za istraživanje interneta sa sjedištem u Sankt Peterburgu, koja je stavljena na listu sankcija SAD. Milijarder Jevgenij Prigožin, Putinov bliski saveznik, stoji iza operacije masovne manipulacije. Vulkan fajlovi pokazuju kako je ruska vojska angažovala privatnog izvođača da napravi slične alate za automatizovanu domaću propagandu.

Ovaj Amezitov podsistem omogućava ruskoj vojsci da sprovodi velike tajne operacije dezinformisanja na društvenim mrežama i širom interneta, kroz kreiranje naloga koji liče na stvarne ljude na mreži ili avatare. Avatari imaju imena i ukradene lične fotografije, koje se zatim obrađuju mjesecima da bi se stvorio realističan digitalni otisak.

Dokumenta ukazuju da Rusija na napade na ključnu civilnu infrastrukturu i na manipulaciju društvenim mrežama gleda kao na istu misiju, što je suštinski napad na volju neprijatelja da se bori

Procurjeli podaci sadrže snimke lažnih Tviter naloga i haštagova koje je ruska vojska koristila od 2014. do ranije ove godine. Širili su dezinformacije, uključujući teoriju zavjere o Hilari Klinton i poricanje da su u ruskom bombardovanju Sirije ubijeni civili.

Još jedan projekat povezan sa Amezitom koji je razvio Vulkan je daleko opasniji. Pod kodnim imenom Crystal-2V, to je platforma za obuku ruskih sajber operativaca. Može da omogući istovremenu upotrebu do 30 polaznika, simulira napade na niz ključnih nacionalnih infrastrukturnih ciljeva: željezničke linije, električne centrale, aerodrome, plovne puteve, luke i sisteme industrijske kontrole.

Trajni bezbjednosni rizik?

Nametljiva i destruktivna priroda alata koje je Vulkan angažovan da napravi postavlja teška pitanja o programerima softvera koji rade na ovim projektima. Mogu li se oni opisati kao sajber plaćenici? Ili ruski špijuni? Neki gotovo sigurno jesu. Drugi su možda samo šrafovi u većoj mašini, koji obavljaju važne inženjerske zadatke za sajber-vojni kompleks svoje zemlje.

Sve do ruske invazije na Ukrajinu 2022. godine, osoblje Vulkana je otvoreno putovalo u zapadnu Evropu, posjećujući konferencije o IT i sajber bezbjednosti, uključujući skup u Švedskoj, da bi se družili sa delegatima zapadnih bezbjednosnih firmi.

Bivši diplomci Vulkana sada žive u Njemačkoj, Irskoj i drugim zemljama EU. Neki rade za globalne tehnološke korporacije. Dva su u Amazon Veb Services i Siemens. Siemens je odbio da komentariše pojedinačne zaposlene, ali je saopštio da takva pitanja shvata “veoma ozbiljno”. Amazon je saopštio da je uveo “stroge kontrole” i da je zaštita podataka o klijentima njegov “glavni prioritet”.

Nije jasno da li bivši inženjeri koji se sada nalaze na zapadu predstavljaju bezbjednosni rizik i da li su zapadne kontraobavještajne agencije skrenule pažnju na njih. Većina, čini se, ima rođake u Rusiji, što je ranjivost za koju se zna da je FSB koristio da izvrši pritisak na ruske profesionalce u inostranstvu da sarađuju.

Jedan bivši službenik kojeg je kontaktirao novinar, izrazio je žaljenje što je pomogao ruskoj vojnoj i domaćoj špijunskoj agenciji. “U početku nije bilo jasno za šta će se moj rad koristiti”, rekao je. “Vremenom sam shvatio da ne mogu da nastavim i da ne želim da podržavam režim. Plašio sam se da će mi se nešto dogoditi ili da ću završiti u zatvoru”.

Postojao je ogroman rizik i za anonimnog zviždača koji stoji iza Vulkan fajlova. Ruski režim je poznat po progonu onih koje smatra izdajnicima. U kratkom razgovoru sa jednim njemačkim novinarom, uzbunjivač je rekao da je svjestan da je davanje osjetljivih informacija stranim medijima opasno. Ali je preduzeo mjere predostrožnosti koje su mu promijenile život. On je, kako je rekao, ostavio svoj prethodni život za sobom i sada živi “kao duh”.

Priredile: A. Šofranac; N. Bogetić

Bonus video: