CYBERMAGAZYN
#CyberMagazyn: Rosyjskie cyberoperacje. Dezinformacja i ataki na infrastrukturę
Skala rosyjskich cyberoperacji, zaangażowane w nie prywatne podmioty i szereg narzędzi, które reżimowi Władimira Putina mają służyć do ataków na infrastrukturę krytyczną oraz siania dezinformacji to obraz wyłaniający się z dokumentów ujawnionych przez wściekłego na wojnę w Ukrainie sygnalistę.
Jedno z rosyjskich centrów cyberoperacji znajduje się w niepozornym, sześciopiętrowym budynku w północno-wschodniej części Moskwy – pisze dziennik „Guardian", który dotarł do materiałów.
To właśnie tam inżynierowie oprogramowania i inni specjaliści młodego pokolenia pomagają Władimirowi Putinowi realizować politykę Kremla w cyberprzestrzeni z wykorzystaniem ofensywnych cyberoperacji. Zatrudnia ich firma NTC Vulkan, która wygląda jak prywatna spółka konsultingowa oferująca usługi z zakresu cyberbezpieczeństwa. W rzeczywistości, to sekretne narzędzie Putina – i źródło pozyskanych przez „Guardiana" dokumentów, z których wynika, jak szeroki zakres cyberoperacji ma w swoim arsenale prezydent Rosji.
Połączenia
NTC Vulkan to firma, która wielokrotnie już świadczyła usługi rosyjskiemu wojsku oraz agencjom wywiadowczym, a także szkoliła pracowników do tego, aby wspierali cyberoperacje Kremla m.in. w zakresie ataków na infrastrukturę krytyczną, rozsiewania dezinformacji i kontrolowania internetu.
Dziennikarze „Guardiana" twierdzą, że Vulkan połączony jest m.in. z Federalną Służbą Bezpieczeństwa Rosji, a także rosyjskim wywiadem wojskowym GRU i służbą wywiadu zagranicznego.
Trzy systemy
Jeden z dokumentów, do których dotarła redakcja, łączy narzędzie tworzone od 2018 r. przez firmę Vulkan – Scan – z aktywnością grupy cyberprzestępczej Sandworm, o której wielokrotnie pisaliśmy na łamach naszego serwisu.
To właśnie ta grupa hakerska stała za cyberatakami, które przełożyły się na wyłączenia prądu w Ukrainie (jeszcze przed inwazją Putina na naszego wschodniego sąsiada), jak i za złośliwym oprogramowaniem NotPetya, które wywołało największe na świecie straty finansowe spowodowane przez cyberatak, jaki ostatecznie dotknął kilkadziesiąt krajów z całego świata.
Jak działa Scan? Przede wszystkim przeszukuje internet celem zidentyfikowania podatności bezpieczeństwa różnych usług, które potem są przechowywane dla użytku w przyszłości przez prorosyjskich hakerów.
Innym produktem Vulkanu jest system Amezit, który ma służyć do kontroli internetu w regionach pozostających pod władzą Rosji. Amezit pozwala również na realizację operacji informacyjnych w cyberprzestrzeni , w tym – działań z zakresu dezinformacji z wykorzystaniem mediów społecznościowych.
Trzecim systemem jest Crystal-2V, który służy do kształcenia hakerów w zakresie metod ataków na podmioty infrastruktury krytycznej – kolejowej, powietrznej i morskiej.
Śledztwo dziennikarskie
Według „Guardiana", dokumenty, do których uzyskała dostęp redakcja, datowane są na lata od 2016 do 2021 roku i pochodzą od anonimowego sygnalisty z wnętrza firmy Vulkan, który nie zgadza się z polityką Kremla odnośnie wojny w Ukrainie.
Sygnalista próbował już naświetlić sprawę, zgłaszając się do jednej z niemieckich gazet tuż po inwazji Putina na Ukrainę i mówił, że GRU i FSB ukrywają się za firmą Vulkan. W śledztwo dziennikarskie zaangażowało się 11 redakcji z całego świata, w tym „Guardian", „Washington Post" i „Le Monde", a także niemiecki „Der Spiegel" i „Paper Trail".
Doniesienia sygnalisty potwierdziło według mediów pięć zachodnich agencji wywiadowczych, które zgodnie wskazały, że dokumenty przekazane przez anonimowe źródło „wydają się być prawdziwe". Ani firma Vulkan, ani Kreml nie ustosunkowały się do pytań o te doniesienia i materiały, wśród których znajdują się maile, plany projektowe, budżetowe i umowy.
Jednocześnie, jak zaznacza „Guardian", nie wiadomo obecnie, czy wspomniane wcześniej systemy produkowane przez tajemniczą spółkę zostały kiedykolwiek wykorzystane do działań ofensywnych w realnym świecie – jednak, zaznajomienie się z nimi daje wgląd w mechanikę działania Kremla w zakresie cyberoperacji.
W jakie działania angażuje się Rosja?
Z dokumentów sygnalisty wynika, że Rosjanie nie tylko nieustannie atakują ukraińskie sieci komputerowe, ale także postrzegają jako swoje zadanie atakowanie Zachodu. Jako wroga postrzegają m.in. USA, Wielką Brytanię, Unię Europejską, Kanadę, Australię i Nową Zelandię. Wszystkie te kraje w ciągu ostatnich lat rozwijały aktywnie własne cyberzdolności i właśnie to nie podoba się Moskwie – pisze „Guardian".
Z niektórych przechwyconych materiałów można dowiedzieć się, jakie podmioty znajdują się na celowniku rosyjskich hakerów – to m.in. elektrownia jądrowa w Szwajcarii, a także liczne cele w USA związane z infrastrukturą.
W innych dokumentach z kolei inżynierowie Vulkanu rekomendują aktywne korzystanie z możliwości oferowanych przez wykradzione z amerykańskiej NSA narzędzia (ich wyciek do publicznej sieci nastąpił w 2016 r.).
Firma Mandiant ocenia, że dla Rosji najważniejsze są obecnie ataki na infrastrukturę krytyczną i manipulacja w mediach społecznościowych. „To część tej samej misji" – zaznacza wiceprezes ds. analizy wywiadowczej w Mandiancie John Hultquist. Jego zdaniem oba rodzaje aktywności mają przede wszystkim osłabiać wolę walki przeciwników Moskwy i działać na nich wyczerpująco.
Rosyjska dolina szpiegów
„Guardian" podkreśla, że kultura pracy w firmie Vulkan, która od 2011 r. dyspouje pozwoleniem na pracę przy tajnych wojskowych projektach i tajemnicach państwowych, przypomina raczej tę znaną z Doliny Krzemowej niż z agencji wywiadowczej, którą de facto firma jest.
Pracuje w niej ponad 120 osób, z czego ok. połowa to pracownicy rozwijający oprogramowanie. Nie wiadomo, jak wielu Vulkan ma zewnętrznych współpracowników z dostępem do danych, na których pracuje firma – ale według pewnych źródeł dziennika, nie jest ich więcej niż kilkunastu.
Wśród oficjalnych klientów spółki wyróżniają się państwowi rosyjscy giganci, tacy jak Aerofłot, Sberbank czy rosyjskie koleje.
Panuje patriotyczny nastrój, pracownicy obchodzą nawzajem swoje urodziny, a także rocznicę zwycięstwa ZSRR nad Trzecią Rzeszą w dniu 9 maja 1945 r. Osoby zatrudniane przez firmę regularnie odwiedzają biura FSB i konsultują się odnośnie wykonywanych działań – w szczególności tych, które wiążą się z realizowanym przez Vulkan programem dezinformacji, do którego wykorzystywany jest system Amezit.
„Guardian" wspomina, że nie jest obecnie jasne, czy by on wykorzystywany w Ukrainie podczas prowadzonych tam przez Putina działań wojennych – ale pozwala on na realizację operacji informacyjnych na dużą skalę , w szczególności przy użyciu fałszywych kont w social mediach przypominających realnych użytkowników, z wykradzionymi zdjęciami profilowymi i wiarygodną historią postów.
Byli pracownicy Vulkanu pracują (w firmach takich jak Amazon Web Services i Siemens) i żyją obecnie w Niemczech, Irlandii i innych krajach Unii Europejskiej, a do 2022 roku obecnie zatrudniane przez spółkę osoby mogły poruszać się po Europie bez żadnych ograniczeń – odwiedzając zachodnie konferencje IT, a także spotykając się z licznymi politykami, decydentami i naukowcami, którzy od lat wskazywali, że Rosja jest zagrożeniem – i chętnie dzielili się sposobami na zabezpieczenie przed jej ofensywnymi działaniami np. podczas prelekcji czy spotkań.
Obecnie nie ustalono, czy Vulkan postrzegany jest formalnie jako zagrożenie dla bezpieczeństwa narodowego, „Guardian" pisze, że nie dysponuje również informacjami na temat zaangażowania w nadzór nad tą firmą zachodnich agencji wywiadowczych. To, co jest pewne, to fakt, że trwająca od ponad roku pełnoskalowa wojna w Ukrainie budzi czujność nas wszystkich. Spaliśmy za długo.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
