Группа западных СМИ опубликовала расследование, основанное на утечке секретных документов о кибервозможностях России. Речь идет о НТЦ Вулкан, российской компании по кибербезопасности, которая является подрядчиком российской военной и разведывательной службы.

Журналисты изучили тысячи страниц документов и выяснили, как на протяжении многих лет группа лучших российских IT-инженеров сотрудничала с российской армией и ее разведкой: проводили хакерские операции, готовили операторов перед атаками на национальную инфраструктуру, распространяли дезинформацию и контролировали определенные части Интернета.

Информацию журналистам сообщил один из бывших сотрудников компании, возмущенный действиями России в Украине. Через несколько дней после вторжения в феврале прошлого года источник связался с немецкой газетой Süddeutsche Zeitung и сообщил, что за Вулканом стоят ГРУ и ФСБ.

«В связи с событиями в Украине я решил опубликовать эту информацию. Компания занимается плохими делами, а российское правительство трусливо и неправильно. Я возмущен вторжением в Украину и ужасными вещами, которые там происходят. Надеюсь, вы сможете использовать эту информацию, чтобы показать, что происходит за закрытыми дверями», — написал осведомитель, поделившись имеющейся информацией с рядом СМИ.

Позже пять западных спецслужб подтвердили подлинность документов. Утекшие секретные файлы содержат внутренние документы на 2016-2021 годы, планы проектов, электронные письма, контракты и бюджеты. Они позволяют понять масштаб российских кибератак против Украины и других стран

Vulkan был запущен в то время, когда Россия стремительно расширяла свои кибервозможности. Традиционно лидерство в кибервопросах принадлежало ФСБ. В 2012 году Путин назначил амбициозного и энергичного Сергея Шойгу министром обороны. Шойгу, ответственный за войну России на Украине, хотел иметь собственные кибервойска, которые подчинялись бы ему напрямую.

С 2011 года «Вулкан» получил специальные государственные лицензии на работу над секретными военными проектами и государственной тайной. Это технологическая компания среднего размера, в которой работает более 120 сотрудников, примерно 60 из которых — разработчики программного обеспечения. Неизвестно, сколько частных подрядчиков имеют доступ к таким секретным проектам в России, но по некоторым оценкам их не более десятка.

Корпоративная культура Vulkan больше похожа на Силиконовую долину, чем на шпионское агентство. В компании есть штатная футбольная команда, а также мотивационные письма с советами по тренировкам и празднованием дня рождения для сотрудников. Есть даже рекламный ролик с оптимистичным слоганом: «Сделаем мир лучше».

Официально областью применения Vulkan является информационная безопасность. В число клиентов входят крупнейшие российские государственные компании, в частности Сбербанк, крупнейший банк страны, национальная авиакомпания «Аэрофлот» и РЖД.

Один из документов связывает средство кибератаки Vulkan с печально известной хакерской группой Sandworm. Именно эта группировка, по мнению правительства США, дважды вызывала отключения электроэнергии в Украине, сорвала Олимпийские игры в Южной Корее и запустила NotPetya — самое разрушительное в экономическом отношении вредоносное ПО в истории. NotPetya начал работать в Украине и быстро распространился по всему миру. Она вывела из строя транспортные компании, больницы, почтовые системы и производителей фармацевтической продукции — цифровая атака переместилась из виртуального мира в физический.

В 2015 году Песчаный червь вывел из строя украинскую энергосистему. В следующем году он принял участие в российской операции по срыву президентских выборов в США. Двое участников были обвинены в распространении электронных писем, украденных у демократа Хиллари Клинтон. В 2017 году Sandworm украла дополнительные данные, пытаясь повлиять на результаты президентских выборов во Франции.

Другая система, известная как Amezit, представляет собой план мониторинга и контроля Интернета в регионах, контролируемых Россией. Это также позволяет создавать информационное глушение через поддельные профили в социальных сетях.

Вопрос о том, использовались ли системы Amezit на территории оккупированной Украины, остается открытым. В 2014 году Россия захватила восточные города Донецк и Луганск. С прошлого года он оккупировал еще большую территорию и отключил украинский интернет и мобильную связь на подконтрольных территориях. Граждане Украины вынуждены подключаться через крымских операторов связи, SIM-карты раздаются в фильтрационных лагерях ФСБ.

Amezit позволяет российским военным проводить широкомасштабные тайные операции по дезинформации в социальных сетях и Интернете путем создания ботов — учетных записей, которые выглядят как настоящие люди. У них есть имена и украденные личные фотографии, которые затем месяцами используются для создания реалистичного цифрового следа.

В частности, предоставленные источником документы содержат скриншоты фейковых аккаунтов в Twitter и хэштеги, которые использовались российскими военными с 2014 по начало текущего года. Они распространяли дезинформацию, в том числе теорию заговора Хиллари Клинтон и отрицание того, что российские бомбардировки Сирии привели к гибели мирных жителей. После вторжения в Украину фейковый аккаунт в Твиттере, связанный с Vulkan, написал: «Великий лидер #Путин».

Третья система, созданная Vulkan, Crystal-2V, представляет собой программу обучения кибероператоров методам, необходимым для отключения железнодорожной, воздушной и морской инфраструктуры. В файле, объясняющем программное обеспечение, говорится: «Уровень безопасности информации, обрабатываемой и хранимой в продукте, является совершенно секретным».

Некоторые документы в утечке содержат то, что может быть иллюстративным примером потенциальных целей. Один содержит карту, показывающую места в Соединенных Штатах. Другой — детали атомной электростанции в Швейцарии.

В одном из документов инженеры рекомендуют России расширить свои возможности с помощью хакерских инструментов, украденных в 2016 году из Агентства национальной безопасности США и опубликованных в Интернете.

Проект «Скан» был заказан в мае 2018 года Институтом инженерной физики, исследовательским учреждением в Московской области, имеющим тесные связи с ГРУ. Все подробности держались в секрете. В мае 2020 года команда Vulkan посетила военный объект в Химках, в том же городе на окраине Москвы, где базируется хакерское подразделение, для тестирования системы «Скан.

После прошлогоднего вторжения Россия арестовала антивоенных протестующих и приняла уголовные законы, чтобы предотвратить публичную критику того, что Путин называет «специальной военной операцией». Файлы Vulkan содержат документы, связанные с операцией ФСБ по отслеживанию использования социальных сетей в России в гигантских масштабах с использованием семантического анализа для обнаружения враждебного контента.

Фирма разработала краудфандинговую программу для ФСБ под названием «Фракция». Она просматривает такие сайты, как Facebook или Одноклассники (российский аналог), в поисках ключевых слов. Цель — выявление потенциальных оппозиционных партий на основе данных из открытых источников.

Сотрудники Vulkan регулярно посещали Центр информационной безопасности ФСБ в Москве, киберподразделение ФСБ, для получения консультаций по секретной программе. Здание расположено рядом с управлением ФСБ на Лубянке и книжным магазином: поэтому сотрудников подразделения в шутку прозвали «книголюбами».

Разработка этих секретных программ говорит о паранойе в сердце российского руководства. Оно боится уличных протестов и революций типа Украины, Грузии, Кыргызстана и Казахстана. Москва рассматривает Интернет как решающее оружие для поддержания порядка. Дома Путин устранил своих оппонентов. Диссидентов заключили в тюрьму; критики, такие как Алексей Навальный, отравлены и заключены.

До российского вторжения в Украину в 2022 году сотрудники Vulkan открыто ездили в Западную Европу и посещали конференции по информационным технологиям и кибербезопасности, в частности, встречу в Швеции для обмена опытом с делегатами западных охранных фирм.

Бывшие сотрудники Vulkan живут в Германии, Ирландии и других странах ЕС. Некоторые работают в глобальных технологических компаниях. Два из них с Amazon Web Services и Siemens. Siemens отказался комментировать отдельных сотрудников, но заявил, что очень серьезно относится к таким вопросам. Amazon заявила, что внедрила «строгий контроль» и что защита данных клиентов является ее «высшим приоритетом».

Неясно, представляют ли бывшие вулканские инженеры сейчас на мероприятии угрозу безопасности или же они привлекли внимание западных контрразведывательных органов. Судя по всему, у большинства из них есть родственники в России, которых, как известно, часто использует ФСБ для давления на российских специалистов за границей с целью сотрудничества.

Как сообщает The Guardian, один из бывших сотрудников выразил сожаление по поводу того, что помогал российским военным и разведывательным машинам.

«Сначала я не понимал, для чего будет использоваться моя работа. Со временем, когда я это осознал, я понял, что не могу продолжать и не хочу поддерживать режим. Я боялся, что со мной что-то случится или я окажусь в тюрьме», — сказал он.

Российский режим печально известен тем, что выслеживает тех, кого считает предателями. В краткой беседе с немецким журналистом человек, предоставивший документы для расследования, сказал, что осознавал опасность, но предпринял шаги, чтобы изменить свою жизнь, и оставил ее позади.