En läcka av hemligstämplade dokument från den ryska konsultfirman NTC Vulkan har avslöjat Rysslands strategier för cyberkrigföring både internationellt och nationellt.
Läckan, som gjordes av en anonym visselblåsare har avslöjat att företaget har utvecklat verktyg som stödjer hackningsoperationer och attacker mot känslig infrastruktur. En anonym person släppte dokument från entreprenören NTC Vulkan till en tysk reporter efter att ha uttryckt ilska över Rysslands attack mot Ukraina. Läcka är ovanlig för Rysslands hemlighetsfulla militärindustriella komplex,
NTC Vulkan är en Moskvabaserad konsultfirma som specialiserar sig på cybersäkerhet. Företagets ingenjörer har arbetat för den ryska militären och underrättelsetjänsterna för att stödja olika operationer, inklusive träning av agenter inför attacker på nationell infrastruktur, spridning av desinformation och kontroll av vissa delar av internet. Vulkan är bara en av flera organisationer som arbetar för att stärka Rysslands förmåga inom detta område, vilket betyder att landet kan fortsätta att utöva sin påverkan globalt och lokalt genom dessa metoder.
Läckan av de hemligstämplade dokumenten visar att det finns en brist på transparens i Rysslands verksamhet kring cyberkrigföring. Det är nödvändigt att världens ledare förstår detta hot och vidtar lämpliga åtgärder för att skydda sig och sina medborgare mot Rysslands aggression på detta område.
Ryska elit-hackers tar sikte på flygplatser, kraftverk och Internet
Läckan består över 5 000 sidor dokument daterade mellan 2016 och 2021 och den inkluderar manualer, tekniska specifikationer och andra detaljer för programvara som Vulkan designat för den ryska militären och underrättelsetjänsten. Den innehåller även interna företags-e-postmeddelanden, finansiella rapporter och kontrakt som visar både kapaciteten i Rysslands cyberoperationer och bredden på det arbete Moskva har outsourcat.
Dumpen ger ovanliga glimtar in i planering och träning för säkerhetstjänster, inklusive den ökända hackargruppen Sandworm. Dokumenten visar att ryska underrättelseorgan samarbetade med företaget för att stärka sin förmåga att genomföra cyberattacker, sprida desinformation och övervaka delar av internet. Detaljerna i dokumenten avslöjar en uppsättning dataprogram och databaser som skulle göra det möjligt för Rysslands underrättelseorgan och hackargrupper att bättre hitta sårbarheter, samordna attacker och kontrollera online aktiviteter.
En diagram som visar ett Vulkan hackningsrekogniseringssystem med kodnamnet Scan, utvecklat sedan 2018. Ett dokument kopplar en Vulkan cyberattack-verktyg med den ökända hackargruppen Sandworm, som den amerikanska regeringen två gånger sagt orsakat strömavbrott i Ukraina, stört invigningscermonin i OS i Sydkorea och lanserat NotPetya, den mest ekonomiskt destruktiva skadeprogramvaran i historien. Med kodnamnet Scan-V söker det igenom internet efter sårbarheter som sedan lagras för användning vid framtida cyberattacker.
Vulkans VD, Anton Markov grundade Vulkan tillsammans med Alexander Irzhavsky år 2010. Båda är utbildade vid Sankt Petersburgs militärakademi och har tidigare tjänstgjort i armén, där de avancerade till kapten respektive major. Företaget ingår i Rysslands militärindustriella komplex. Denna grupp omfattar spionbyråer, kommersiella företag och högre utbildningsinstitutioner. Specialister som programmerare och ingenjörer rör sig från en gren till en annan; hemliga statliga aktörer förlitar sig i hög grad på privat sektors expertis.
Från 2011 fick Vulkan speciella regeringslicenser för att arbeta med klassificerade militärprojekt och statshemligheter. Det är ett medelstort teknikföretag med mer än 120 anställda – cirka 60 av dem är mjukvaruutvecklare. Det är inte känt hur många privata entreprenörer som får tillträde till sådana känsliga projekt i Ryssland, men vissa uppskattningar tyder på att det inte är mer än ett dussin.
Vulkan säger sig specialisera sig på ”informationssäkerhet”; Officiellt sett är deras kunder stora ryska statliga företag. Dessa inkluderar Sberbank, landets största bank, det nationella flygbolaget Aeroflot och ryska järnvägar. Vissa anställda är utexaminerade från Bauman Moscow State Technical University,
Desinformation på sociala medier med Amezit
En annan del av Scan-projektet är Amezit, som möjliggör internetkontroll, övervakning och desinformation.
Amezit, utgör en blåprint för övervakning och kontroll av internet i regioner som är under inflytade av Ryssland och möjliggör också spridning av desinformation via falska profiler på sociala medier. Amezit beskriver taktiker för att automatisera skapandet av massiva mängder fejkade sociala mediekonton för desinformationskampanjer. Ett dokument i den läckta kassan beskriver hur man använder bankar av mobila telefon-SIM-kort för att besegra verifieringskontroller för nya konton på Facebook, Twitter och andra sociala nätverk.
En del av Amezit är inriktad på Ryssland, där operatörer kan ta kontroll över internet om det uppstår oroligheter i en region eller i händelse av en motståndares angrepp, till exempel Ukraina. Internettrafik som anses vara politiskt skadlig kan tas bort innan den har en chans att spridas. Vulkan spelade en central roll i utvecklingen av Amezit. Vulkan har också utvecklat en bulkinsamlingsprogram för FSB (Federal Security Service), kallad Fraction, för att övervaka sociala medier och söka efter nyckelord som kan identifiera potentiella oppositionsfigurer.
Utbildningsprogram för cyberoperatörer
Ett tredje system som byggts av Vulkan – Crystal-2V – är ett utbildningsprogram för cyberoperatörer i de metoder som krävs för att ta ner infrastruktur för järnvägar, luftfart och sjöfart. En fil som förklarar mjukvaran säger: ”Sekretessnivån för behandlad och lagrad information i produkten är ’Top Secret'”.
Enligt läckan är det GRU och FSB som döljer sig bakom” Vulkan. Fem västerländska underrättelsetjänster och flera oberoende cyberföretag har bekräftat att Vulkan-filerna verkar vara äkta. Företaget och Kreml svarade inte på upprepade förfrågningar om kommentar.
Cyberkrigs läckor visar att den ryska armén antar tankesättet hos en hemlig polis
Läckan innehåller e-postmeddelanden, interna dokument, projektplaner, budgetar och kontrakt. De ger insikt i Kremls omfattande ansträngningar inom cyber-realm, vid en tidpunkt då de driver en brutal krigföring mot Ukraina. Det är inte känt om verktygen som byggts av Vulkan har använts för verkliga attacker, i Ukraina eller någon annanstans.
- Program för att skapa falska sociala medie-sidor
- Programvara som kan identifiera och lagra listor över sårbarheter i datorsystem över hela världen för möjliga framtida attacker.
- Flera mock-ups av ett användargränssnitt för ett projekt som kallas Amezit verkar visa exempel på möjliga hackningsmål, inklusive Utrikesdepartementet i Schweiz och en kärnkraftsanläggning i landet.
- Ett dokument visar en karta över USA med cirklar som verkar representera kluster av internet-servrar.
- En illustration för en Vulkan-plattform som kallas Skan hänvisar till en amerikansk plats, märkt ”Fairfield”, som en plats för att hitta nätverkssårbarheter för användning i en attack.
- Ett annat dokument beskriver ett ”användarscenario” där hackningsteam skulle identifiera osäkra routrar i Nordkorea, antagligen för möjlig användning i en cyberattack.
Men ryska hackare är kända för att upprepade gånger ha riktat in sig på ukrainska datornätverk; en kampanj som pågår och fortsätter. Analytiker säger att Ryssland också är involverat i en ständig konflikt med vad de uppfattar som sin fiende, väst som USA, Storbritannien, EU, Kanada, Australien och Nya Zeeland, alla har utvecklat sina egna klassificerade cyberoffensiva förmågor i en digitalt vapenkapplöpning.
Några dokument i läckan innehåller vad som verkar vara illustrativa exempel på potentiella mål. En innehåller en karta som visar punkter över hela USA. En annan innehåller detaljerna om en kärnkraftsanläggning i Schweiz.
Ett dokument visar att ingenjörer rekommenderar Ryssland att utöka sina egna förmågor genom att använda hackerverktyg som stulits 2016 från den amerikanska nationella säkerhetsmyndigheten och publicerats online.
John Hultquist, vice vd för intelligensanalys på cybersäkerhetsföretaget Mandiant, som granskade delar av materialet på begäran av konsortiet, säger till Guardian: ”Dessa dokument antyder att Ryssland ser attacker på civil kritisk infrastruktur och manipulation av sociala medier som samma mission, vilket i grund och botten är en attack på fiendens vilja att kämpa.”
De läckta Vulkan-filerna avslöjar en digital förmåga som kan spela en roll i nästa attack från Sandworm. Sandworm är en specialenhet inom GRU (Rysslands militära underrättelsetjänst) som är känd för att penetrera datorsystem genom att leta efter svaga punkter. Scan-V är en del av Scan-projektet som hjälper till i denna process, genom att automatiskt leta efter sårbara servrar och nätverksenheter runt om i världen och spara informationen i en databas. Scan-projektet skapades av institutet för teknisk fysik i Moskva-regionen och alla detaljer om projektet var klassificerade. Scan-V-systemet är byggt för offensiva syften och har en detaljerad nätverksdiagram och design.
Källor:
Under flera månader har journalister från 11 medieorgan, inklusive The Guardian, Washington Post och Le Monde, undersökt filerna i ett konsortium lett av Paper Trail Media och Der Spiegel.
https://www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics
https://www.washingtonpost.com/national-security/2023/03/30/russian-cyberwarfare-documents-vulkan-files/
Der Spiegel
Le Monde
Paper Trail Media
iStories
Paper Trail Media
Süddeutsche Zeitung