Іноземні ЗМІ провели розслідування та оприлюднили файли російської фірми Vulkan | яка є хакерським угрупованням. Ось що про них відомо

 

Іноземні ЗМІ провели розслідування й оприлюднили файли російської фірми Vulkan, яка є хакерським угрупуванням. Ось що про них відомо

dev.ua
March 31, 2023

Видання The Guardian оприлюднило дані розслідування, яке провели 11 ЗМІ, у межах якого викрили російську компанію NTC Vulkan, що працює на російських військових і розвідку.

Ось що про них відомо.

Що відомо про Vulkan

У Vulkan здійснювали хакерські операції, тренувати оперативників перед атаками на національну інфраструктуру, поширювати дезінформацію та контролювати розділи інтернету.

Vulkan повʼязують із хакерським угрупуванням Sandworm, яку ще називають «Піщаний хробак Кремля». Їх вважають підрозділом ГРУ. Хакери Sandworm запустили у 2015 році вірус NotPetya, а також здійснювали напади на об’єкти енергетики України у 2022 році. Один із наймасштабніших проєктів Vulkan був реалізований із благословення найсумнішого підрозділу кібервоїнів Кремля, відомого як Sandworm.

Крім того, в оприлюднених із «Вулкана» файлах, є один, створений співробітником у новорічну ніч 2019 року. Він містив слова: «APT Magma Bear». Ідеться про російські державні хакерські групи, такі як Cozy Bear і Fancy Bear, і, схоже, вказує на власну тіньову діяльність Vulkan.

Що використовують хакери

Серед інструментів, які використовують зловмисники:

  • Scan-V, який шукає в інтернеті вразливості, які потім зберігаються для використання в майбутніх кібератаках.
  • Amezit, план стеження та контролю за інтернетом у регіонах, підконтрольних росії, а також забезпечує дезінформацію через фейкові профілі в соціальних мережах.
  • Crystal-2V, програма навчання кібероператорів методам, необхідним для виведення з ладу залізничної, повітряної та морської інфраструктури.

Як їх вирахували

Дані про Vulkan, а саме файли, які датуються 2016–2021 роками, анонімний інформатор, противник війни, яку розвʼязала росія в Україні, оприлюднив в лютому минулого року, звернувшись до німецької газети Süddeutsche Zeitung. Він повідомив, що ГРУ і ФСБ «ховаються за» «Вулканом».

Пізніше ця особа поділилась даними та додатковою інформацією з мюнхенським стартапом Paper Trail Media. Кілька місяців журналісти 11 ЗМІ, включно з Guardian, Washington Post і Le Monde, досліджували файли в консорціумі на чолі з Paper Trail Media і Der Spiegel.

П’ять західних спецслужб підтвердили автентичність файлів Vulkan. Компанія та Кремль не відповіли на численні запити про коментарі.

Що відомо про російську компанію NTC Vulkan

Про засновників

Виконавчий директор «Вулкана» Антон Марков заснував компанію у 2010 році разом з Олександром Іржавським. Обидва закінчили військову академію Санкт-Петербурга і в минулому служили в армії, дослужившись до капітана та майора відповідно.

Антон Марков, виконавчий директор «Вулкан»
Антон Марков, виконавчий директор «Вулкан»

Про сферу діяльності

Підприємство є частиною військово-промислового комплексу росії.

З 2011 року «Вулкан» отримав спеціальні державні ліцензії на роботу над секретними військовими проєктами та державною таємницею. Це технологічна компанія середнього розміру з понад 120 співробітниками, близько 60 з яких є розробниками програмного забезпечення. Невідомо, скільки приватних підрядників мають доступ до «чутливих» проєктів у росії, але за деякими оцінками їх не більше десятка.

«Вулкан» повідомляє, що спеціалізується на «інформаційній безпеці»; офіційно його клієнтами є великі російські державні компанії. Серед них Сбербанк, найбільший банк країни, національна авіакомпанія «Аерофлот» і російські залізниці.

Про співробітників

Частина співробітників є випускниками МДТУ імені Баумана, який має довгу історію годування призовників до міністерства оборони.

Робочі процеси організовані за принципами суворої операційної таємниці, при цьому співробітникам ніколи не повідомляють, над чим працюють інші відділи. Крім того, в компанії є корпоративна культура, яка більше схожа на технологічного гіганта.

Що містять оприлюднені файли

Файли містять електронні листи, внутрішні документи, плани проєктів, бюджети та контракти. Усередині міститься інформація із закликом зрозуміти масштабні зусилля Кремля в кіберсфері в той час, коли він веде жорстоку війну проти України.

Деякі документи у витоку містять те, що виглядає як ілюстративні приклади потенційних цілей. Один містить карту, на якій зображені крапки по всій території США. Інший містить деталі атомної електростанції у Швейцарії.

В одному документі показано, як інженери рекомендують росії розширити власні можливості за допомогою хакерських інструментів, викрадених у 2016 році з Агентства національної безпеки США та опублікованих в Інтернеті.

Про атаки Vulkan

Спеціальний підрозділ у «головному центрі спеціальних технологій» ГРУ, Sandworm відомий усередині під номером поля 74455. Цей код з’являється в файлах Vulkan як «партія схвалення» в технічному документі. У ньому описується «протокол обміну даними» між, очевидно, вже наявного військовою базою даних, що містить інформацію про недоліки програмного та апаратного забезпечення, і новою системою, яку Vulkan доручили створити: Scan-V.

Проєкт «Скан» був замовлений у травні 2018 року Інститутом інженерної фізики, дослідницьким закладом у Московській області, тісно пов’язаним з ГРУ. Усі деталі були засекречені. Неясно, чи був Sandworm передбачуваним користувачем системи, але в травні 2020 року команда з Vulkan відвідала військовий об’єкт у Хімках, тому самому місті на околиці Москви, де базується хакерський підрозділ, щоб перевірити систему Scan.

У витоку файлів немає інформації про російський шкідливий код або шкідливе програмне забезпечення, яке використовується для хакерських операцій. Але аналітик Google сказав, що у 2012 році технічна фірма пов’язала Vulkan з операцією, пов’язаною зі шкідливим програмним забезпеченням під назвою MiniDuke. СВР, російська зовнішня розвідка, використовувала MiniDuke у фішингових кампаніях. Витік показує, що таємна частина СВР, військова частина 33949, найняла Вулкан для роботи над кількома проєктами. Свого клієнта компанія називала «санаторій» і «профілакторій».

Інтернет-контроль, стеження та дезінформація

Amezit

У 2018 році команда співробітників Vulkan зустрілась в науково-дослідному інституті радіомовлення в Ростові-на-Дону з представниками фсб. Вони найняли субпідрядника від Vulkan, щоб допомогти у створенні нової системи під назвою Amezit, яка також була пов’язана у файлах із російською армією.

Amezit спрямований на захоплення та контроль інтернету. Інтернет-трафік, який вважається політично шкідливим, можна видалити до того, як він пошириться.

Військові шпигуни можуть ідентифікувати людей, які переглядають вебсторінки, бачити, до чого вони звертаються в інтернеті, і відстежувати інформацію, якою діляться користувачі.

Файли Vulkan містять документи, пов’язані з операцією ФСБ з моніторингу використання соціальних медіа в росії в гігантських масштабах, використовуючи семантичний аналіз для виявлення «ворожого» контенту.

Fraction

За словами джерела, знайомого з роботою Vulkan, фірма розробила програму масового збору для ФСБ під назвою Fraction. Він прочісує такі сайти, як Facebook або Однокласники (російський еквівалент), шукаючи ключові слова. Мета — виявити потенційних опозиціонерів за даними.

PRR

Журналістам вдалося відстежити реальну діяльність, яку здійснюють фейкові облікові записи в соціальних мережах, пов’язані з Vulkan, як частину підсистеми Amezit під кодовою назвою PRR.

Ця підсистема Amezit дозволяє російським військовим проводити широкомасштабні таємні операції з дезінформації в соціальних мережах та Інтернеті шляхом створення облікових записів, які нагадують реальних людей в Інтернеті або аватарів. Аватари мають імена та викрадені особисті фотографії, які потім культивуються протягом місяців, щоб створити реалістичний цифровий слід.

Автоматизація внутрішньої пропаганди

Файли Vulkan показують, як російські військові найняли приватного підрядника для створення інструментів для автоматизованої внутрішньої пропаганди, яке використовує петербурзьке Агентство інтернет-досліджень.

Ця підсистема Amezit дозволяє російським військовим проводити широкомасштабні таємні операції з дезінформації в соціальних мережах та Інтернеті шляхом створення облікових записів, які нагадують реальних людей в Інтернеті або аватарів. Аватари мають імена та викрадені особисті фотографії, які потім культивуються протягом місяців, щоб створити реалістичний цифровий слід.

«Кристал-2В»

Інший розроблений «Вулканом» проєкт, пов’язаний з Amezit, під кодовою назвою «Кристал-2В» це навчальна платформа для російських кібероператорів. Здатний одночасно використовувати до 30 слухачів, він, здається, імітує атаки на низку важливих цілей національної інфраструктури: залізничні лінії, електростанції, аеропорти, водні шляхи, порти та промислові системи управління.

Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Росіяни прокинулися від сповіщення про повітряну тривогу та сирен. Влада рф стверджує, що за фальшивими повідомленнями про ракетний удар стоять українські хакери
По темi
Росіяни прокинулися від сповіщення про повітряну тривогу та сирен. Влада рф стверджує, що за фальшивими повідомленнями про ракетний удар стоять українські хакери
«Ми тероризуватимемо кожного члена вашої родини». Реальна історія про хакера з москви. Він тиждень переслідує власника українського Starlink. Поки що безкарно
По темi
«Ми тероризуватимемо кожного члена вашої родини». Реальна історія про хакера з москви. Він тиждень переслідує власника українського Starlink. Поки що безкарно
Крах «братства» російськомовних кіберзлочинців. Війна в Україні зруйнувала головне табу хакерів. Які це матиме наслідки
По темi
Крах «братства» російськомовних кіберзлочинців. Війна в Україні зруйнувала головне табу хакерів. Які це матиме наслідки
Просмотры:

Коментарі

Популярні публікації