Kathimerini.gr
Ισχυρό πλήγμα στον Ρώσο πρόεδρο Πούτιν προκαλεί η διαρροή περισσότερων από 5.000 απόρρητων εγγράφων, που διέρρευσαν από εταιρεία κυβερνοασφάλειας με έδρα τη Μόσχα.
Στα έγγραφα αυτά, που ένας ανώνυμος πληροφοριοδότης διέρρευσε σε δυτικά ΜΜΕ, φαίνεται ο σχεδιασμός και η εκπαίδευση στις ρωσικές υπηρεσίες ασφαλείας, συμπεριλαμβανομένης της διαβόητης ομάδας χάκερς Sandworm.
Σύμφωνα με δημοσίευμα της Washington Post, Μέσου που συνεργάστηκε στην ομαδική αποκάλυψη των «Αρχείων Vulkan», οι ρωσικές υπηρεσίες πληροφοριών συνεργάστηκαν με ιδιωτική εταιρεία για να ενισχύσουν την ικανότητά τους να εξαπολύουν επιθέσεις στον κυβερνοχώρο, να παραπληροφορούν με fake news και να παρακολουθούν τμήματα του Διαδικτύου.
Στις χιλιάδες σελίδες των εμπιστευτικών εγγράφων, περιγράφονται λεπτομερώς μια σειρά προγραμμάτων και βάσεων δεδομένων που επιτρέπουν στις υπηρεσίες πληροφοριών της Ρωσίας και στις ομάδες hacking να εντοπίζουν τρωτά σημεία, να συντονίζουν τις επιθέσεις τους και να ελέγχουν τη διαδικτυακή δραστηριότητα.
Τα έγγραφα δείχνουν ότι η εταιρεία Vulkan υποστήριζε λειτουργίες, συμπεριλαμβανομένων τόσο της παραπληροφόρησης των μέσων κοινωνικής δικτύωσης, όσο και της εκπαίδευσης για την εξ αποστάσεως επίτευξη στόχων, όπως η επιρροή σε συστήματα ελέγχου στις εναέριες, θαλάσσιες και σιδηροδρομικές μεταφορές.
Ένα πρόσωπο, που για ευνόητους λόγους δεν κατονομάζεται, παρείχε τα έγγραφα από την NTC Vulkan σε έναν Γερμανό δημοσιογράφο, εκφράζοντας την οργή του για την εισβολή της Ρωσίας στην Ουκρανία.
Η διαρροή αυτή, γεγονός ασυνήθιστο για το ρωσικό στρατό, που καλύπτεται από ένα ισχυρό πλέγμα μυστικότητας, καταδεικνύει μια άλλη ακούσια συνέπεια της απόφασης Πούτιν να οδηγήσει τη χώρα του σε πόλεμο.
Αξιωματούχοι από πέντε δυτικές υπηρεσίες πληροφοριών και πολλές ανεξάρτητες εταιρείες κυβερνοασφάλειας εκτιμούν ότι τα έγγραφα είναι αυθεντικά, αφού εξέτασαν αποσπάσματα κατόπιν αιτήματος της Washington Post και αρκετών συνεργαζόμενων ειδησεογραφικών οργανισμών.
Οι αξιωματούχοι και οι ειδικοί δεν μπόρεσαν να εντοπίσουν αποδείξεις ότι τα συστήματα είχαν αναπτυχθεί από τη Ρωσία ή ότι χρησιμοποιήθηκαν σε συγκεκριμένες κυβερνοεπιθέσεις, αλλά τα έγγραφα περιγράφουν δοκιμές και πληρωμές για εργασία που έκανε η Vulkan για τις ρωσικές υπηρεσίες ασφαλείας και πολλά συνδεδεμένα ερευνητικά ινστιτούτα.
Η εν λόγω εταιρεία έχει πελάτες τόσο από την κυβέρνηση όσο και από πολίτες.
Αυτές οι πληροφορίες μοιάζουν ανεκτίμητες καθώς προσφέρουν ένα σπάνιο «παράθυρο» στις σκοτεινές συναλλαγές των ρωσικών στρατιωτικών και μυστικών υπηρεσιών, συμπεριλαμβανομένης διαβόητης κυβερνητικής ομάδας χάκερ Sandworm.
Αμερικανοί αξιωματούχοι εκτιμούν ότι τη Sandworm προκάλεσε -δύο φορές- διακοπή ρεύματος στην Ουκρανία, δημιούργησε προβλήματα στην τελετή έναρξης των Χειμερινών Ολυμπιακών Αγώνων του 2018 και κυκλοφόρησε το NotPetya, το πιο καταστροφικό κακόβουλο λογισμικό στην ιστορία.
Ένα από τα έγγραφα που διέρρευσαν αναφέρει τον αριθμητικό προσδιορισμό της μονάδας στρατιωτικών πληροφοριών του Sandworm, 74455, υποδηλώνοντας ότι η Vulkan ετοίμαζε λογισμικό για χρήση από την ελίτ ομάδα hacking. Το ανυπόγραφο έγγραφο, 11 σελίδων, με ημερομηνία 2019, δείχνει ένα υψηλόβαθμο στέλεχος της Sandworm να εγκρίνει το πρωτόκολλο μεταφοράς δεδομένων για μία από τις πλατφόρμες.
shutterstock
Πώς έγινε η διαρροή
Ο πληροφοριοδότης έδωσε τα έγγραφα σε Γερμανό δημοσιογράφο λίγο μετά την εισβολή στην Ουκρανία, λέγοντας ότι «η εταιρεία κάνει άσχημα πράγματα και η ρωσική κυβέρνηση είναι δειλή».
Ο δημοσιογράφος μοιράστηκε τα έγγραφα με μια κοινοπραξία ειδησεογραφικών οργανισμών, η οποία περιλαμβάνει μεταξύ άλλων τον Guardian και την Washington Post και διευθύνεται από την Paper Trail Media και το Der Spiegel.
Ο ανώνυμος πληροφοριοδότης, που μίλησε στον δημοσιογράφο μέσω μιας κρυπτογραφημένης εφαρμογής, αρνήθηκε να αποκαλύψει το οτιδήποτε για τον εαυτό του, δηλώνοντας την ανάγκη να εξαφανιστεί «σαν φάντασμα» για λόγους ασφαλείας.
«Είμαι θυμωμένος για την εισβολή στην Ουκρανία και τα τρομερά πράγματα που συμβαίνουν εκεί», είπε και πρόσθεσε: «Ελπίζω ότι μπορείτε να χρησιμοποιήσετε αυτές τις πληροφορίες για να δείξετε τι συμβαίνει πίσω από κλειστές πόρτες».
Όλα τα συνεργαζόμενα ΜΜΕ είχαν αιτήματα για σχολιασμό τόσο από το Κρεμλίνο όσο και από την Vulkan, χωρίς ωστόσο να λάβουν κάποια απάντηση.
Η WP μεταδίδει ότι ένας υπάλληλος της εταιρείας που απάντησε στο τηλέφωνο στα κεντρικά της γραφεία επιβεβαίωσε ότι είχε λάβει ένα email, συμπληρώνοντας ότι θα απαντηθεί από στελέχη της εταιρείας, «αν τους ενδιαφέρει».
Τι υπάρχει στα έγγραφα
Το πακέτο των 5.000 σελίδων, που χρονολογούνται από το 2016 έως και το 2021, περιλαμβάνει εγχειρίδια, φύλλα τεχνικών προδιαγραφών και άλλες λεπτομέρειες για λογισμικό που σχεδίασε η Vulkan για τον ρωσικό στρατό και τις υπηρεσίες πληροφοριών.
Επιπλέον, περιλαμβάνει εσωτερικά εταιρικά email, οικονομικά αρχεία και συμβόλαια που δείχνουν τη φιλοδοξία και το εύρος των ρωσικών επιχειρήσεων στον κυβερνοχώρο.
Επιπρόσθετα, υπάρχουν προγράμματα για τη δημιουργία ψεύτικων σελίδων κοινωνικής δικτύωσης και λογισμικού που μπορεί να εντοπίσει και να αποθηκεύσει ευπάθειες σε συστήματα υπολογιστών σε όλο τον κόσμο για πιθανή μελλοντική στόχευση.
Μακέτες για ένα έργο που ονομάζεται «Amezit» απεικονίζουν παραδείγματα πιθανών στόχων hacking, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών στην Ελβετία και ενός πυρηνικού σταθμού της χώρας.
Ένα άλλο έγγραφο απεικονίζει έναν χάρτη των Ηνωμένων Πολιτειών με κύκλους που φαίνεται να αντιπροσωπεύουν συμπλέγματα διακομιστών Διαδικτύου.
Μια πλατφόρμα της Vulkan -που ονομάζεται Skan– κάνει αναφορά σε τοποθεσία των ΗΠΑ, με την ένδειξη Fairfield, ως μέρος εντοπισμού ευπάθειας στο δίκτυο για χρήση σε επίθεση.
Ένα άλλο έγγραφο περιγράφει ένα «σενάριο χρήστη» στο οποίο οι ομάδες χάκερ θα εντόπιζαν προβληματικούς ρούτερς στη Βόρεια Κορέα, πιθανώς για χρήση σε κυβερνοεπίθεση.
Ωστόσο, τα έγγραφα δεν περιλαμβάνουν επαληθευμένες λίστες στόχων, κώδικα κακόβουλου λογισμικού ή στοιχεία που συνδέουν τα έργα με γνωστές κυβερνοεπιθέσεις.
Παρόλα αυτά, προσφέρουν πληροφορίες για την προσπάθεια της Ρωσίας να αναπτυχθεί και να συστηματοποιήσει την ικανότητά της να διεξάγει κυβερνοεπιθέσεις με μεγαλύτερη ταχύτητα, κλίμακα και αποτελεσματικότητα.
«Αυτά τα έγγραφα υποδηλώνουν ότι η Ρωσία βλέπει τις επιθέσεις σε υποδομές ζωτικής σημασίας και τη χειραγώγηση των μέσων κοινωνικής δικτύωσης ως μία ενιαία αποστολή, η οποία είναι ουσιαστικά μια επίθεση στη βούληση του εχθρού να πολεμήσει», δήλωσε ο Τζον Χουλτκουίστ, αντιπρόεδρος στην εταιρεία κυβερνοασφάλειας Mandiant.
«Ένας κρίσιμος πυλώνας»
Ο ρόλος των ιδιωτών εταιρειών στον ρωσικό κυβερνοπόλεμο είναι «πολύ σημαντικός», ειδικά για τη ρωσική στρατιωτική υπηρεσία πληροφοριών (GRU), δήλωσε δυτικός αναλυτής πληροφοριών, μιλώντας υπό τον όρο της ανωνυμίας.
«Αποτελούν έναν κρίσιμο πυλώνα των επιθέσεων και της ανάπτυξης της GRU στον κυβερνοχώρο. Παρέχουν εμπειρογνωμοσύνη που μπορεί να λείπει από την GRU για ένα δεδομένο ζήτημα. Οι υπηρεσίες κατασκοπείας μπορούν να κάνουν επιχειρήσεις στον κυβερνοχώρο χωρίς αυτές, αλλά πιθανότατα όχι με τον ίδιο τρόπο».
Τρεις πρώην υπάλληλοι της Vulkan, οι οποίοι μίλησαν υπό τον όρο της ανωνυμίας, επιβεβαίωσαν ορισμένες λεπτομέρειες. Τα οικονομικά αρχεία, τα οποία ελήφθησαν ξεχωριστά από τους ειδησεογραφικούς οργανισμούς, ταιριάζουν με αναφορές στα έγγραφα, σημειώνοντας λεπτομερώς συναλλαγές αξίας εκατομμυρίων δολαρίων μεταξύ γνωστών ρωσικών στρατιωτικών ή μυστικών υπηρεσιών και της εταιρείας.
Οι εμπειρογνώμονες είπαν ότι οι λεπτομέρειες στα έγγραφα ταιριάζουν με πληροφορίες που συλλέγονται σχετικά με τα προγράμματα χάκερ της Ρωσίας -συμπεριλαμβανομένης μιας προηγούμενης διαρροής μικρότερης κλίμακας- και φαίνεται να περιγράφουν νέα εργαλεία για την ενεργοποίηση επιθετικών επιχειρήσεων στον κυβερνοχώρο.
«Δεν βρίσκετε τόσο συχνά διαγράμματα δικτύου και έγγραφα σχεδιασμού όπως αυτά. Είναι πραγματικά πολύ περίπλοκα. Δεν επρόκειτο να εμφανιστεί δημόσια», είπε ένας από τους αξιωματούχους των δυτικών μυστικών υπηρεσιών.
Η Ομάδα Ανάλυσης Απειλών της Google βρήκε στοιχεία το 2012 ότι η Vulkan είχε συνεργασία με την SVR, υπηρεσία πληροφοριών της Ρωσίας.
Οι ερευνητές είχαν εντοπίσει ένα ύποπτο μήνυμα ηλεκτρονικού «ψαρέματος», να αποστέλλεται δοκιμαστικά από έναν λογαριασμό Gmail σε έναν λογαριασμό της Vulkan που είχε δημιουργηθεί από το ίδιο άτομο, προφανώς υπάλληλο της εταιρείας.
«Η χρήση δοκιμαστικών μηνυμάτων είναι κοινή πρακτική για τον έλεγχο των μηνυμάτων ηλεκτρονικού “ψαρέματος” πριν από τη χρήση τους», ανέφερε η Google.
Μετά από αυτό το δοκιμαστικό email, οι αναλυτές της Google είδαν την ίδια διεύθυνση Gmail να χρησιμοποιείται για την αποστολή κακόβουλου λογισμικού που είναι γνωστό ότι χρησιμοποιείται από το SVR εναντίον άλλων στόχων.
Αυτή δεν ήταν «η πιο έξυπνη κίνηση» από την πλευρά του υπαλλήλου της Vulkan, τόνισε αναλυτής της Google, συμπληρώνοντας: «Ήταν ένα ολίσθημα».
Ποια είναι η Vulkan
Η εταιρική κουλτούρα της Vulkan παραπέμπει περισσότερο στη Silicon Valley παρά σε μυστική υπηρεσία. Διαθέτει ποδοσφαιρική ομάδα και οι επικεφαλής στέλνουν email με συμβουλές φυσικής κατάστασης και ευχές για τα γενέθλια των εργαζομένων.
Υπάρχει και ένα αισιόδοξο σλόγκαν: «Κάνε τον κόσμο ένα καλύτερο μέρος», ενώ στην ταυτότητα της επισημαίνει ότι ειδικεύεται στην «ασφάλεια πληροφοριών».
Επισήμως, οι πελάτες της είναι μεγάλες ρωσικές κρατικές εταιρείες, μεταξύ άλλων η Sberbank, η μεγαλύτερη τράπεζα της χώρας, η αεροπορική εταιρεία Aeroflot και οι ρωσικοί σιδηρόδρομοι.
Πληροφορίες: Washington Post, Guardian
