Izgleda kao malo verovatna slučajnost da je neposredno posle afere sa ”Pentagonskim papirima” izbila kontra-afera, vezana za curenje ”moskovskih papira”! Da slučajnost ne bi bila očigledna, prva pojava tajnih dokumenata je antidatirana još na početak rusko-ukrajinskog sukoba ali je, eto, autentičnost proveravana godinu dana! U suštini, oba slučaja curenja informacija samo ukazuju na sve intenzivniji sajber i informatički način ratovanja.
Navodno, samo nekoliko dana nakon početka ruskog napada na Ukrajinu, anonimni izvor je kontaktirao nemački list ”Süddeutsche Zeitung”. Uzbunjivač je izjavio da želi da podeli dokumente o ”špijunskom softveru, koji se razvija po nalogu ruskih specijalnih službi”. ”Odlučio sam da vam dam ovu informaciju zbog događaja u Ukrajini”, objasnio je svoju motivaciju.
Izvor je novinarima predao arhivu od nekoliko stotina (kaže se, čak, i hiljada) dokumenata o malo poznatoj IT kompaniji iz Moskve ”iza koje stoje GRU i FSB” а koli datiraju od 2016. do 2021. godine. Tako je svetlost dana ugledala arhiva ”Vulkana”, male firme koja u ime ruskog Ministarstva odbrane, Federalne službe bezbednosti i Spoljne obaveštajne službe razvija softver za sajber napade, upravlja fabrikom trolova i izoluje Internet.
Dokumentaciju su godinu dana analizirali novinari ”Süddeutsche Zeitung”, internet izdanja registrovanog u Letoniji „Važne priče” (Важные истории), ”The Guardian”, ”Le Monde” i ”Washington Post”, sa nekoliko drugih medija, kao deo konzorcijuma koji predvode ”Paper Trail Media” i ”Der Spiegel”.
Konzorcijum je objavio prve detalje svoje istrage 30. marta 2023. Pet zapadnih obaveštajnih agencija i nekoliko nezavisnih stručnjaka za sajber bezbednost potvrdili su autentičnost dosijeaali nisu želeli da ih komentarišu. Takođe nije poznato da li su alati koje je napravio ”Vulkan” korišćeni za napade u stvarnom svetu, u Ukrajini ili negde drugde.
Kompanijа NTC ”Vulkan” (НТЦ «Вулкан» – многопрофильный российский ИТ/ИБ-интегр) је osnovanа 3. juna 2010. a registrovanau Moskvi, ulica Ibrahimova 31, 7. marta 2014. godine. Kao rukovodioci navode se Anton Markov (Антон Владимирович Марков)i Aleksandrar Iržavskij (Александр Иржавский) Obojica su završili vojnu akademiju u Sankt Peterburgu i služili su u ruskoj vojsci, pri čemu je Markov dostigao čin kapetana, a Ižavski čin majora.
Kompanija ima više od 120 zaposlenih, od kojih su 60 programeri, a svoju specijalnost opisuje kao bezbednost informacija. Kao klijente navodi ”Sberbanku”, ”Aeroflot” i ”Ruske železnice”. ”Vulkan” je na svom sajtu iskreno opisao svoje aktivnosti: kompanija navodno od prvih dana postojanja u svom sastavu ima odeljenja koja se bave primenjenim istraživanjem i razvojem u oblasti informacione bezbednosti i srodnih oblasti. Sistematski razvoj identifikovao je tri ključne oblasti: sajber bezbednost, mikroelektroniku, i razvoj softvera.
Kompanija poseduje stručne kompetencije u “teškim” tehnologijama informacione bezbednosti, među kojima je uloga vodećeg modela dodeljena sistemima kao što su upravljanje bezbednosnim informacijama (security information and event management, SIEM), (Security orchestration, automation and response, SOAR), IRP, TIP. Do 2022. gdoine je završila niz značajnih projekata u finansijskoj, energetskoj i telekomunikacionoj industriji, u okviru priprema za Olimpijske igre u Sočiju i Svetsko prvenstvo. Uspostavila je i razvila partnerstva sa vodećim kompanijama specijalizovanim za alate za bezbednost informacija. Uspostavila je profesionalne veze u oblasti informacione bezbednosti i IT zajednice i stekla iskustvo u zajedničkoj realizaciji projekata u savezu sa drugim integratorima.
Kompanija pokriva mnoge regione Ruske Federacije. ”Vulkanovi” stručnjaci su završili mnoge prilagođene softverske programe koji su našli primenu kako u javnom tako i u komercijalnom sektoru privrede. Stvorene su i razvijaju se kompetencije u oblasti tehnologija prikupljanja podataka, analize mrežnog saobraćaja, vizuelne analitike, ”Big Data” tehnologije i nestrukturisane obrade informacija. Njeni specijalisti sprovode projekte za analizu bezbednosti hardverskih i softverskih sistema, kao i za proučavanje bezbednosti mikroelektronskih uređaja.
Kompetencije firme i praksa rešavanja problema ”na hardveru” su tražene, što kompaniji omogućava da unapredi bezbednost i produktivnost organizacija i preduzeća. STC ”Vulkan” je spreman da svojim kupcima ponudi stručnu ekspertizu, konsultantske i tehničke usluge u oblastima sajber bezbednosti, razvoja specijalizovanog softvera, bezbednosnih istraživanja mikroprocesorskih uređaja i softverskih i hardverskih sistema. Kompanija ima sve što je potrebno za izvođenje ovakvih projekata: licence ruskih agencija, laboratorijske kapacitete i kompetentne stručnjake.
NTC poseduje licence Federalne službe za tehničku i eksportnu kontrolu (Федеральная служба по техническому и экспортному контролю, ФСТЭК) Rusije za tehničku zaštitu poverljivih informacija, FSTEK za razvoj i proizvodnju sredstava za zaštitu poverljivih informacija i Federalne službe bezbednosti (FSB) Rusije za rad sa državnim tajnama”. No, otkriveni dokumenti povezuju ”Vulkan” sa hakerskim grupama ”Sandworm” (koja vodi GRU) i ”Cozy Bear”. ”Vulkan” je dobio ugovor da napiše softver pod nazivom ”Scan-V” za podršku traženju slabih tačaka u sistemima koji će biti ciljani.” Scan-V” je pušten u rad u maju 2018. Firma je 2016. dobila i inicijalni ugovor za kreiranje sistema pod nazivom ”Amezit”.
Najviše podataka o slučaju izneo je Roman Anin još 30. marta na sajtu ”Важные истории”.
Prema Aninu, kompanija zaista ”istražuje bezbednost” raznih objekata, ali ne radi njihove zaštite, već po nalogu ruskih specijalnih službi. Sudeći po internim dokumentima ”Vulkana”, razne jedinice Spolјne obaveštajne službe (Служба внашней разведки, СВР), Ministarstva odbrane i Federalne službe bezbednosti (FSB ФСБ) bile su njegove glavne mušterije.
Kao primer se piše o vojnoj jedinici 33949 koja je, navodno, bila jedan od najvećih naručilaca. Ona je zahtevala izradu različitih programa u okviru potreba državne odbrane. Jedinica 33949 je prema ”Важные истории” ”jedna od najvažnijih jedinica Spolјne obaveštajne službe. Tamo je služio Aleksandar Poteјev (Александр Николаевич Потеев, 1952-2016), bivši pukovnik odeljenja za obaveštajnu službu. Radio je u možda najvažnijem odeljenju Spoljne obaveštajne službe, ‘američkom’, koje je bilo odgovorno za aktivnosti ‘ilegalnih imigranata’ u SAD. Potejev je 2010. pobegao u Ameriku i predao FBI zavereničku mrežu ruskih obaveštajnih agenata.
Drugi važan klijent ”Vulkana” bila je vojna jedinica 64829, Centar za bezbednost informacija (Центр информационной безопасности, ЦИБ) FSB, poznat po mnogim hakerima koji rade pod njegovim okriljem, kao i po tome što su oficiri FSB koji su tamo služili nedavno osuđeni za izdaju.
No, osnovni deo arhive ”Vulkana” navodno se odonosi na projekte Ministarstva odbrane.
Tako je ”Vulkan” 2016. godine počeo da razvija softver pod kodnim nazivom ”Amezit”. Naručilac radova bilo je Odeljenje za napredna indervidovna istraživanja i specijalne projekte Ministarstva odbrane Rusije. Ovako je u dokumentima opisan cilj projekta: ”Razvoj hardversko-softverskog kompleksa (APK ”Amezit”, аппаратно-программный комплекс Амезит) za informaciono ograničavanje lokalnog područja i formiranje autonomnog segmenta mreže za prenos podataka na datim teritorijama. Zadaci dodeljeni “Amezitu” su se odnosili na: ”praćenje i analizu informacija u kanalima za prenos podataka, uključujući Internet, na određenim teritorijama; blokiranje pristupa nelegitimnim kanalima za prenos podataka, uključujući internet resurse, na određenim teritorijama; preusmeravanje zahteva klijenata na legitimne Internet resurse na određenim teritorijama; poboljšanje efikasnosti plasiranja i distribucije (podizanje rejtinga) posebnih materijala u kanalima prenosa podataka”.
Drugim rečima, Ministarstvo odbrane naručilo je ”Vulkanu” alat koji će pratiti sve korisnike Interneta na datoj teritoriji, blokirati nepoželjne sajtove i, umesto njih, plasirati propagandne članke koje promovišu botovi.
Anin tvrdi da ”stručnjaci za bezbednost informacija kojima su pokazami dokumenti, smatraju da je ovaj sistem kreiran za korišćenje u inostranstvu, uključujući i Ukrajinu. Jedan od glavnih uslova za rad kompleksa bio je fizički pristup telekomunikacionoj opremi”.
U arhivi ”Vulkana” nema podataka o tome gde je i kako korišćen deo ”Amezita” odgovoran za izolaciju interneta. Međutim, navodno si pronađeni primeri kako je promocija specijalnih materijala funkcionisala
Princip rada ”podsistema za pripremu, postavljanje i promociju specijalnih materijala” opisan je u posebnom korisničkom priručniku. Tamo su ukratko navedene glavne funkcije programa: ”automatizovano postavljanje specijalnih materijala na društvene mreže, blogove, mikroblogove i forume; poboljšanje efikasnosti distribucije (podizanja rejtinga) specijalnih materijala; automatizovana registracija korisničkih naloga pomoću ličnih podataka fiktivnih lica; izrada kopije profila subjekta iz stvarnog života; podrška za najmanje 100 korisničkih profila društvenih mreža sa jednog radnog mesta; obezbeđivanje ”stvarnog korisničkog efekta” u procesu diseminacije informativnih materijala tehničkim sredstvima promocije”. Drugim rečima, ovaj podsistem ”Amezita” je ”kontrolna soba” za ogromnu fabriku trolova. Naime, uz pomoć ovog programa, službenik Ministarstva odbrane navodno može jednim klikom da kreira stotine botova na raznim društvenim mrežama (Facebook, Twitter, YouTube), a zatim im ”poveri” razne zadatke: da objavljuju postove i video snimke, komentare, lajkove ili pregleda članaka.
”Vulkanovo” učešće u razvoju softvera za ruske sajber napade, vođenju fabrike trolova i izolovanju interneta ranije nije bilo poznato. Kompanija se ne nalazi na sankcionim listama ni SAD ni Evropske unije.