Ruské zpravodajské služby spolupracovaly s moskevskou kybernetickou firmou Vulkan, aby posílily svoji schopnost provádět digitální útoky, šířit dezinformace a monitorovat konkrétní výseče internetu. Plyne to zhruba z pěti tisíc stran interních dokumentů Vulkanu, jež západním médiím poskytl anonymní zdroj zevnitř firmy.
Dokumenty podrobně popisují sadu počítačových programů a databází, které by ruským zpravodajským službám a hackerským skupinám umožnily lépe najít zranitelná místa, koordinovat útoky a kontrolovat online aktivitu.
Dokumenty naznačují, že firma podporovala šíření dezinformací na sociálních sítích a školila špiony ve vedení útoků na skutečné cíle. Z dokumentů však přímo neplyne, jestli ruské silové složky popsané programy v praxi využily.
Slabé místo
Únik citlivých materiálů je v ruských podmínkách výjimečný. Analytici jej považují za nezamýšlený důsledek rozhodnutí ruského prezidenta Vladimira Putina pustit se do války s Ukrajinou. „Jsem naštvaný na… hrozné věci, které se tam dějí,“ měl na to téma anonymní zdroj sdělit německému reportérovi.
Jeho totožnost zůstává neznámá a nejspíš neexistuje způsob, jak jeho úmysly ověřit. Analytici zpravodajských služeb a experti na kybernetickou bezpečnost, kteří materiály zkoumali, však dokumenty považují za pravé.
Ukazuje to na možné slabé místo ruského systému. Tajné služby samy nejsou schopny vést kybernetický konflikt v požadované kvalitě a musejí spoléhat na externisty, řekli britskému Guardianu a The Washington Post nezávisle na sobě odborníci na řečenou oblast.
To samo o sobě by nemusel být problém. Hlavní devízou ruských zpravodajských služeb však je vždy loajalita vůči systému, jemuž slouží. V případě externích pracovníků, u nichž jsou hlavním kritériem odborné znalosti, existuje daleko větší pravděpodobnost selhání takové loajality.
Proto také vypadá realisticky, že únik citlivých materiálů přišel právě z technologické firmy, jejíž kultura má k tradičnímu ruskému vertikálnímu modelu řízení daleko.
Co jsou Vulkan Files
Anonymně poskytnutých zhruba pět tisíc stran rozebírali novináři z organizací, z nichž většina již spolupracovala na zveřejnění takzvaných Panama Papers (dokumentů mapujících skryté majetkové struktury některých globálních mocenských hráčů). V čele projektu byly německé organizace Paper Trail Media, Der Spiegel, Süddeutsche Zeitung a ZDF. K partnerům patřily i britský The Guardian, francouzský Le Monde, švýcarská Tamedia, americký The Washington Post, dánská Danish Broadcasting Corporation, rakouský Der Standard a lotyšský server iStories.
Co přinesly Vulkan Files nového
1. Ruská armáda se snaží pomocí nových technologií provádět kybernetické útoky ve velkém
Moskevští kybernetičtí bojovníci nejsou nesourodou sbírkou hackerů, kteří jen tak nazdařbůh rozesílají ransomware. Jsou součástí státem podporovaného úsilí využívajícího moc ruského bezpečnostního aparátu k identifikaci kritických cílů a zranitelných bodů nepřítele. Uniklé dokumenty podrobně popisují plány identifikace a koordinace útoků v reálném čase. Dva hlavní projekty, nazvané Amezit a Skan, mají umožnit dezinformační kampaně na sociálních sítích a mapovat cíle vhodné k hackerským útokům. Třetí program, Crystal-2, nabízí školení reálných útoků na fyzickou infrastrukturu, včetně letecké, námořní a železniční dopravy.
2. Software se specializuje na identifikaci zranitelných bodů nepřítele
Software Vulkanu pročesává internetové sítě ve snaze nalézt cíle a „průnikové body“. Projekty umožňují klientům – rozuměj pracovníkům ruské vojenské rozvědky – ukazovat a klikat na potenciální cíle a zobrazovat počítačové sítě, e-mailové adresy a software, které by mohly být použity ke kompromitaci zadaných systémů. Mapy a ilustrace, jež dokumenty obsahují, jasně ukazují, že některé z těchto potenciálních cílů jsou (nikoli překvapivě) v západní Evropě a ve Spojených státech. Na jedné ilustraci figuruje mapa USA s vyznačenými místy vysoké koncentrace internetových serverů; jiná zobrazuje jadernou elektrárnu ve švýcarském Mühlebergu spolu s ministerstvem zahraničních věcí v Bernu. Není jasné, zda to byly cíle plánované pro skutečný útok, nebo jen hypotetické ke cvičnému využití.
3. Angažování Písečného červa
Zdá se nepochybné, že jedním z klientů Vulkanu je nejznámější ruská hackerská skupina, jíž západní analytici přes kybernetickou bezpečnost dali přezdívku Sandworm, Písečný červ. Důkazy v tom smyslu se v dokumentech objevují hned několikrát; nejvýrazněji o tom mluví pasáž, v níž činitel vojenské divize Sandwormu s kódovým označením 74455 schvaluje protokol přenosu dat pro jednu ze softwarových platforem od Vulkanu.
4. Automatizované dezinformační kampaně
Dokumenty ukazují, že automatizovaný systém umožňuje svým operátorům vytvářet falešné účty na Facebooku, Twitteru, YouTube a dalších platformách. Zároveň používá hardware známý jako „sim banka“, jímž lze hromadně odpovídat na ověřovací textové zprávy těchto platforem.
Software společnosti Vulkan je také navržen tak, aby umožnil operátorům sbírat fotografie a další informace k vytváření těchto falešných účtů. Umí rovněž načasovat online aktivity těchto neexistujících majitelů účtů způsobem natolik realistickým, že je laik jen obtížně odhalí. Po vytvoření falešných účtů je lze použít k zveřejňování informací, přidávání přátel, posílání přímých zpráv, nahrávání fotografií a videí a „lajkování“ příspěvků ostatních. Na tuto činnost se zaměřuje program Amezit, jejž dokumenty podrobně popisují.
5. Hacking se neomezuje na svět online
Dokument školicího programu Crystal-2 výslovně hovoří o schopnosti narušit infrastrukturu skutečného světa. Patří sem především systémy pro řízení leteckého, námořního a železničního provozu. Odborníci, kteří dokumenty zkoumali, se však rozcházeli v tom, zda tyto odkazy popisují útočné, nebo obranné techniky, které mají pomoci chránit ruskou infrastrukturu před útoky zvenčí.
Co je Písečný červ
Američtí (a další západní) kybernetičtí odborníci připisují hackerské skupině Sandworm četná a mnohdy efektní narušení internetového provozu. Patří k nim například narušení zahajovacího ceremoniálu zimních olympijských her v roce 2018 nebo spuštění a rozšíření malwaru známého jako NotPetya v roce 2017. Útok mířil na Ukrajinu, ale nakonec způsobil škody za více než deset miliard dolarů po celém světě, především poškozením lodní dopravy. Odborníci se domnívají, že Sandworm, který také dvakrát způsobil výpadky elektřiny na Ukrajině, zůstává aktivní v kyberútocích podporujících ruskou invazi. Vzhledem k rozsahu působení Sandwormu je jeho vztah k ruským tajným službám považován za velmi úzký (ačkoli neoficiální).
Co je Vulkan
Generální ředitel Anton Markov, dnes nakrátko střižený čtyřicátník, založil Vulkan v roce 2010 spolu s Alexandrem Iržavským. Oba absolvovali petrohradskou vojenskou akademii a sloužili v armádě.
Společnost je součástí ruského vojensko-průmyslového komplexu. Toto společenství zahrnuje špionážní agentury, komerční firmy a vysoké školy. Specialisté, jako jsou programátoři a inženýři, přecházejí z jedné branže do druhé.
Vulkan byl spuštěn v době, kdy Rusko rychle rozšiřovalo své kybernetické schopnosti. V roce 2011 získala firma zvláštní vládní licenci k práci na tajných vojenských projektech a státních tajemstvích. Zhruba šedesát z celkem asi 120 zaměstnanců firmy jsou softwaroví vývojáři. Zdroje britského Guardianu odhadují, že obdobně privilegované postavení může mezi ruskými ajťáky mít ne více než desítka firem.
Firemní kultura připomíná víc Silicon Valley než Lubjanku. Vulkan má firemní fotbalový tým a vedení zaměstnancům rozesílá motivační e-maily s tipy na fitness a oslavy narozenin. Jeho reklamní video používá slogan „Aby bylo na světě lépe“.
