Эксперты продолжают анализировать публикации об утечке документов из российской IT-компании, имеющей тесные связи с российскими спецслужбами
В старом московском районе в восточной части города, в месте, называемом Соколиной горой, на улице Ибрагимова ранее располагался советский секретный завод, специализировавшийся на разработке и производстве систем управления военными самолетами и вертолетами. Сама организация - «Московский машиностроительный завод “Маяк”» - до сих пор существует, но большая часть его зданий давно превращена в заурядные, даже по российским меркам, офисные помещения, арендуемые разными мелкими компаниями, одной из которых является некий НТЦ «Вулкан», оказавшейся в центре внимания международного журналистского расследования, о котором ранее рассказывала Русская служба «Голоса Америки». Это расследование, в котором участвовали журналисты 11 изданий из 8 стран, включая одну из крупнейших американских газет - Washington Post и русскоязычный ресурс - «Важные истории», заключалось в изучении 5000 страниц внутренних документов НТЦ «Вулкан», переданных анонимным источником в немецкую газету Süddeutsche Zeitung год назад, после начала полномасштабного вторжения России в Украину. Как сообщила Washington Post, «трое бывших сотрудников НТЦ “Вулкан” на условиях анонимности подтвердили некоторые подробности, содержащиеся в предоставленных документах», из которых следует: между 2016 и 2021 годом компания разрабатывала для российских военных и разведывательных учреждений как техническую спецификацию, так и программное обеспечение, которое предположительно использовалось в хакерских атаках группы военной разведки МО РФ, известной как Sandworm, поскольку в документах НТЦ «Вулкан» встречается упоминание в/ч 74455, к которой они относятся. Издание «Важные истории» рассказало, что крупными заказчиками «Вулкана» были подразделения СВР (в/ч 33949) , Центр информационной безопасности ФСБ (в\ч 64829) и Министерство обороны РФ, по заказу которого в 2016 году НТЦ «Вулкан» создавал программу под названием «Амезит». Функции этой программы должны были включать возможность для российских чиновников отслеживать и фильтровать информацию о своих регионах в социальных сетях, а также создавать в них большое количество поддельных учетных записей для кампаний по дезинформации.
Как IT-сектор в России связан со спецслужбами?
Многие эксперты по разведке и кибербезопасности считают, что полученные документы также «описывают новые инструменты России для проведения наступательных киберопераций в мире», однако, сам факт сотрудничества спецслужб РФ с IT- компаниями ни у кого не вызывает удивления.
Натали Фогель, старший научный сотрудник Центра «Европейские ценности» (Nathalie Vogel, Senior Fellow European Values Center for Security Policy), рассказала, что «все крупные ИТ-компании, в том числе платформы и провайдеры в РФ, такие как Яндекс и ВКонтакте, хорошо известны своим сотрудничеством со спецслужбами».
Адрес и сама компания “Вулкан” могут быть просто “деревом, скрывающим лес”. В реальности, нет необходимости в официальном адресе для проведения таких операций. Это выглядит довольно неуклюжей косметикой
«Кремль давно готовил атаку на интернет: им удалось создать внутренний центр сертификации (TLS Certificate Authority), что позволило российским спецслужбам с помощью этого инструмента мониторить сайты, доступные в России. Трюк прост: поскольку сертификаты выдаются ими, а наличие закрытых ключей позволяет им расшифровывать весь трафик - анонимность невозможна, и все российские провайдеры находятся под наблюдением». По данным российских информационных сайтов, компания «Вулкан» была основана в 2010 году и насчитывает около 135 сотрудников. Исполнительный директор «Общества защиты интернета» Михаил Климарев, которого за его деятельность по защите свободы слова в российском интернете внесли в РФ в список «иностранных агентов», крайне скептически относится к компании «Вулкан», считая ее незначительным участником в процессе «срастания спецслужб с IT-сектором» России. Подробнее познакомившись с отдельными документами по проекту «Амезит», Климарев отметил, что в нем «наукообразно и слабо описана “грандиозная на вид” технология, которая позволяет чуть ли не управлять деятельностью оператора связи». Однако, по мнению эксперта, те суммы, которые фигурируют в документации компании «слишком малы для создания серьезного софта, не говоря уж о системе управления им». С этим согласна и Натали Фогель: «Адрес и сама компания “Вулкан” могут быть просто “деревом, скрывающим лес”. В реальности, нет необходимости в официальном адресе для проведения таких операций. Это выглядит довольно неуклюжей косметикой». При этом компания, похоже, никогда и не скрывала своих связей со спецслужбами. Например, на корпоративной странице в Facebook, руководитель «Вулкана» Антон Марков поздравляет с юбилеем «Ассоциацию документальной электросвязи», под крылом которой собрались сотрудники соответствующих подразделений ФСБ и Минобороны РФ.
Кроме того, на сайте компании открыто обозначено сотрудничество с Федеральной службой по техническому и экспортному контролю (ФСТЭК РФ), согласно требованиям которой «Вулкан» проводит «аттестацию информационной безопасности» для клиентов, что, по мнению Климарева, «выглядит довольно подозрительно, учитывая возможную коррупционную составляющую». В качестве подобного примера, Климарев приводит компанию КриптоПро - «лидера услуг криптографии на территории РФ», про «связь которой с ФСБ», по словам Климарева «знает весь рынок», но без услуг которой «не может обойтись ни один банк в России». Легко ли справиться с роботизированной «фабрикой троллей»? В одном из документов «Вулкана» описывается, как использовать SIM-карты мобильных телефонов для обхода проверок новых учетных записей в Facebook, Twitter, и других социальных сетях. Журналисты из разных изданий сошлись во мнении, что, вероятно, эти приемы использовались для многочисленных кампаний по дезинформации в нескольких странах. Ника Алексеева, исследователь цифровой дезинформации из Лаборатории цифровых криминалистических исследований «Атлантического Совета» (Nika Aleksejeva, Lead Digital Forensic Researcher, DFRLab, Atlantic Council) считает, что «к сожалению, объем оказывается важнее качества контента» при роботизированном распространении пропаганды и дезинформации.
Если вы хотите противодействовать распространению дезинформации, вам нужно уметь управлять фактором времени. В идеале, - предварительная блокировка, вместо разоблачения
«Если человек постоянно подвергается воздействию подобных сообщений, он привыкают к ним. Если у человека не было каких-либо предварительных условий для того, чтобы игнорировать информацию, как ложную, то повторное знакомство с одной и той же информацией делает ее для него более правдоподобной, - пояснила эксперт, добавив, - автоматизация экономит время сотрудников, участвующих в “онлайн-кампании троллей”, поэтому они могут уделять больше времени сложному контенту». При этом, в создании самой программы автоматизации эксперты не видят ничего особенного. Натали Фогель считает, что «даже начинающий программист может это сделать». Михаил Климарев, при этом, указал на то, что в открытом доступе уже существует множество программного обеспечения для этого. Главным элементом, по мнению эксперта в области IT, все равно является содержание постов и материалов, которые пока может создавать только человек. Климарев считает, что, в конце концов, «все сводится к распространению спама». «Однако Твиттер забит ботами и без российских “мастеров”, но в Фейсбуке такой “потоп спама” создать невозможно. В Telegram также нельзя этого сделать. Ну, не погрязли ж мы все на Земле в этой куче спама? - восклицает эксперт, - Спамеры - довольно наглые, беспринципные, отвратительные люди, без признаков элементарной порядочности. И уверяю, если б эта публика могла - она бы захватила весь мир, но этого же не произошло? Против них в мире работает множество программистов и они справляются». При этом, по мнению Натали Фогель, пропагандисты «могут использовать даже искусственный интеллект для создания поддельного контента и его распространения, однако в ответ будут использоваться точно такие же технологии для выявления этого поддельного контента и его нейтрализации». «Единственная проблема здесь - скорость. Если вы хотите противодействовать распространению дезинформации, вам нужно уметь управлять фактором времени. В идеале, - предварительная блокировка, вместо разоблачения», - объяснила эксперт. Насколько серьезна киберугроза со стороны России? В своей публикации Washington Post сообщило также, что на «нескольких макетах пользовательского интерфейса для проекта «Амезит», компании «Вулкан» изображены «примеры возможных целей взлома, в том числе - Министерство иностранных дел Швейцарии и атомная электростанция в этой стране. В другом документе показана карта Соединенных Штатов с кластерами интернет-серверов».
Подобно концепции взаимного возмездия при применении ядерного оружия, можно было бы рассмотреть концепцию гарантированного взаимного уничтожения в киберпространстве
«Самым сложным этапом для специалистов по киберзащите является атрибуция источника атаки. Конечно, можно проводить политику агрессивного сдерживания. Это означало бы возмездие и буквальное выключение света в Москве. Подобно концепции взаимного возмездия при применении ядерного оружия, можно было бы рассмотреть концепцию гарантированного взаимного уничтожения в киберпространстве», - заявила Натали Фогель. Неясно, какая из программ компании «Вулкан» была завершена и используется, а не просто разработана и заказана российскими военными, в том числе подразделениями, связанными с ГРУ МО РФ. Однако в документах «Вулкана» упоминаются государственные испытания, что указывает на то, что, по крайней мере, пробные версии некоторых программ были активированы. Что еще должно быть запрещено для экспорта в РФ? Особое беспокойство у экспертов вызывает то, что «Вулкан» намеревался использовать западное оборудование для настройки систем российских служб кибербезопасности. В проектной документации неоднократно упоминается американская продукция, в том числе, процессоры Intel и маршрутизаторы Cisco. На сайте компании указано, что у компании были связи и другими американскими компаниями, в том числе, с IBM, Boeing и Dell. Михаил Климарев уверен, что, при том, что ввести эмбарго типа «поправки Джексона-Вэника» в 21 веке вряд ли удастся, необходимо усиливать санкции и внимательно следить за их эффективностью. Прежде всего, по мнению эксперта в области информационных технологий, нужно «запретить и отслеживать любые продажи Deep Packet Inspection (DPI — технологий проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика, а также накопления статистических данных - прим «Г.А.»), которые используются в решении сетевых проблем и в блокировки вирусов». При этом, Климарев уверен, что следует ввести «жесткое ограничение на экспорт в РФ многих наименований в электронной промышленности (микросерверов, микропроцессоров, полупроводников), электротехнической продукции (различных электродвигателей, включая малогабаритные для дронов), приборов видеонаблюдения, особенно микроприборов». Михаил Климарев полагает, что настало время для вторичных санкций за поставку данной продукции через третьи страны, такие, как Китай и Казахстан. Российские «айтишники»: кому должен быть запрещен въезд? Хотя, по данным Михаила Климарева, IT-специалистов, способных проводить хакерские операции, сегодня в России около 3000 человек, он не считает это «большим числом, так как многие из них совершенно не мотивированы для этих действий».
У талантливых ребят появится четкий выбор: или они уезжают из России и перед ними открывается весь мир информационных технологий с перспективой хорошей карьеры в нем, или они идут на работу в российские компании, которые контролируют Лубянка и ГРУ
Некоторые бывшие сотрудники «Вулкан» позже работали в крупных западных компаниях, включая Amazon и Siemens, говорится в публикации Washington Post. Возможное проникновение российских спецслужб «под прикрытием срочной эмиграции российских IT-специалистов» - опасность, которую «необходимо учитывать контрразведчикам стран, предоставивших им убежище», - убеждена Натали Фогель. «Мы знаем, что российские спецслужбы преуспели в операциях по внедрению. Действительно, местоположение ничего не меняет, есть VPN, множество инструментов для маскировки истинного местоположения хакеров. Так что на самом деле не имеет значения, откуда действуют хакеры - из России, или из-за рубежа. Но оказавшись за границей, перед хакером может быть поставлена задача завербовать новую ячейку, провести сбор информации, операцию по наблюдению, операцию по разведке кибератак на инфраструктуру. Это реальная опасность», - утверждает эксперт. Ника Алексеева подчеркнула, что утечка документов НТЦ «Вулкан» и последующее расследование - «очень важны, так как позволяют связать многие ранее известные кампании иностранного вмешательства с конкретной IT-компанией в России, ранее не входившей ни в один санкционный список». «Я не могу оценить, сколько таких компаний сотрудничает со спецслужбами России, но не удивлюсь, если их окажется больше», - заключила эксперт. Для того, чтобы «на Западе не началась настоящая “охота на ведьм” среди “айтишников”, покинувших Россию из-за несогласия с полномасштабной агрессией против Украины, или из-за мобилизации», Михаил Климарев предлагает начать вести «черный список компаний и АТ-специалистов», которые имели отношения с российскими спецслужбами. «Тогда у талантливых ребят появится четкий выбор: или они уезжают из России и перед ними открывается весь мир информационных технологий с перспективой хорошей карьеры в нем, или они идут на работу в российские компании, которые контролируются Лубянкой и ГРУ, и жизнь их замыкается в этом кругу. Например, если работал в “Лаборатории “Касперского” - тебя никто в мире на работу больше не возьмет - такое решение было бы справедливым», - считает Михаил Климарев.
Автор Стан Прибылов, Русская служба «Голоса Америки». Статью к публикации подготовили добровольцы Центра Гражданского Сопротивления "Res Publica". Иллюстрация статьи Port Technology International.