As agências de inteligência da Rússia trabalharam com uma empresa de defesa sediada em Moscou para fortalecer a capacidade de lançar ataques cibernéticos, espalhar desinformação e vigiar áreas da internet, segundo um dossiê de documentos confidenciais obtidos por um consórcio de veículos de imprensa.
Os documentos detalham um conjunto de softwares e bancos de dados que aumentariam a capacidade de agências de inteligência russas e grupos de hackers de encontrar vulnerabilidades cibernéticas, coordenar ataques e controlar atividades online. O dossiê sugere que a empresa apoiava operações na internet que incluem a disseminação de desinformação nas mídias sociais e interrupção de sistemas de controle marítimo, aéreo e ferroviário, que afetaria uma logística de serviços.
O dossiê se refere às atividades da empresa NTC Vulkan e foi vazado por uma fonte anônima para um repórter alemão, após a invasão da Rússia à Ucrânia, e depois compartilhado pelo repórter a outros veículos. O vazamento, uma ocorrência incomum para o complexo setor militar secreto da Rússia, demonstra outra consequência inesperada da decisão de Vladimir Putin de iniciar a guerra.
Os documentos foram submetidos a pedido do Washington Post e de outros veículos de imprensa a funcionários de cinco agências de inteligência ocidentais e diversas empresas de segurança cibernética, que dizem acreditar que os documentos são autênticos. Eles não conseguiram concluir se os programas da NTC Vulkan foram implantados pela Rússia ou utilizados em ataques cibernéticos específicos, mas os documentos descrevem versões de testes e pagamentos realizados pelo trabalho.
A Vulkan tem clientes governamentais e civis. Segundo os documentos, eles realizaram serviços para as instituições de segurança do Kremlin e outros institutos de pesquisa associados.
Há, por exemplo, descrições de trabalho para o grupo de hackers do Kremlin, chamado Sandworm. Autoridades dos EUA acusaram o Sandworm de causar duas vezes apagões de energia na Ucrânia e interromper as cerimônias de abertura dos Jogos Olímpicos de Inverno de 2018.
A Vulkan e os funcionários do Kremlin não responderam aos pedidos de comentários.
Mais da Rússia
O dossiê contém mais de 5 mil páginas de documentos, datados entre 2016 e 2021, e inclui manuais, fichas de especificações técnicas e detalhes de softwares que a Vulkan projetou para a infraestrutura militar e de inteligência da Rússia. Também há e-mails internos da empresa, registros financeiros e contratos que mostram o tamanho e a amplitude das operações cibernéticas do Kremlin.
Isso inclui programas para criar perfis falsos em redes sociais e software que podem identificar e armazenar listas de fragilidades em sistemas de computadores em todo o mundo.
Um projeto nomeado Amezit, incluído no dossiê, indica possíveis alvos dos hackers, como o Ministério das Relações Exteriores da Suíça e uma usina nuclear no mesmo país. Um mapa dos Estados Unidos com áreas circuladas levanta a suspeita de que a empresa mapeava a localidade de diversos servidores de internet. Um dos locais é rotulado de “Fairfield” (campo falho, em tradução livre).
Outro documento descreve um “cenário de usuário”, no qual as equipes de hackers identificariam roteadores sem segurança na Coreia do Norte, presumivelmente para uso potencial em um ataque cibernético.
Entretanto, os documentos não incluem listas de alvos, código de software malicioso ou evidências que ligam os projetos a ataques cibernéticos conhecidos. Ainda assim, eles oferecem sugestões sobre os objetivos do Estado russo, que – como outras grandes potências, incluindo os EUA – corre para desenvolve e sistematizar a capacidade de conduzir ataques cibernéticos com maior velocidade, escala e eficiência.
“Esses documentos sugerem que a Rússia vê ataques a infraestrutura crítica civil e manipulação das redes sociais como uma única e mesma missão, que é essencialmente um ataque à vontade de lutar do inimigo”, disse John Hultquist, vice-presidente de análise de inteligência da Mandiant, uma empresa de segurança cibernética, que revisou as seleções do documento a pedido do Washington Post e outros veículos.
Pilar crítico
Sob anonimato, um analista avaliou que o papel da NTC Vulkan para uma guerra cibernética é considerado “muito significativo”, especialmente para a agência de inteligência militar russa, a GRU. “Trata-se de um pilar crítico da pesquisa e desenvolvimento cibernético de ataque do GRU. Eles fornecem expertise que o GRU pode não ter em um determinado assunto. Os serviços de espionagem podem fazer operações cibernéticas sem eles, mas provavelmente não de maneira tão eficiente”.
Registros financeiros da Vulkan, obtidos separadamente por veículos de imprensa, confirmam informações do dossiê e detalham milhões de dólares em transações entre eles e agências militares ou de inteligência da Rússia.
Especialistas em inteligência e segurança cibernética avaliaram que os detalhes nos documentos também estão de acordo com informações coletadas sobre programas de hackers do Kremlin e parecem descrever novas ferramentas para permitir ataques cibernéticos maiores. A Vulkan, disseram eles, é uma das dezenas de empresas privadas conhecidas por fornecer recursos cibernéticos personalizados para serviços de segurança russos.
O dossiê sugere que muitos programas foram encomendados pelos militares russos e desenvolvidos pela empresa, mas especialistas afirmam que não está claro quais programas foram concluídos e implantados. Há correspondências com pedidos de testes, mudanças nos programas e projetos finalizados – o que sugere, ao menos, a existência de versões testes que podem ter sido ativadas.
Um funcionário de uma agência de inteligência ocidental afirmou, sob anonimato, que documentos como os apresentados não estão vistos com frequência e que não deveria ser visto publicamente. “Mas faz sentido prestar atenção (neles). Porque você entende melhor o que o GRU está tentando fazer”, declarou.
O Grupo de Análise de Ameaças do Google, principal caçador de ameaças cibernéticas da big tech, encontrou evidências em 2012 de que a Vulkan era utilizada pelo serviço de inteligência estrangeiro da Rússia. Segundo a investigação da empresa, um e-mail com um teste suspeito estava sendo enviado de uma conta Gmail para uma conta Vulkan, que havia sido configurada pela mesma pessoa da outra conta. “[O] uso de mensagens de teste é uma prática comum para testar e-mails de phishing antes de seu uso”, disse o Google.
Após esse e-mail de teste, os analistas do Google viram o mesmo endereço Gmail sendo usado para enviar um malware conhecido por ser utilizado pelo serviço de inteligência estrangeiro da Rússia.
Referências à empresa também podem ser encontradas no VirusTotal, um serviço do Google com um banco de dados de softwares maliciosos, que serve como recurso para pesquisadores de segurança. O banco mostra a existência de um arquivo chamado “Secret Party NTC Vulkan”, um malware que finge ser convite de férias e pode assumir o controle do computador de quem baixá-lo.
O convite — aparentemente inofensivo — baixa automaticamente a ilustração de um grande urso ao lado de uma garrafa de champanhe e duas taças. A imagem é rotulada como “APT Magma Bear”, uma referência à rotulagem de grupos de hackers russos por autoridades de segurança cibernética ocidentais com codinomes ursine. APT refere-se a “Ameaça Persistente Avançada”, um termo de segurança cibernética para os grupos de hackers mais sérios, que normalmente são administrados por países como a Rússia.
Laços com corporações ocidentais
A Vulkan foi fundada em 2010 e tem cerca de 135 funcionários, de acordo com sites russos de informações comerciais. O site da empresa diz que a sede principal fica em Moscou. Um vídeo promocional no site da empresa a descreve como uma startup de tecnologia que “resolve problemas corporativos” e tem um “ambiente de trabalho confortável” com o objetivo de “tornar o mundo um lugar melhor”. O vídeo promocional não menciona os serviços para agências militares e de inteligência.
Alguns ex-funcionários da Vulkan trabalharam posteriormente para grandes empresas ocidentais, incluindo Amazon e Siemens. Ambas as empresas não contestam a informação e dizem que os controles corporativos internos oferecem proteção de dados confidenciais.
Os documentos também mostram que a Vulkan pretendia usar uma variedade de hardware fabricado nos EUA na configuração de sistemas para serviços de segurança russos. Os documentos de projeto se referem repetidamente a produtos americanos, incluindo processadores Intel e roteadores Cisco.
Existem outras conexões com empresas americanas. Algumas dessas empresas, incluindo IBM, Boeing e Dell, já trabalharam com a Vulkan, de acordo com seu site. O trabalho é descrito como desenvolvimento de software comercial sem vínculos óbvios com operações de inteligência e hacking. Representantes da IBM, Boeing e Dell não contestaram que essas entidades trabalharam anteriormente com a Vulkan, mas disseram que agora não têm nenhum relacionamento comercial com a empresa.
Desinformação automatizada
O tesouro de documentos inicialmente foi compartilhado com um repórter do jornal alemão Süddeutsche Zeitung . O consórcio que examina os documentos tem 11 membros – incluindo The Post, The Guardian, Le Monde, Der Spiegel, iStories, Paper Trail Media e Süddeutsche Zeitung – de oito países.
Entre as milhares de páginas de documentos vazados do Vulkan estão projetos projetados para automatizar e permitir operações em unidades de hackers russas.
A Amezit, por exemplo, detalha táticas para automatizar a criação de um grande número de contas falsas de mídia social para campanhas de desinformação. Um documento no cache vazado descreve como usar bancos de cartões SIM de telefones celulares para burlar verificações de novas contas no Facebook, Twitter e outras redes sociais.
Repórteres do Le Monde, Der Spiegel e Paper Trail Media, trabalhando a partir de contas do Twitter listadas nos documentos, encontraram evidências de que essas ferramentas provavelmente foram usadas para inúmeras campanhas de desinformação em vários países.
A apuração descobriu tweets de 2016 – quando agentes de desinformação russos estavam trabalhando para impulsionar o candidato presidencial republicano Donald Trump e minar a democrata Hillary Clinton – com links direcionados para um site que alegava que Clinton havia feito “uma tentativa desesperada” de “recuperar a liderança” buscando apoio estrangeiro.
Os repórteres também encontraram evidências de que o programa Amezit está sendo usado para criar contas falsas em redes sociais dentro e fora da Rússia para promover narrativas alinhadas com a propaganda oficial do Kremlin, incluindo negações de que os ataques russos na Síria mataram civis.
O Amezit tem outros recursos criados para permitir que as autoridades russas monitorem, filtrem e vigiem seções da Internet nas regiões que controlam. Os documentos sugerem que o programa contém ferramentas que moldam o que os usuários da Internet verão nas mídias sociais.
O projeto é repetidamente descrito nos documentos como um complexo de sistemas para “restrição de informações da área local” e a criação de um “segmento autônomo da rede de transmissão de dados”.
Um rascunho de manual de 2017 para um dos sistemas Amezit oferece instruções sobre a “preparação, colocação e promoção de materiais especiais” – provavelmente propaganda distribuída usando contas falsas de mídia social, telefonemas, e-mails e mensagens de texto.
