Uma mega-investigação de um consórcio internacional de jornalistas revelou detalhes de programas de espionagem e ciberataques da NTV Vulkan, uma empresa de consultoria informática que trabalha com o Kremlin.
Um consórcio de jornalistas internacional teve acesso a uma enorme fuga de informação que revela os detalhes e planos da ciberguerra da Rússia.
No centro da investigação está a NTC Vulkan, uma empresa de consultoria informática aparentemente normal. Fundada em 2010 por Anton Markov, a firma adoptou uma cultura laboral semelhante à das gigantes tecnológicas de Silicon Valley — tem a sua própria equipa de futebol, os emails motivacionais são rotineiros e um vídeo promocional até mostra a frase “façam do mundo um lugar melhor”
No entanto, as aparência iludem. Mais de 5000 páginas de documentos vazados revelam que a empresa integra o complexo militar-industrial da Rússia e que está ligada à agência de inteligência FSB, lançando operações de pirataria informática e campanhas de desinformação em nome do Kremlin.
Desde 2011 que a Vulkan recebe licenças especiais do Governo para trabalhar em projectos confidenciais do exército. Tem cerca de 120 trabalhadores, sendo que grande parte dos funcionários formaram-se na Universidade Técnica de Bauman, que tem um longo historial de fornecimento de recrutas ao Ministério da Defesa da Rússia.
A revelação dos documentos, datados entre 2016 e 2021, partiu de um denunciante que se opõe à guerra na Ucrânia e que contactou o jornal alemão Süddeutsche Zeitung. Durante meses, jornalistas de 11 órgãos de comunicação internacionais, incluindo o The Guardian, a Der Spiegel, o Washington Post ou o Le Monde, trabalharam na investigação em torno da Vulkan.
Principais revelações
A fuga contém emails, documentos internos, planos de projeto, orçamentos e contratos e concedem uma visão interna dos métodos da ciberguerra do Kremlin. Um dos principais projectos da Vulkan foi com o grupo de hackers russos Sandworm, que terá estado por trás de grandes cortes de energia na Ucrânia em 2015 e também é suspeito de estar envolvido em operações de interferência nas eleições presidenciais nos EUA em 2016 e em França em 2017.
Também em 2017, lançou o maior ciberataque de sempre, com o malware NotPetya. Começando na Ucrânia, o software procurou dados e vulnerabilidades informáticas de hospitais, empresas de entregas, sistemas de correio e empresas farmacêuticas e espalhou-se para outros países. As informações recolhidas serão usadas em futuros ataques. Uma peça fundamental neste malware é o sistema Scan-V, que foi desenvolvido numa parceria com a Vulkan.
Outro sistema revelado nos documentos é o Amezit, que começou a ser desenvolvido pela Vulkan em 2016 e que ainda estava a ser aperfeiçoado em 2022. O software funciona fazendo a supervsão à internet em regiões controladas pela Rússia.
Uma parte deste software opera no mercado interno, permitindo a censura e o controlo da Internet se esta estiver a ser usada para, por exemplo, convocar protestos dentro da Rússia ou para disseminar informações “hostis” sobre o Kremlin.
O sistema pode também ser usado internacionalmente, como no caso dos territórios que a Rússia domina na Ucrânia. Para isto, o exército trata do acesso físico ao hardware, como as torres de transmissão da rede para os telemóveis. Quando este controlo é assegurado, o tráfego pode ser interceptado e a identidade das pessoas na internet pode ser descoberta. Este sistema será o trunfo das autoridades russas na detenção de protestantes anti-guerra.
O Amezit permite ainda a realização de operações de desinformação encobertas em grande escala, com a criação de contas que se assemelham a pessoas reais online ou avatares. Os avatares têm nomes e fotografias roubadas, e as contas falsas são aprimoradas durante meses para parecerem pertencer a pessoas reais.
De acordo com uma fonte familiarizada com o trabalho da Vulkan, a empresa também criou um programa de recolha de dados em massa para o FSB chamado Fraction. O sistema vasculha sites como o Facebook ou Odnoklassniki – o equivalente russo – em busca de palavras-chave, com o objectivo é identificar possíveis figuras da oposição.
Outro projecto desenvolvido pela Vulkan é o Crystal-2V, uma plataforma de formação para ciberataques. Permite a utilização simultânea e simula ataques contra uma série de infraestruturas nacionais essenciais: linhas ferroviárias, estações elétricas, aeroportos, portos ou parques industriais.
Alguns dos documentos mostram ainda potenciais alvos de ataques russos. Um dos ficheiros inclui um mapa com vários pontos sobre os EUA e outro tem informações sobre uma central nuclear na Suíça.
“Estes documentos sugerem que a Rússia vê os ataques às infraestruturas civis e a manipulação dos meios de comunicação social como uma e a mesma missão, que é essencialmente um ataque à vontade de o inimigo de lutar“, considera John Hultquist, vice-presidente da empresa de cibersegurança Mandiant, que analisou alguns dos documentos a pedido do consórcio.
Risco continuado?
Os engenheiros informáticos por trás destes programas podem ser considerados espiões dado o uso que é feito dos sistemas. No entanto, até à escalada de tensão com a Ucrânia em Fevereiro de 2022 e a enxurrada de sanções ocidentais, os funcionários da Vulkan podiam circular livremente pela Europa e alguns vivem actualmente em países da UE
Há até exemplos de ex-funcionários quue trabalham agors na Amazon e na Siemens. Questionadas sobre possíveis riscos de cibersegurança, ambas as empresas garantem que levam estas questões “muito a sério” e a Amazon garante que já avançou com “controlos rigorosos“.
Contactado por um jornalista do consórcio, um ex-funcionário da Vulkan mostrou-se arrependido. “Para começar, não era claro para que seria utilizado o meu trabalho. Com o tempo, compreendi que não podia continuar, e que não queria apoiar o regime. Tinha medo que algo me acontecesse“, revelou.