Aparentemente, a NTC Vulkan é apenas mais um negócio de consultadoria de cibersegurança, mas os engenheiros informáticos desta empresa dos subúrbios de Moscovo podem ser os "grandes mestres" por trás das operações militares de hacking e desinformação da Rússia no Mundo. A guerra Rússia vs Ocidente sofreu novos desenvolvimentos com a mais recente fuga de documentos confidenciais desta empresa de fachada.
Mais de cinco mil páginas de documentos secretos, consultada pelo "The Guardian", mostram como os engenheiros informáticos da NTC Vulkan trabalham para as agências militares e de inteligência russas, para apoiar operações de hacking, semear a desinformação e vigiar secções da Internet. Oficialmente, a Vulkan diz que é especializada em cibersegurança e os seus clientes são grandes empresas estatais russas, como o Sberbank, o maior banco do país; a companhia aérea nacional Aeroflot; e os caminhos-de-ferro russos.
Mas sabe-se agora que o trabalho da empresa está intimamente ligado ao FSB, agência de espionagem que sucedeu a KGB, bem como à agência central dos serviços secretos russos (conhecido como GRU, na sigla anglo-saxónica).
Os documentos, divulgados por um denunciante anónimo farto da guerra na Ucrânia, detalham um conjunto de programas informáticos e bases de dados que permitem às agências de informação russas e aos grupos de hacking encontrar melhor vulnerabilidades, coordenar ataques e controlar a atividade online. Os dados sugerem que a empresa estava a apoiar ataques, tanto ao nível da desinformação nos meios de comunicação social, bem como na perturbação remota de alvos do Mundo real, tais como sistemas de controlo marítimo, aéreo e ferroviário.
Dias após a invasão da Ucrânia, em fevereiro do ano passado, a fonte aproximou-se do jornal alemão "Süddeutsche Zeitung" e disse que o GRU e o FSB "se escondem atrás" de Vulkan. "As pessoas devem conhecer os perigos disto", disse o denunciante, citado pelo "The Guardian". "Devido aos acontecimentos na Ucrânia, decidi tornar esta informação pública. A empresa está a fazer coisas más e o governo russo é cobarde e mau. Estou zangado com a invasão da Ucrânia e com as coisas terríveis que ali estão a acontecer. Espero que possam usar esta informação para mostrar o que está a acontecer à porta fechada". Este tipo de fugas de informação são raras na Rússia devido ao controlo apertado do regime.
A fonte partilhou mais tarde os dados e mais informações, datadas entre 2016 e 2021, com a empresa de investigação "Munique Paper Trail Media". Durante vários meses, jornalistas que trabalham para 11 meios de comunicação social, incluindo o "The Guardian", "Washington Post" e "Le Monde", investigaram os ficheiros num consórcio liderado pela "Paper Trail Media" e "Der Spiegel". Cinco agências de informações ocidentais confirmaram que os ficheiros Vulkan parecem ser autênticos. A empresa e o Kremlin não responderam aos múltiplos pedidos de comentários por parte do consórcio.
Os peritos consultados não conseguiram encontrar provas concretas de que os sistemas tenham sido implantados pela Rússia ou utilizados em ciberataques específicos, mas os documentos descrevem testes e pagamentos pelo trabalho efetuado pela Vulkan para os serviços de segurança russos e vários institutos de investigação associados. A empresa tem clientes tanto governamentais como civis.
Principais descobertas
A fuga contém e-mails, documentos internos, planos de projeto, orçamentos e contratos e concedem uma visão interna dos planos do Kremlin para uma possível guerra cibernética. Ligam a Vulkan ao famoso grupo de hacking Sandworm, que o governo dos EUA disse já ter provocado dois apagões na Ucrânia, perturbado os Jogos Olímpicos na Coreia do Sul e lançado NotPetya, o malware mais destrutivo na história. A ferramenta Scan-V, partilhada pelos hackers e pela empresa, procura vulnerabilidades na Internet, que são depois armazenadas para utilização em futuros ciberataques.
Outro sistema descoberto foi o Amezit, que é responsável por vigiar e controlar a Internet em regiões sob o comando da Rússia. Uma parte da Amezit está virada para o mercado interno, permitindo que os operadores se apropriem e assumam o controlo da Internet se a agitação eclodir nalguma região russa, ou se o país ganhar um ascendente sobre o território de um Estado-nação rival, tal como a Ucrânia. O tráfego da Internet considerado politicamente nocivo pode ser removido antes de ter oportunidade de se espalhar.
Desde o início da invasão na Ucrânia, a Rússia prendeu manifestantes contra a guerra e aprovou leis para impedir a crítica pública ao que Putin chama de uma "operação militar especial". Os ficheiros da Vulkan contêm documentos ligados a uma operação do FSB para monitorizar a utilização dos meios de comunicação social dentro da Rússia a uma escala gigantesca, utilizando análise semântica para detetar conteúdos "hostis".
O Amezit permite que os militares russos realizem operações de desinformação encobertas em grande escala nos meios de comunicação social e através da Internet, com a criação de contas que se assemelham a pessoas reais online ou avatares. Os avatares têm nomes e fotografias pessoais roubadas, que são depois cultivadas durante meses para criar uma pegada digital realista.
Outro projeto desenvolvido pela Vulkan, e ligado a Amezit, é o Crystal-2V, uma plataforma de formação para ciberataques. Permite a utilização simultânea e simula ataques contra uma série de alvos essenciais de infraestruturas nacionais: linhas ferroviárias, estações elétricas, aeroportos, vias navegáveis, portos e sistemas de controlo industrial.
Alguns documentos na fuga de informação contêm o que parecem ser exemplos ilustrativos de potenciais alvos de Putin. Um deles contém um mapa com vários pontos sobre os EUA e outro contém os detalhes de uma central nuclear na Suíça.
"Estes documentos sugerem que a Rússia vê os ataques às infraestruturas civis e a manipulação dos meios de comunicação social como uma e a mesma missão, que é essencialmente um ataque à vontade de o inimigo de lutar", disse John Hultquist, vice-presidente da empresa de cibersegurança Mandiant, que analisou seleções do material a pedido do consórcio.
Funcionários inocentes
Devido à natureza intrusiva e destrutiva das ferramentas que a Vulkan foi contratada para construir, os engenheiros informáticos destes projetos podem ser encarados como espiões ou mercenários.
Até fevereiro de 2022, os funcionários da Vulkan podiam viajar livremente para a Europa Ocidental. Alguns vivem agora na Alemanha, Irlanda e outros países da União Europeia. Alguns trabalham para grandes tecnológicas, duas estão na Amazon Web Services e na Siemens. A Siemens recusou-se a comentar, mas disse que levava as questões da segurança "muito a sério". Já a Amazon garantiu que implementou "controlos rigorosos" e que proteger os dados dos clientes é a "prioridade máxima".
Estes documentos não esclarecem se os antigos engenheiros Vulkan agora no Ocidente representam um risco de segurança. A maioria, ao que parece, tem familiares na Rússia, uma vulnerabilidade que se sabe ter sido utilizada pelo FSB para pressionar os russos no estrangeiro a colaborarem com o regime.
Contactado por um jornalista do consórcio, um ex-funcionário manifestou o seu pesar por ter ajudado a agência de espionagem militar e doméstica da Rússia. "Para começar, não era claro para que seria utilizado o meu trabalho. Com o tempo, compreendi que não podia continuar, e que não queria apoiar o regime. Tinha medo que algo me acontecesse", revelou.
