秘密宝藏提供了对俄罗斯网络战野心的罕见观察

根据数千页的机密公司文件，俄罗斯情报机构与总部位于莫斯科的国防承包商合作，以加强他们发动网络攻击、传播虚假信息和监视互联网部分的能力。

这些文件详细介绍了一套计算机程序和数据库，使俄罗斯的情报机构和黑客组织能够更好地发现漏洞、协调攻击和控制在线活动。这些文件表明，该公司正在支持包括社交媒体虚假信息和培训在内的行动，以远程破坏现实世界的目标，例如海上、空中和铁路控制系统。

一位匿名人士在对俄罗斯袭击乌克兰表示愤慨后，将承包商 NTC Vulkan 的文件提供给了一名德国记者。这次泄密事件对于俄罗斯的秘密军事工业园区来说是一件不寻常的事情，它表明了弗拉基米尔普京总统决定让他的国家参战的另一个意想不到的后果。

五家西方情报机构和几家独立网络安全公司的官员表示，在应《华盛顿邮报》和几家合作新闻机构的要求审查了摘录后，他们相信这些文件是真实的。

这些官员和专家找不到确凿的证据证明这些系统已被俄罗斯部署或用于特定的网络攻击，但文件描述了 Vulkan 为俄罗斯安全部门和几个相关研究机构所做的工作的测试和付款。该公司既有政府客户，也有民间客户。

该宝藏为了解俄罗斯军方和间谍机构的秘密企业交易提供了难得的机会，包括臭名昭著的政府黑客组织 Sandworm 的工作。美国官员指责 Sandworm 两次导致乌克兰停电，扰乱了 2018 年冬季奥运会的开幕式，并启动了历史上最具经济破坏性的恶意软件 NotPetya。

其中一份泄露的文件提到了 Sandworm 军事情报部门的编号 74455，这表明 Vulkan 正在准备供精英黑客小队使用的软件。这份未署名的 11 页文件日期为 2019 年，显示一位 Sandworm 官员批准了其中一个平台的数据传输协议。

公司在做坏事，俄罗斯政府是懦弱和错误的，在入侵乌克兰后不久向德国记者提供文件的人说。然后，记者将这些信息分享给了一个新闻机构联盟，其中包括华盛顿邮报，由总部位于德国的 Paper Trail Media 和 Der Spiegel 领导。

这位通过加密聊天应用程序与记者交谈的匿名人士在结束联系前拒绝透露自己的身份，并宣称出于安全原因需要“像幽灵一样”消失。

我对入侵乌克兰和那里发生的可怕事情感到愤怒，该人士说。我希望你能利用这些信息来展示闭门造车的情况。

该公司总部接听电话的一名员工证实，已收到一封带有疑问的电子邮件，并表示“如果他们感兴趣，”将由公司官员答复。

2016 年至 2021 年之间的 5000 多页文件缓存，包括 Vulkan 为俄罗斯军方和情报机构设计的软件的手册、技术规格表和其他详细信息。它还包括公司内部电子邮件、财务记录和合同，这些都显示了俄罗斯网络运营的雄心和莫斯科外包工作的广度。

这包括创建虚假社交媒体页面的程序和软件，这些程序可以识别和储存全球计算机系统中的漏洞列表，以备将来可能的攻击目标。

一个名为 Amezit 的项目的用户界面的几个模型似乎描述了可能的黑客攻击目标的例子，包括瑞士外交部和该国的一座核电站。另一份文件显示了一张美国地图，其中的圆圈似乎代表互联网服务器集群。

一张美国地图，圆圈似乎代表互联网服务器集群，这是泄露文件的一部分。

一个名为 Skan 的 Vulkan 平台的插图提到了美国的一个位置，标记为“Fairfield”，作为查找网络漏洞以用于攻击的地方。另一份文件描述了一个“用户场景”，其中黑客团队将识别朝鲜的不安全路由器，可能用于网络攻击。

然而，这些文件不包括经过验证的目标列表、恶意软件代码或将项目与已知网络攻击联系起来的证据。尽管如此，它们仍然提供了对俄罗斯国家目标的洞察力与包括美国在内的其他大国一样渴望发展和系统化其以更快的速度、规模和效率进行网络攻击的能力。

这些文件表明，俄罗斯将对民用关键基础设施的攻击和对社交媒体的操纵视为一项任务，这本质上是对敌人战斗意志的攻击，网络安全公司负责情报分析的副总裁说。Mandiant 应邮报及其合作伙伴的要求审查了文件的选择。

一个关键支柱

一位不愿透露姓名的西方情报分析师表示，承包商在俄罗斯网络战中的作用“非常重要”，尤其是对于通常称为 GRU 的俄罗斯军事情报机构而言。“它们是 GRU 进攻性网络研究和开发的重要支柱。他们提供 GRU 在特定问题上可能缺乏的专业知识。间谍服务可以在没有它们的情况下进行网络操作，但可能效果不佳。”

由于害怕遭到报复而不愿透露姓名的三名前 Vulkan 员工证实了有关该公司的一些细节。新闻机构单独获得的 Vulkan 财务记录在多个实例中与文件中的引用相符，详细说明了已知的俄罗斯军方或情报实体与该公司之间价值数百万美元的交易。

2020 年，美国联邦调查局匹兹堡外地办事处负责人、负责特工迈克尔·克里斯特曼在华盛顿向记者讲述了美国通缉的六名俄罗斯军事情报官员。

情报和网络安全专家表示，文件中的细节也与收集到的有关俄罗斯黑客计划的信息相吻合——包括在之前的一次较小规模的泄密事件中——并且似乎描述了用于实施网络攻击行动的新工具。他们说，Vulkan 是为俄罗斯安全部门提供量身定制的网络功能的数十家私营公司之一。

专家警告说，目前尚不清楚哪些项目已经完成和部署，而不是仅仅由俄罗斯军方（包括与 GRU 相关的单位）开发和订购。然而，这些文件确实提到了国家规定的测试、客户期望的更改和已完成的项目，强烈建议至少激活了一些程序的试用版。

“您不会经常找到这样的网络图和设计文档。这真的是非常复杂的东西。这并不意味着要公开展示，”一位不愿透露姓名的西方情报官员说，分享对敏感调查结果的坦率评估。“但注意是有道理的。因为你能更好地理解 GRU 想要做什么。”

谷歌的威胁分析小组是这家科技公司首屈一指的网络威胁猎手，他们在 2012 年发现了俄罗斯外国情报机构 SVR 使用 Vulkan 的证据。研究人员观察到一封可疑的测试网络钓鱼电子邮件从 Gmail 帐户发送到由同一个人（显然是公司员工）设置的 Vulkan 电子邮件帐户。

谷歌在一份声明中说：“使用测试消息是在使用之前测试网络钓鱼电子邮件的常见做法。” 在那封测试电子邮件之后，谷歌分析师发现同一个 Gmail 地址被用来发送已知被 SVR 使用的恶意软件来攻击其他目标。

一位不愿透露姓名的谷歌分析师在描述敏感发现时表示，这对 Vulkan 员工而言“不是最明智的举动”。“这绝对是一个失误。”

在 VirusTotal 中也可以找到对该公司的引用，这是一项谷歌拥有的服务，其中包含一个恶意软件数据库，是安全研究人员的资源。

标有“Secret Party NTC Vulkan”的文件是伪装成通常控制用户计算机的恶意软件的假期邀请。邀请——显然是无害的——自动下载了一只大熊的插图，旁边是一瓶香槟和两个玻璃杯。

该图像被标记为“APT Magma Bear”，指的是西方网络安全官员用熊代号标记俄罗斯黑客组织。APT 指的是“高级持续威胁”，这是最严重的黑客组织的网络安全术语，通常由俄罗斯等民族国家运营。

邀请函上写着“APT Magma Bear 祝您和您的家人度过一个美好的假期，并度过一个健康祥和的新年！” 当苏联军乐在背景中播放时。

与西方公司的联系

据俄罗斯商业信息网站称，Vulkan 成立于 2010 年，拥有约 135 名员工。该公司网站称其总部位于莫斯科东北部。

公司网站上的一段宣传视频将 Vulkan 描绘成一家“解决公司问题”并拥有“舒适的工作环境”的斗志旺盛的科技初创公司。最后宣布 Vulkan 的目标是“让世界变得更美好”。

宣传视频没有提到军事或情报承包工作。

“工作很有趣。我们使用了最新的技术，”一名前雇员在接受采访时说，由于担心遭到报复而要求匿名。“人们真的很聪明。而且钱很好。”

一些前 Vulkan 员工后来在西方大公司工作，包括亚马逊和西门子。两家公司都发表声明，对前 Vulkan 员工为他们工作没有异议，但他们表示，内部公司控制可防止未经授权访问敏感数据。

这些文件还显示，Vulkan 打算使用一系列美国硬件来为俄罗斯安全服务设置系统。设计文件多次提到美国产品，包括英特尔处理器和思科路由器，这些产品应该用于为俄罗斯军方和情报部门配置“硬件-软件”系统。

与美国公司还有其他联系。据 Vulkan 网站称，其中一些公司，包括 IBM、波音和戴尔，曾与 Vulkan 合作过，该网站描述的商业软件开发工作与情报和黑客行动没有明显联系。IBM、波音和戴尔的代表对这些实体之前与 Vulkan 合作没有异议，但表示他们现在与该公司没有任何业务关系。

自动虚假信息

这些文件最初是与德国报纸《南德意志报》的一名记者共享的。审查这些文件的联盟有来自八个国家的 11 名成员——包括邮报、卫报、世界报、明镜周刊、iStories、Paper Trail Media 和南德意志报。

在泄露的数千页 Vulkan 文档中，有一些项目旨在自动化和支持俄罗斯黑客部门的操作。

例如，Amezit 详细介绍了为虚假信息活动自动创建大量虚假社交媒体帐户的策略。泄露的缓存中的一份文件描述了如何使用手机 SIM 卡银行来绕过 Facebook、Twitter 和其他社交网络上新帐户的验证检查。

Le Monde、Der Spiegel 和 Paper Trail Media 的记者通过文件中列出的 Twitter 账户开展工作，发现有证据表明这些工具可能已被用于多个国家的大量虚假信息宣传活动。

其中一项努力包括 2016 年发布的推文——当时俄罗斯的虚假信息特工正在努力提振共和党总统候选人唐纳德特朗普并削弱民主党人希拉里克林顿——链接到一个网站，声称克林顿“孤注一掷”通过寻求外国支持“重新获得领导地位”在意大利。

记者还发现了该软件被用于在俄罗斯境内外创建虚假社交媒体账户的证据，以推动与官方国家宣传相一致的叙述，包括否认俄罗斯在叙利亚的袭击造成平民死亡。

文件显示，Amezit 还有其他功能，旨在让俄罗斯官员在他们控制的地区监控、过滤和监视互联网部分。他们建议该程序包含可以塑造互联网用户在社交媒体上看到的内容的工具。

该项目在文件中被反复描述为“本地信息限制”和创建“数据传输网络的自治段”的系统综合体。

其中一个 Amezit 系统的 2017 年手册草案提供了有关“特殊材料的准备、放置和推广”的说明——很可能是使用虚假社交媒体账户、电话、电子邮件和短信进行的宣传。

映射关键基础设施

2016 年设计文档中的一个模型允许用户将光标悬停在地图上的某个对象上，并显示 IP 地址、域名和操作系统以及有关“物理对象”的其他信息。

一个这样的物理对象——以荧光绿色突出显示——是位于瑞士伯尔尼的外交部，它显示了一个假设的电子邮件地址和“攻击目标”以“获得根用户权限”。地图上突出显示的另一个对象是伯尔尼以西的 Muhleberg 核电站。它于2019年停止发电。

Muhleberg 核电站在一张地图上突出显示。

2016 年，瑞士首都伯尔尼附近的 Muhleberg 核电站。

网络威胁情报公司 CrowdStrike 的联合创始人表示，这些文件表明 Amezit 旨在实现铁路和发电厂等关键设施的发现和映射，但前提是攻击者可以物理访问设施。

通过物理访问，你可以将这个工具插入网络，它会绘制出易受攻击的机器，他现在是华盛顿智库 Silverado Policy Accelerator 的主席。

电子邮件表明，Amezit 系统至少在 2020 年之前由俄罗斯情报机构进行了测试。一封日期为 2019 年 5 月 16 日的公司电子邮件描述了客户的反馈以及对程序进行更改的愿望。电子表格标记项目的哪些部分已经完成。

宝库中的一份文件提到测试“Amezit 系统以禁用 [incapabilate] 铁路、航空和海上运输的控制系统。

该宝库中的一份文件还表明，Vulkan 在 2018 年签订了合同，以创建一个名为 Crystal-2 的培训计划，以提供多达 30 名受训者的同时操作。该文件提到测试“Amezit 系统以禁用 [使] 铁路、航空和海上运输的控制系统”，但没有明确文件中设想的培训计划是否继续进行。

受训人员还将“测试未经授权访问本地计算机和基础设施技术网络以支持人口中心和工业区生活的方法”，可能会使用该文件赋予 Amezit 的能力。

在文件的后面，文字写道：“产品中处理和存储的信息的保密级别是‘最高机密’。”

漏洞库

文件中描述的另一个主要项目 Skan 允许俄罗斯的攻击者不断分析互联网上易受攻击的系统，并将它们编译到数据库中以备将来可能的攻击。

网络安全公司 Huntress 的威胁情报经理 Joe Slowik 表示，Skan 可能旨在与其他软件协同工作。

他说：“这是一个允许这一切的后台系统——以一种可以集中管理的方式组织和潜在地分配任务和定位能力。”

Slowik 说，俄罗斯军事黑客组织 Sandworm 被指责制造了无数次破坏性攻击，它可能想要保留一个庞大的漏洞库。2019 年的一份文件称，Skan 可用于显示“所有可能的攻击场景列表”，并突出显示网络上可能参与攻击的所有节点。

根据泄露的文件，该系统似乎还可以在俄罗斯黑客单位之间进行协调，从而允许“在潜在的地理分散的特殊单位之间交换数据的能力”。

Mandiant 的另一位网络安全专家 Gabby Roncone 说：“Skan 让我想起了人们站在那里的老军事电影……并将他们的大炮和部队放在地图上。” “然后他们想了解敌方坦克在哪里，以及他们需要首先攻击哪里才能突破敌人的防线。”

有证据表明，至少斯坎的一部分被交付给了俄罗斯军方。

在一封日期为 2020 年 5 月 27 日的电子邮件中，Vulkan 开发人员 Oleg Nikitin 描述了收集员工名单“访问我们功能用户的领域”，为 Skan 项目安装和配置设备，升级和配置软件以及演示功能。功能用户被描述为“Khimki”，指的是 Sandworm 所在的莫斯科郊区。

“领土是封闭的，制度是严格的，”尼基丁写道，他使用俄语术语来指代受保护的秘密政府设施。