Da Rusland invaderede Ukraine, var det dråben, der fik bægeret til at flyde over.
I hvert fald for en person, der lå inde med en stor mængde hemmelige dokumenter fra en på overfladen almindelig it-virksomhed i Moskva.
Derfor skrev vedkommende til en tysk journalist.
- Denne virksomhed laver onde ting, og den russiske regering er kujonagtig og tager fejl.
- Jeg håber, at I kan bruge de her oplysninger til at vise, hvad der foregår bag lukkede døre, lød det fra kilden på en krypteret forbindelse.
Herefter forsvandt kilden igen efter at have understreget den sikkerhedsmæssige nødvendighed i at forsvinde ”som et spøgelse”.
Men inden kilden forsvandt, blev over 5.000 sider med dybt hemmelige oplysninger fra it-virksomheden NTC Vulkan overført og siden delt med en gruppe af journalister anført af Der Spiegel og det nystartede undersøgende medie Paper trail media.
Siden har over 50 journalister fra 11 medier i otte lande, herunder Washington Post, Süddeutsche Zeitung, The Guardian, Le Monde og DR, gransket de lækkede dokumenter i VulkanFiles.
Dokumenter, som fem vestlige sikkerhedstjenester og en række uafhængige eksperter har vurderet som autentiske og ægte.
System kan koordinere 'total informationskrig'
De lækkede dokumenter giver adgang til en – selv for russisk standard - lukket verden. På overfladen er Vulkan en moderne it-virksomhed, som fremstår som en både attraktiv og sjov arbejdsplads, der arbejder for en bred vifte af virksomheder og myndigheder.
Men dokumenterne, sammenholdt med en stor mængde interviews med tidligere medarbejdere, ekspertkilder i efterretningstjenester og vestlige sikkerhedsfirmaer, fortæller en helt anden historie.
I årevis har virksomheden arbejdet tæt sammen med det russiske militær og sikkerhedstjenester med henblik på at styrke Ruslands evner til at udføre cyberangreb, sprede desinformation og kontrollere og manipulere informationsstrømmene på nettet i bestemte geografiske områder.
Det fremgår blandt andet, hvordan Vulkan har udviklet it-systemer til Putins styre, der kan overvåge og censurere for eksempel uønskede stemmer, sprede propaganda og desinformation i meget stor målestok både inden- og udenfor Ruslands grænser, og forberede eller træne angreb på kritisk, civil infrastruktur som jernbaner og hospitaler.
- Vulkan forsøger efter alt at dømme at bygge et system til at koordinere total informationskrig, vurderer chef for efterretningsanalyse hos it-sikkerhedsfirmaet Mandiant John Hultquist.
Efter at have gransket dokumenterne ser han endnu klarere, hvordan Rusland bruger cyberangreb – både angreb, der slukker for lyset, eller kampagner, der spreder falske oplysninger på nettet for at skræmme og underminere regimets modstandere.
- De her dokumenter tyder på, at Rusland ser angreb på civil infrastruktur og manipulation af sociale medier som en og samme mission – nemlig et angreb, der i bund og grund skal svække fjendens vilje til at kæmpe.
Vulkan er ikke vendt tilbage på gentagne forespørgsler om en kommentar til deres arbejde for efterretningstjenesterne og militæret.
En ansat i virksomheden har bekræftet, at de har modtaget henvendelserne.
Journalistgruppen på historien har også gentagne gange forsøgt at få en officiel kommentar fra Kreml. Her er man heller ikke vendt tilbage på henvendelserne.
Det har ikke været muligt for DR Nyheder at verificere kildens identitet eller nærmere undersøge bevæggrundene for at lække dokumenterne.
Se, hvordan Vulkan beskriver sig selv i denne rekrutteringsvideo.
Det første, jeg tænkte på, var Ukraine
Andrei Soldatov er russisk journalist og ekspert i de russiske sikkerhedstjenester.
Han frygter ligesom kilden bag lækket, at noget af den teknologi, der er blevet udviklet hos Vulkan, allerede bliver brugt i stor stil i de besatte områder i Ukraine.
Et omfattende system, Amezit, der optræder i dokumenterne, er nemlig ikke bare i stand til at generere hordevis af falske profiler, der kan påvirke folkestemningen og skabe et falsk billede af virkeligheden.
I dokumenterne fremgår det også, at it-systemet kan bruges til at manipulere internettet i specifikke geografiske områder eller til helt at slukke for det. Mens uønsket trafik kan blokeres, så det ikke spredes.
Systemet kræver ifølge sikkerhedseksperter, der har vurderet dokumenterne, fysisk adgang til for eksempel en internetudbyders hardware eller mobilmaster.
- Det første, jeg tænkte på, da jeg læste de her dokumenter, var Ukraine, fordi man allerede har etableret informationskontrol i de besatte områder.
- Det er præcis sådan en mission, man ville give til personer, der betjener Amezit, fortæller Andrei Soldatov.
Det bekymrer ham yderligere, at der i de lækkede dokumenter fremgår it-systemer, der er i stand til at overvåge og udpege systemkritikere og aktivister.
- Det er ekstremt farligt, for det handler ikke bare om at hjernevaske folk og gøre dem loyale over for dig. Det handler også om at identificere aktivister og folk, der udtrykker antirussiske holdninger på sociale medier, og i en krigstid er det jo yderst farligt for dem.
Har sandsynligvis været brugt til at hjælpe Trump
John Hultquist fremhæver også Amezit. Et omfattende dokument fra Vulkan viser nemlig, hvordan systemet kan bruges til at skabe og styre tusindvis af falske profiler på sociale medier til at sprede målrettet desinformation.
En række Twitter-konti og hashtags, som journalister fra Le Monde fandt henvisninger til, har med stor sandsynlighed været brugt i desinformationskampagner mod en række lande.
Herunder en konspirationsteori, der skulle styrke Donald Trumps position mod Hillary Clinton i forbindelse med præsidentvalget i 2016. Mens andre var designet til at så tvivl om russiske angreb i Syrien og Ukraine.
Det viser en række tilgængelige opslag på sociale medier, som kan knyttes til Vulkan og Amezit-systemet.
Det fremgår ikke af lækket, hvorvidt de hemmelige projekter, Vulkan har udviklet for hæren og sikkerhedstjenesterne, er blevet taget i brug. Men det fremgår, at der er blevet gennemført yderlige test – blandt andet af Amezit i 2020 – ligesom der optræder løbende betalinger fra sikkerhedstjenesterne efter levering.
Det fremgår også, at Vulkan i 2018 blev hyret til at udvikle et træningsmodul til Amezit med navnet Kristal-2. Et system, som skulle kunne bruges af op til 30 samtidige brugere.
Det skulle tilsyneladende bruges til at simulere angreb, der skulle ”deaktivere kontrolsystemer til jernbane-, luft- og søtransport”.
Men det fremgår ikke af dokumenterne, præcis hvordan Amezit-systemet skulle kunne bruges til at gennemføre ødelæggende cyberangreb mod følsom kritisk civil infrastruktur.
Berygtede hackere på listen over kunder
Blandt Vulkans kunder optræder blandt andre den militære efterretningstjeneste GRU’s berygtede "enhed 74455", der er bedre kendt som ”Sandworm”. En gruppe, der i 2015 angreb det ukrainske elnet og efterlod over 230.000 ukrainere uden strøm.
Amerikanske myndigheder vurderer, at samme gruppe stod bag NotPetya, der betragtes som historiens mest skadelige cyberangreb.
NotPetya var et stykke skadelig kode, der spredte sig fra Ukraine til virksomheder over hele verden, og som anslås af Det Hvide Hus til at have forårsaget ødelæggelse til en værdi af over ti milliarder dollar.
Også danske Maersk blev ramt hårdt, da dette cybervåben, muligvis utilsigtet, spredte sig.
Fra en enkelt computer i Odesa spredte NotPetya sig som en altødelæggende, kodebaseret tsunami, der lammede shippinggigantens globale netværk og forårsagede skader for to milliarder kroner.
Et af de lækkede Vulkan-dokumenter fra 2019 henviser til ”enhed 74455”, Sandworms enhedsnummer, som den, der skal godkende dataoverførsler til systemet ”Skan-V”, der indeholder en stor database over potentielle mål og sårbarheder, der kan bruges til at trænge ind.
- De sætter ikke tilfældigt et militært enhedsnummer på det dokument, siger en medarbejder i en vestlig efterretningstjeneste, der har analyseret dokumentet.
'Bogelskerne' læser næppe mange bøger
Da en programmør ved navn Oleg Nikitin forbereder en liste over medarbejdere fra Vulkan, der under strenge sikkerhedsforanstaltninger skal installere og opgradere dele af systemet hos den ”funktionelle bruger”, omtales denne som ”Khimki”.
Det er navnet på den forstad i Moskva hvor Tårnet, Sandworm’s ikoniske hovedsæde, ligger.
I dokumenterne beskrives også en kunde, der omtales som ”bogelskerne”.
Hvor mange bøger, der bliver læst hos kunden, står dog hen i det uvisse. Men ifølge en tidligere medarbejder refereres der til et kaldenavn for FSB’s cyberenhed, der befinder sig i en bygning over for det tidligere KGB-hovedkvarter. Og i den bygning ligger der en bogbutik.
Cyberenheden har i årevis rekrutteret kriminelle hackere og indrulleret dem i statsapparatet, fortæller Andrei Soldatov.
- Man gav hackere i Rusland et valg: Enten ryger du i fængsel (….) eller også begynder du at arbejde for FSB. Så meget hurtigt blev dette center et arnested for mange russiske kriminelle hackere, der nu arbejder hånd i hånd med FSB-officerer.
Vestlige efterretningstjenester: Det ser ægte ud
Kilden, der har lækket dokumenterne, har kun været i kontakt med en tysk journalist via en krypteret beskedstjeneste og har af sikkerhedshensyn ikke oplyst sin identitet.
Men de lækkede Vulkan-dokumenter er blevet forelagt en række eksperter, sikkerhedsfirmaer og fem vestlige efterretningstjenester, der alle vurderer, at de er autentiske.
Derudover har flere tidligere ansatte i Vulkan bekræftet de dele af indholdet i dokumenterne, de havde kendskab til.
Lækagen betegnes af en af de vestlige efterretningstjenester, der har indvilliget i at vurdere dokumenterne, som et særsyn i den ekstremt lukkede russiske militærindustri.
- Du finder ikke så komplicerede designdokumenter ret ofte. Det her var ikke noget, der skulle frem i lyset.
- Det giver en forståelse af, hvad det er, GRU prøver at gøre, lyder vurderingen fra en af de vestlige efterretningstjenester, der har set dokumenterne.
Derfor påstår den unavngivne kilde, at vedkommende, efter at have lækket dokumenterne, har forladt det liv, han levede før for nu – som han selv udtrykker det – at leve ”som et spøgelse”.
- GRU og FSB gemmer sig bag dette firma, og folk bør kende faren, siger den unavngivne kilde, der altså begrunder sine handlinger med invasionen af Ukraine.
- Jeg er vred over invasionen og de skrækkelige ting, der sker der.
Cyberekspert: Viser, at Rusland ikke har i sinde at stoppe
Andrei Soldatov er selv flygtet til London, efter han skrev en række bøger og artikler om de russiske sikkerhedstjenester. Han mener, at den unavngivne kilde gør klogt i at ”forsvinde som et spøgelse”
Forelagt dokumenterne fra Vulkan, ser han et Rusland, der både internt og eksternt er klar til at agere meget aggressivt på cyberfronten.
- Det er et meget klart tegn på, at den russiske regering og det russiske militær er besat af idéen om informationskontrol.
- Det her viser kun, at både den russiske regering og det russiske militær ikke har i sinde af stoppe. De mener, at det er i orden at bruge de her meget aggressive cyberværktøjer. Ikke kun uden for landets grænser, men også internt, forklarer Andrei Soldatov.
Han vurderer også, at dokumenterne er ægte, og er ikke overrasket over, at en privat it-virksomhed står klar til at hjælpe den russiske stat med it-systemer, der både kan bruges til sindelagskontrol, jagt på politiske modstandere og angreb på fjendtlige nationer.
- Først og fremmest skal man forstå: Sovjetunionen havde det største fællesskab af programmører på grund af den sovjetiske militærindustri.(....) Programmører undervises i dag til samme mentalitet som dengang: At tjene staten.
Tilbage står så spørgsmålet om, i hvor høj grad det russiske forsvar og efterretningstjenester er i stand til at bruge teknologien på en effektiv måde. Fra en vestlig efterretningsanalytiker med speciale i russisk cyberkrigsførelse lyder det:
- Man skal være forsigtig med at tage planer, ambitioner, og hvad firmaet selv mener, det er i stand til, for pålydende.
- GRU er ikke undtaget den korruption og de udviklingsstridigheder, der også plager resten af det russiske militær og for alvor er blevet gjort synlig af deres underpræstation i Ukraine, siger analytikeren.