Une source anonyme a divulgué des milliers de pages de documents d’entreprise confidentiels sur la coopération des services de renseignements russes avec des sous-traités de la défense de Moscou. The Washington Post et plusieurs autres médias ayant reçu les documents ont publié un article à ce sujet dans le cadre d’une enquête conjointe.
La société Vulkan a été chargée de mener des cyberattaques, d’interférer avec des infrastructures critiques en Europe et aux États-Unis et de diffuser de la désinformation.
Une source anonyme a fourni des documents de STC Vulkan à un journaliste allemand et a exprimé son indignation face à l’attaque de la Russie contre l’Ukraine. Il a parlé au journaliste via un messager crypté et a refusé de s’identifier pour des raisons de sécurité.
« Je suis en colère à cause de l’invasion de l’Ukraine et des choses terribles qui s’y passent », a écrit l’homme. « J’espère que vous pourrez utiliser ces informations pour montrer ce qui se passe derrière des portes closes… L’entreprise fait du mal et le gouvernement russe est lâche et il a tort ». Ce message a été envoyé peu après l’invasion de l’Ukraine. Le journaliste a ensuite partagé les documents avec un consortium de médias, dont The Washington Post, une équipe de journalistes d’investigation de Paper Trail Media et le journal allemand Der Spiegel.
Plus de 5 000 pages de documents datent entre 2016 et 2021. Ils contiennent des courriels internes à l’entreprise, des documents financiers et des contrats qui témoignent à la fois des ambitions des auteurs des cybers opérations russes et de l’ampleur du travail que Moscou a externalisés.
Les documents détaillent un ensemble de programmes informatiques et de bases de données que les services spéciaux russes et les groupes de piratage peuvent utiliser pour trouver des vulnérabilités et coordonner des attaques. Vulkan a soutenu des opérations de désinformation sur les réseaux sociaux et a formé des stagiaires à perturber à distance des cibles réelles, telles que des systèmes de contrôle naval, aérien et ferroviaire.
Les documents comprennent aussi des manuels, des spécifications techniques et d’autres détails sur les logiciels développés par Vulkan pour les agences militaires et de renseignements russes. Entre autres, les articles décrivent des programmes de création de fausses pages dans les réseaux sociaux. Un document du cache décrit comment utiliser des banques de cartes SIM pour contourner la vérification de nouveaux comptes sur Facebook, Twitter et d’autres réseaux sociaux.
Les journalistes ont également trouvé des preuves de l’utilisation de dizaines de comptes à l’intérieur et à l’extérieur de la Russie pour diffuser des récits de propagande d’État, y compris des démentis de l’implication russe dans la mort de civils en Syrie.
« Plusieurs maquettes d’interface utilisateur pour le projet, connues sous le nom d’Amezit, semblent représenter des exemples de cibles possibles pour les pirates informatiques, notamment le ministère suisse des Affaires étrangères et une centrale nucléaire. Un autre document montre une carte des États-Unis avec des cercles sur les villes qui représentent des clusters de serveurs Internet », a déclaré l’enquête conjointe.
L’une des mises en pages du document de projet de 2016 montre l’installation sur une carte et les adresses IP, les noms de domaines et les systèmes d’exploitation utilisés. Il s’agit du bâtiment du ministère suisse des Affaires étrangères à Berne. Un autre objet mis en évidence sur la carte est la centrale nucléaire de Muhleberg à l’ouest de la capitale suisse.
Après avoir examiné les extraits à la demande du Washington Post et de plusieurs médias partenaires, des représentants de cinq agences de renseignements occidentales et de plusieurs sociétés indépendantes spécialisées dans la cybersécurité ont déclaré que les documents étaient authentiques. Les experts n’ont pas trouvé de preuves concluantes que la Russie ait déployé tous les systèmes ou les ait utilisés dans des cyberattaques spécifiques. Cependant, les documents décrivent les tests et le paiement des travaux effectués par Vulkan pour les services de sécurité russes et plusieurs instituts de recherche connexes.
En particulier, la société a coopéré avec le groupe de piratage gouvernemental Sandworm. Les responsables américains ont blâmé Sandworm pour les pannes de courant en Ukraine, la perturbation de la cérémonie d’ouverture des Jeux olympiques d’hiver de 2018 et le lancement du logiciel NotPetia.
Trois anciens employés anonymes de Vulkan ont confirmé certains détails sur l’entreprise. En particulier, les dossiers financiers obtenus de la société coïncident avec des documents précédemment connus concernant plusieurs transactions d’une valeur de plusieurs millions de dollars.
Des mentions de Vulkan peuvent être trouvées sur VirusTotal, un service de base de données de logiciels malveillants. The Washington Post écrit que Vulkan a été fondée en 2010 et compte environ 135 employés. Le site Web de la société indique que son siège social est situé au nord-est de Moscou.
Certains employés du Vulkan ont ensuite travaillé pour de grandes entreprises occidentales telles qu’Amazon et Siemens. Les deux sociétés l’ont confirmé dans des déclarations, mais ont noté que les contrôles internes de l’entreprise protègent contre l’accès non autorisé aux données sensibles.
D’autres grandes entreprises, dont IBM, Boeing et Dell, ont travaillé avec Vulkan dans le passé. Ils ne le nient pas, mais déclarent qu’ils n’ont actuellement aucune relation d’affaires avec cette entreprise.