Kremls hackerstrategi avslöjas i sällsynt läcka: ”Arg över kriget i Ukraina”

Av Isabelle Nordström
Publicerad 30 mars 2023, 18:03

Nära kopplingar mellan ryska cyberattacker och Kreml avslöjas i tusentals läckta dokument som går under namnet ”Vulkan Files”. Bakom avslöjandet står tidningar som The Guardian, Washington Post, Süddeutsche Zeitung och Der Spiegel i samarbete med journalistnätverket Paper trail media.

Dokumenten kopplas till en rysk visselblåsare inom cybersäkerhetsfirman NTC Vulkan, med kontor i nordöstra Moskva. Där framgår hur företaget bistått militären och underrättelsetjänsten vid hackerattacker genom att bland annat skapa system, utbilda operatörer, sprida desinformation och kontrollera tillgången till internet. Det framgår också hur hackergruppen Sandworm, som bland annat uppges ha orsakat strömavbrott i Ukraina och stört OS i Sydkorea, använt ett system som Vulkan utvecklat.

Enligt The Guardian är det mycket ovanligt med den här typen av läckor från ryskt håll. Källan, som tidigare arbetade för NTC Vulkan, tog kontakt med tyska tidningen Süddeutsche Zeitung efter invasionen förra året.

– Jag är arg över vad som händer i Ukraina, sa visselblåsaren då.

Dokumenten är daterade 2016–2021

www.theguardian.com

”Visste inte att det här pågick när jag började på Vulkan” (tyska)

www.sueddeutsche.de

Ett system som företaget byggt upptäcker digitala svagheter hos fienden (tyska)

www.spiegel.de

Granskningen sammanfattad

Washington Post · Ofta betalvägg

bakgrund

Sandworm

Wikipedia (en)

Sandworm, also known as Unit 74455, is allegedly a Russian cybermilitary unit of the GRU, the organization in charge of Russian military intelligence. Other names, given by cybersecurity researchers, include Telebots, Voodoo Bear, and Iron Viking.The team is believed to be behind the December 2015 Ukraine power grid cyberattack, the 2017 cyberattacks on Ukraine using the NotPetya malware, various interference efforts in the 2017 French presidential election, and the cyberattack on the 2018 Winter Olympics opening ceremony. Then-United States Attorney for the Western District of Pennsylvania Scott Brady described the group's cyber campaign as "representing the most destructive and costly cyber-attacks in history."On October 19, 2020 a US-based grand jury released an indictment charging six alleged Unit 74455 officers with cybercrimes. The officers, Yuriy Sergeyevich Andrienko (Юрий Сергеевич Андриенко), Sergey Vladimirovich Detistov (Сергей Владимирович Детистов), Pavel Valeryevich Frolov (Павел Валерьевич Фролов), Anatoliy Sergeyevich Kovalev (Анатолий Сергеевич Ковалев), Artem Valeryevich Ochichenko (Артем Валерьевич Очиченко), and Petr Nikolayevich Pliskin (Петр Николаевич Плискин), were all individually charged with conspiracy to conduct computer fraud and abuse, conspiracy to commit wire fraud, wire fraud, damaging protected computers, and aggravated identity theft. Five of the six were accused of overtly developing hacking tools, while Ochichenko was accused of participating in spearphishing attacks against the 2018 Winter Olympics and conducting technical reconnaissance on and attempting to hack the official domain of the Parliament of Georgia.In February 2022, Sandworm allegedly released the Cyclops Blink as malware. The malware is similar to VPNFilter. The malware allows a botnet to be constructed, and affects Asus routers and WatchGuard Firebox and XTM appliances. CISA issued a warning about this malware.In late March 2022, human rights investigators and lawyers in the UC Berkeley School of Law sent a formal request to the Prosecutor of the International Criminal Court in The Hague. They urged the International Criminal Court to consider war crimes charges against Russian hackers for cyberattacks against Ukraine. Sandworm was specifically named in relation to December 2015 attacks on electrical utilities in western Ukraine and 2016 attacks on utilities in Kyiv in 2016.In April 2022, Sandworm attempted a blackout in Ukraine. It is said to be the first attack in five years to use an Industroyer malware variant called Industroyer2.

Omni är politiskt obundna och oberoende. Vi strävar efter att ge fler perspektiv på nyheterna. Har du frågor eller synpunkter kring vår rapportering? Kontakta redaktionen

Oracle dementerar att molntjänst har hackats

Oracle dementerar att molntjänsten Oracle Cloud (OCI) ska ha utsatts för datorintrång.

Igår 16:01

Sverige får ny strategi för cybersäkerhet

Sverige ska få en ny nationell strategi för cybersäkerhet för de kommande fyra åren, rapporterar TT. Cybersäkerhet är en fråga för hela det civila försvaret – och en viktig pusselbit i Sveriges totalförsvar, säger Carl-Oskar Bohlin (M), minister för civilt försvar.

20 mars, 12:13

Kvinna med parkerad barnvagn sitter på en bänk med hörlurar och solglasögon och tittar i sin mobil samtidigt som hon äter glass.

Hackare hotar läcka uppgifter från Sportadmin på darknet

En grupp hackare som kallar sig Ransomhub hotar att läcka personuppgifter från Sportadmin på darknet, rapporterar DN.

5 februari, 17:39

Whatsapp anklagar israeliskt företag för dataintrång

Nästan 100 personer, bland dem journalister och aktivister, kan ha fått sin data stulen i ett cyberangrepp mot meddelandetjänsten Whatsapp. Det rapporterar AFP.

31 januari, 19:29

Appen whatsapp fotograferad på en Iphone. Illustrationsbild.

Ryska invasionen Cyberangreppen Ryssland Vladimir Putin Ukraina