Make the world a better place. Maak van de wereld een betere plek. Het is de slogan die verschijnt aan het einde van het promofilmpje van het softwarebedrijf NTC Vulkan, gevestigd in het noordoosten van de Russische hoofdstad. Een schijnbaar onschuldige onderneming met zo’n 135 werknemers die een eigen bedrijfsvoetbalploeg heeft en de verjaardagen van medewerkers viert. Maar er is veel meer aan de hand.

De dag na de Russische invasie in Oekraïne stapte een anonieme klokkenluider naar de Duitse krant Süddeutsche Zeitung. “Mensen moeten de gevaren hiervan kennen”, zei de klokkenluider. “Vanwege de gebeurtenissen in Oekraïne heb ik besloten deze informatie openbaar te maken. Het bedrijf doet slechte dingen en de Russische regering is laf en verkeerd. Ik ben boos over de invasie in Oekraïne en de verschrikkelijke dingen die daar gebeuren. Ik hoop dat jullie deze informatie kunnen gebruiken om te laten zien wat er achter gesloten deuren gebeurt.”

De klokkenluider leverde meer dan 5.000 pagina’s aan interne informatie, uit de periode 2016 tot 2021, waar een consortium van onderzoeksjournalisten - onder leiding van Paper Trail Media - mee aan de slag ging. De Duitse media Der Spiegel, Süddeutsche Zeitung, ZDF, de Britse krant The Guardian, de Franse krant Le Monde, het Zwitserse Tamedia, de Deense publieke omroep, de Oostenrijkse krant Der Standard en de Russische website iStories, die gebaseerd is in Letland, deden mee aan het onderzoek. Zij kregen zo een inkijk in hoe Rusland al jarenlang een cyberoorlog tegen het Westen voorbereidt. Het gaat onder meer over e-mails, contracten, interne documenten, projectplannen en budgetten. Volgens het consortium werd de info veelvoudig gecheckt en ook afgetoetst bij vijf westerse inlichtingendiensten.

Hackersgroep Sandworm

NTC Vulkan werd in 2010 opgericht door Anton Markov en Alexander Irzhavsky. Beiden hebben in het leger gediend en hun bedrijf verkreeg in 2011 dan ook een speciale licentie van de Russische overheid om te werken aan geheime militaire projecten. De gelekte documenten tonen aan dat het bedrijf onder meer in opdracht werkte van de Federale Veiligheidsdienst van de Russische Federatie (FSB), de Russische buitenlandse inlichtingendiensten (SVR) en de Russische militaire inlichtingendienst (GRU).

Ook zou NTC Vulkan in opdracht van de notoire hackersgroep Sandworm gewerkt hebben. Zij zouden verantwoordelijk zijn voor grote stroomonderbrekingen in Oekraïne in 2015, verstoorden de openingsceremonie van de Winterspelen in Zuid-Korea in 2018 en zitten achter NotPetya, dat omschreven wordt als “de economisch meest destructieve malware in de geschiedenis.”

Projecten

In de documenten zijn bijvoorbeeld kaarten te zien waarop mogelijke doelwitten worden aangetoond. Zo zit er een kaart van de Verenigde Staten in waarop internetservers zijn aangeduid en toont een andere kaart ook het Zwitserse Ministerie van Buitenlandse Zaken en een voormalige kerncentrale nabij het Zwitserse Bern.

Verder worden er verschillende projecten uit de doeken gedaan zoals ‘Amezit’. Dat houdt onder meer tactieken in voor het automatisch aanmaken van grote aantallen sociale media-accounts waarmee valse informatie kan verspreid worden. Eén gelekt document beschrijft hoe grote hoeveelheden simkaarten voor mobiele telefoons kunnen gebruikt worden om verificatiecontroles voor nieuwe accounts op Facebook, Twitter en andere socialenetwerken te omzeilen.

(Lees verder onder de foto)

Een ander project, ‘Crystal-2V’, is een opleidingsprogramma voor cyberoperatoren voor de methoden die nodig zijn om spoor-, lucht- en zee-infrastructuur neer te halen. En ‘Scan-V’ wordt dan weer gebruikt om kwetsbaarheden te vinden in software en hardware.

Het is nog niet zeker in hoeverre de projecten beschreven in de gelekte documenten ingezet werden, maar ze werden alleszins op grote schaal uitgetest. “Dit soort netwerkdiagrammen en ontwerpdocumenten kom je niet vaak tegen. Het is echt heel ingewikkeld spul. Dit was niet bedoeld om ooit publiekelijk gezien te worden”, vertelde een functionaris van een Westerse inlichtingendienst aan The Washington Post.