I slutet av januari lämnade ukrainska hacktivister från gruppen Cyber Resistance över ytterligare information till InformNapalm, hämtad från en hackad e-postkorrespondens från det ryska företaget Special Technology Center (STC).
Informationen avslöjar nya detaljer om upphandling av utländska komponenter för produktion av ryska vapen och militär utrustning genom att kringgå västliga sanktioner.
Tidigare CYBINT-utredning om STC
Den 12 januari 2024 publicerade InformNapalm den första delen av en CYBINT-utredning om STC. Artikeln publicerades på åtta språk. I utredningen konstaterades hur ryska sanktionerade företag kringgick västs sanktioner och lyckades få tag på utländsk utrustning, reservdelar och komponenter.
Tre dagar efter publiceringen och mitt i den uppståndelse som följde gjorde det tyska företaget Rohde & Schwarz, vars produkter ofta nämns i STC-dokumentationen och är oumbärliga för produktionen av utrustning för elektronisk krigföring, ett offentligt uttalande på sina Facebook- och X-sidor. Företaget hävdade att man helt och hållet uppfyller de västliga sanktionerna. Man lovade offentligt att se över sina egna affärsprocesser för att identifiera kritiska problem i samband med mellanhandsförsäljning av företagets produkter till produktionsanläggningar i Ryssland.
Kinesiska banker granskar sin verksamhet med Ryssland
Dagen därpå, den 16 januari, rapporterade Bloomberg med hänvisning till egna källor att kinesiska statliga banker beslutat att skärpa villkoren för att tillhandahålla tjänster till ryska kunder efter att USA hotat att införa sekundära restriktioner för dem som bryter mot sanktionerna.
Således har minst två stora kinesiska banker under de senaste veckorna börjat granska sin verksamhet med Ryssland, främst gränsöverskridande transaktioner och finansiering av ryska klienter. Baserat på resultaten måste bankerna sluta betjäna företag som finns med på sanktionslistorna och inte längre tillhandahålla finansiella tjänster till det ryska militärindustriella komplexet. Detta gäller oavsett vilken valuta och jurisdiktion som transaktionerna i fråga gäller. Revisionerna påverkar också icke-ryska företag som gör affärer i Ryssland eller levererar varor till Ryssland via andra länder.
Florinskij-effekten
Med tanke på att STC får de största volymerna av sina varor via Kina har InformNapalm beslutat att publicera denna andra del av CYBINT-undersökningen. Artikeln tar en närmare titt på listan över mellanhänder och dokument kopplade till andra typer av ryska system för elektronisk krigföring. Dessutom offentliggörs uppgifter från en ledande specialist på STC, som hjälpt hacktivisterna att få tag på interna dokument från företaget.
En viktig, men inte den enda, roll i hackeraktivisternas informationsinhämtning spelades av Andrei Pavlovitj Florinskij, ansvarig för inköp till STC:s forsknings- och utvecklingsavdelning. Florinskijs e-postdump finns tillgänglig på följande länk: flor82@inbox.ru (ZIP).
Läs andra artiklar baserade på data från hacktivisterna i Cyber Resistance.
Värdefull informationskälla för ukrainska hacktivister
Florinskij använder sitt e-postkonto som ett anteckningsblock och skriver regelbundet meddelanden till sig själv. Ett av exemplen innehåller fält med ytterligare uppgifter om anställda.
Senare beklagar sig Florinskij för en vän om att han har blivit hackad.
I en av skärmdumparna av hans meddelanden på VK finns texten “Ruttnar på jobbet från 08:30 till 19:30”. Under de senaste 10 månaderna har Florinskij blivit en värdefull informationskälla för ukrainska hacktivister. De uppgifter om STC och dess verksamhet som hämtats från honom har överförts till den ukrainska säkerhetstjänsten och utländska partners i syfte att stärka sanktionssystemet.
Komponenter via Kina
Florinskijs information visar att ryssarna i allt högre grad köper utrustning via Kina och betalar i kinesisk valuta. Det är uppenbart att alla parter som arbetar för att kringgå sanktionerna är fullt medvetna om vad de gör. Entreprenörerna förstår att de köper utländska produkter i strid med sanktionerna, och det gör även de som säljer produkterna till mellanhänderna.
Nedan följer en skannad kopia av ett erbjudande daterat februari 2023. Beloppet anges i RMB och euro.
I samma meddelande finns en ytterligare intressant bilaga. Det är en tabell över de specifika projekt för vilka denna utrustning behövs. Observera att de schweiziska komponenterna inte är hemlighållna.
Betalningar i kinesisk valuta
När det gäller betalningar i RMB finns ett erbjudande från mars 2023.
Nedan följer ett nyare erbjudande daterat den 20 december 2023 avseende Rohde & Schwarz spektrumanalysatorer, som läsarna redan känner till från föregående artikel.
Det är värt att notera att de flesta ryska mellanhänder inte ens döljer det faktum att de köper produkter från Kina. Följande erbjudande kommer från ett annat företag, Delasia LLC, som erbjuder “nyckelfärdiga upphandlingar” av nödvändiga produkter till STC.
Eftersom STC är involverat i statliga försvarsbeställningar betjänas det av Promsvjazbank, som är nära knuten till den ryska försvarsindustrin. De finansiella reglerna för försvarsorder tvingar leverantörerna att öppna konton i samma bank.
STC skickar ut två påminnelser till alla företag om kontraktsspecifikationer och internationella valutabetalningar. Den första innehåller kontouppgifter och obligatorisk avtalstext för den statliga försvarsordern.
Och den andra påminnelsen är en förklaring av hur man hanterar utländska entreprenörer.
Videokameror från Axis
Dokument från Florinskijs e-post visar STC:s ständiga köpbehov på videokameror från det svenska företaget Axis.
Dessa uppgifter avser augusti 2023. Jämfört med STC:s order i september 2022 har volymen minskat något, men flödet är inte helt stoppat. Enligt Marina Andrejeva på ryska Soft-Tronic LLC kommer 75 kameror levereras inom 20 veckor. Enligt företagets hemsida är de en officiell distributör av Axis-utrustning.
Stort antal bulvanföretag
I själva verket arbetar STC med ett stort antal bulvanföretag som fungerar som upphandlingsförmedlare. Nedan följer en lista över sådana bulvanföretag som upptäckts bland Florinskijs e-postmeddelanden:
- Radioline, reg.-nr. 1117746143228, reg.-kod 7718837905
- Protech, reg.-nr. 1077761186381, reg.-kod 7701748975
- Oboron Holding, reg.-nr. 1157746688879, reg.-kod 9701002563
- IP Reshenija, reg.-nr. 1107847302441, reg.-kod 7810800625
- TehSpetsKomplekt, reg.-nr. 1077847031118, reg.-kod 7810090372
- HV Devices, reg.-nr. 1177746955220, reg.-kod 7731383288
- ST Networking, reg.-nr. 1097746408100, reg.-kod 7719727292
- NPF Dipol, reg.-nr. 1027802497656, reg.-kod 7804137537
- Elprom, reg.-nr. 1127847332007, reg.-kod 7805592546
- Delasia, reg.-nr. 1197847214685, reg.-kod 7810778923
På denna mycket ofullständiga lista är det tyvärr bara företaget Elprom som är föremål för sanktioner. Men det är viktigt att notera att bulvanföretag snabbt bildas och drar nytta av kryphålen i sanktionssystemet. Därför kommer detta flöde inte att upphöra förrän sanktionerna blir striktare. Naturligtvis kan restriktioner för kinesiska banker att genomföra transaktioner för sanktionerade ryska företag förändra situationen. Denna ryska tillverkare föredrar brittisktillverkade vävnader för sina Orlan-drönare. För den som är intresserad rekommenderas följande länk: Tygrullar för UAV:er (XLS).
Florinskijs e-postdump innehåller en mängd liknande intressanta dokument, inte bara från perioden för den storskaliga invasionen, utan även tidigare. Hacktivisterna från gruppen Cyber Resistance har gjort e-postdumpen tillgänglig för nedladdning via denna länk (ZIP).
Ytterligare artiklar av InformNapalm
- Påverkansagenter i Serbien och mediekampanjer i EU
- Slovakiens förre justitieminister Stefan Harabins samarbete med Ryssland
- Hackning av Alexander Babakov, vice ordförande i ryska statsduman
Distribution och eftertryck med hänvisning till källan välkomnas! Creative Commons – Attribution 4.0 International – CC BY 4.0. Följ oss på Facebook, Twitter, Telegram och Slate (Sl8).
InformNapalm har inget ekonomiskt stöd från någon regering eller sponsor. Våra enda sponsorer är individuella volontärer och läsare. Du kan också stödja InformNapalm genom att göra månatliga minidonationer genom Buymeacoffee.