Þann 11. desember greindi stríðsandófsmaðurinn Grígórí Sverdlin frá því á Telegram að ónafngreindur tölvuþrjótahópur hefði brotist inn í kerfi Mikord, eins helsta fyrirtækisins sem kemur að þróun stafræns herskyldukerfis Rússlands. Sverdlin sagði að tölvuþrjótarnir hefðu haft samband við samtök hans, Get Lost, lýst ábyrgð á árásinni og afhent þeim mikið magn gagna.

„Þeir voru inni í kerfinu í nokkra mánuði og afhentu okkur gífurlegt magn efnis úr skránni,“ sagði hann. „Við afhentum öll gögnin blaðamönnum hjá iStories. Stór rannsókn mun birtast fljótlega. Að henni lokinni verða skjölin gerð opinber.“

Sverdlin fullyrti einnig að tölvuárásin hefði valdið nægjanlegu tjóni til að raska starfsemi stafræna herskyldukerfisins. „Í nokkra mánuði í viðbót mun þessi skepna (með 30 milljón skrár!) ekki geta sent fólk út til að drepa eða deyja,“ sagði hann. Til að fá nánari upplýsingar um árásina og mögulegar afleiðingar hennar fyrir þá sem eru kvaddir til herskyldu, eða reyna að komast undan henni, ræddi rússneski útlagamiðillinn Meduza við Grígórí Sverdlin hjá Get Lost. Hér er það sem hann sagði.

Stafræna herskyldukerfið, sem kallast Sameinaða herskráin, safnar gögnum um borgara úr ýmsum gagnagrunnum hins opinbera. Varnarmálaráðuneytið rekur skrána og notar hana til að senda út herskylduboð, en deilir jafnframt upplýsingum með öðrum stofnunum, þar á meðal alríkisöryggisþjónustunni (FSB), skattayfirvöldum og innanríkisráðuneytinu.

Þegar varnarmálaráðuneytið gefur út herskylduboð, hvort sem það er rafrænt eða með ábyrgðarbréfi, ber viðtakanda skylda til að mæta á herskrifstofu. Um leið og boðið telst afhent er viðkomandi sjálfkrafa bannað að yfirgefa landið þar til hann hefur mætt. Þeir sem reyna að komast undan herskyldu geta einnig sætt frekari takmörkunum, svo sem að missa rétt til að aka bifreið, skrá fasteignir eða taka lán.

Svona á kerfið að virka, að minnsta kosti á pappír. En samkvæmt Sverdlin verður Sameinaða herskráin ekki fullvirk „í að minnsta kosti nokkra mánuði“ vegna tölvuárásarinnar á Mikord, eins lykilfyrirtækjanna að baki kerfinu.

Í viðtali við Meduza vildi Sverdlin ekki tjá sig um hvers vegna tölvuþrjótarnir höfðu samband við Get Lost, samtök sem hann stofnaði árið 2022 til að hjálpa Rússum að komast undan herskyldu í stríðinu gegn Úkraínu. „Þetta eru rússneskir tölvuþrjótar. Fólk andvígt stríði,“ sagði hann.

Sverdlin sagði að fullyrðingar hans um umfang tjónsins byggðust á mati tölvusérfræðinga Get Lost. „Þetta er alvarlegt tjón og þróunaraðilar skrárinnar munu þurfa að minnsta kosti nokkra mánuði til að endurheimta bæði skjölun og hluta af frumkóða,“ sagði hann. „Tölvuþrjótarnir þurrkuðu út allt sem þróunaraðilinn átti. Afrit voru til staðar, en þau voru einnig eyðilögð. Þess vegna segjum við að endurheimtin muni taka langan tíma.“

Sverdlin lofaði því að væntanleg rannsókn iStories myndi varpa frekara ljósi á málið og sagði jafnframt að léleg gæði stafrænu innviðanna hefðu „gert kerfið auðvelt skotmark“. Allt kerfið lá niðri fram á kvöld 10. desember og vefsíða þess hafði verið óvirk í fimm daga þegar viðtalið fór fram.

„Þeir hafa nú þegar endurheimt sjálfa skrána. Hún virkar nú sem einfaldur gagnagrunnur,“ sagði Sverdlin. „Sjálfvirk bönn við því að yfirgefa landið, fá bankalán eða ökuskírteini eru ekki í gangi,“ bætti hann við, en tók fram að hægt sé að beita slíkum takmörkunum handvirkt.

Sverdlin telur að tölvuárásin muni seinka verulega fullri innleiðingu Sameinuðu herskrárinnar, sem var þróuð í samræmi við lög sem samþykkt voru í apríl 2023. Þegar árásin átti sér stað innihélt gagnagrunnurinn yfir 30 milljón skrár, hver með um hundrað gagnasviðum. Aðspurður hvort skráin gæti samt auðveldað nýja herkvaðningu vildi Sverdlin ekki fara út í smáatriði. „Þið verðið að bíða eftir rannsókn iStories,“ sagði hann. „Ég get aðeins sagt að sú virkni sem þarf til þess muni ekki vera til staðar í bráð.“

Sverdlin sagði jafnframt að Get Lost hefði orðið vart við mikla aukningu í beiðnum um aðstoð frá því stafræna herskyldukerfið var sett í gang í júlí, yfir 100 á dag. „Þetta tengdist fyrst og fremst kvíða fólks vegna tilkomu skrárinnar,“ útskýrði hann. „Í júlí og ágúst fóru menn að fá tilkynningar um að gögn þeirra hefðu verið skráð og síðan komu rafræn herskylduboð.“

Þótt Sverdlin segði ekki hvenær iStories hygðist birta rannsókn sína, lofaði hann að hið„gríðarlega“ gagnasafn frá Mikord yrði að lokum gert opinbert, þar á meðal upplýsingar um fyrirtæki og einstaklinga sem komu að þróun Sameinuðu herskrárinnar.

„Við vitum hverjir græddu á þessu og hverjir halda áfram að græða enn meira á ríkissamningum,“ sagði hann við Meduzu. „Þessar upplýsingar verða gerðar opinberar svo allir sem vilja geti grafið í þær, því það er nóg að grafa í.“