Förra april besökte Vladimir Putin campus vid Baumanns Moskvas statliga tekniska universitet, beläget vid floden Jauzas strand i östra Moskva. Universitetet är hem för några av landets skarpaste vetenskapliga hjärnor. Han rundade campus, träffade studenter och talade upp Moskvas ambitiösa planer för rymduppdrag till månen och Mars. "Ni har allt som krävs för att vara konkurrenskraftiga", sade Putin till studenterna.
Vad Kremls officiella redogörelse för Putins besök inte nämnde var en hemlig avdelning inom universitetet, helt enkelt kallad Avdelning 4, eller "Specialutbildning". Där förbereds en utvald grupp studenter i tysthet för karriärer inom GRU – Rysslands militära underrättelsetjänst. GRU-operatörer har hackat västerländska parlament, förgiftat dissidenter på främmande mark och stört val i Europa och USA.
Fram till nu har avdelningens roll i att utbilda framtida underrättelseoperatörer förblivit i stort sett hemlig, känd endast för en liten grupp insiders. "Ibland blir du först rekryterad från skolan, går sedan till Bauman och ansluter dig till tjänsterna... det är en del av en pipeline", sade en tidigare hög rysk försvarsbefattningshavare.
Denna väg – från ett av Rysslands mest prestigefyllda institut direkt in i dess militära underrättelseapparat – avslöjas för första gången i över 2 000 interna dokument från Bauman. Dessa erhölls av en konsortium av journalister från sex medier: the Guardian, Der Spiegel, Le Monde, the Insider, Delfi och VSquare. Filerna, som täcker flera års verksamhet fram till 2025, inkluderar kursplaner, examensregister, personalkontrakt och karriärplaceringar för enskilda utexaminerade. De spårar studenternas resa från klassrumsövningar i hackning och desinformation till tjänstgöring i några av de mest ökända cyberenheterna inom rysk militär underrättelsetjänst.
Bauman, ett av Rysslands ledande tekniska universitet, har aldrig dolt sina band till militären. Grundat 1830, utbildade det senare ingenjörerna och forskarna som byggde sovjetiska raketer, stridsvagnar och vapensystem, och det fortsätter att göra så idag. I ett internt brev från 2013, sett av the Guardian, adresserat till dåvarande försvarsministern Sergej Sjojgu, skrev universitetets rektor att det utför mer forskning och utveckling än någon annan högre utbildningsinstitution i Ryssland, med över 40 % av detta gjort i försvarsministeriets intresse.
Läroplanen inom universitetets militära träningscenter, Avdelning 4, är uppdelad i tre specialistinriktningar, enligt dokumenten. Den mest framträdande, med koden 093400, kallas "Specialunderrättelsetjänsten". Dokumenten antyder att GRU har direkt kontroll över rekryterings- och betygsättningsprocessen – genom att skicka sina egna officerare för att genomföra tentor, godkänna kandidater och övervaka placeringar. Bilden som framträder är av ett program där gränsen mellan professor och handledare, och mellan undervisning och rekrytering, suddas ut.
Avdelningen leds av överstelöjtnant Kirill Stupakov, en signalspaningsofficer. Enligt dokumenten skrev han ett treårskontrakt 2022 med GRU-enhet 45807, en av byråns nyckelenheter. Det är oklart om han fortfarande är i aktiv tjänst. Vid Bauman inkluderar Stupakovs ämnen att träna studenter i att bemästra elektronisk avlyssning och dold övervakning. PowerPoint-bilder, tydligen utformade för hans föreläsningar och granskade av konsortiet, utgör en katalog av bedrägeri: en brandvarnare som faktiskt är en kamera, en enhet som sitter oupptäckt mellan ett tangentbord och en dator och loggar varje tangenttryckning, och en bildskärmskabel som fungerar som en tyst skärmdumpsmaskin, som lagrar bilder på ett dolt USB-minne.
En annan lärare som nämns i dokumenten är Viktor Netyksho, en västsanktionerad generalmajor som befälhavde enhet 26165. En hackergrupp känd som Fancy Bear – vars medlemmar åtalades av USA:s justitiedepartement för att ha stört presidentvalet 2016.
[Visa bild i fullskärm: Hem för hackergruppen Fancy Bear, beläget i byggnaden för den ryska militära underrättelsetjänsten i Moskva. Fotografi: Alexander Zemlianichenko/AP]
Bland kärnkurserna finns en som kallas "Försvar mot teknisk spaning". Under 144 timmar över två terminer lär sig studenterna den fulla verktygslådan för modern hackning, inklusive lösenordsattacker, programvarusårbarheter och så kallade trojaner – skadliga program förklädda som legitim programvara som kan ge obehörig åtkomst till ett system.
För att klara kursen måste studenterna utföra "praktiska penetrationstester", och en modul är helt inriktad på datorvirus. Som en del av bedömningen måste de utveckla ett själva.
Studenterna lär sig också strukturen och organisationen av amerikanska och brittiska militära underrättelsetjänster. Separata sessioner täcker användningen av västerländsk underrättelsetjänst i kriget i Ukraina, och utvecklingen av fiendens spanings- och attackdrönare på det ukrainska slagfältet.
Förutom hackningsuppgifter inkluderar läroplanen informationskrigföring. Avancerade studenter måste genomföra ett seminarium om att utveckla en desinformationskampanj, enligt dokumenten. De får i uppgift att skapa en social media-video med hjälp av "manipulation, påtryckning och dold propaganda".
Studenterna lär sig mekanismerna för psykologisk manipulation och hur man påtvingar en publik en "korrekt" uppfattning av information.
Undervisningsmaterialet mättar också studenterna med Kreml-ortodoxi: kriget i Ukraina var "oundvikligt"; "nationalister och nynazister" är vid makten där; och ryssar i Donbass möter "folkmord", med stöd från europeiska länder.
Västerländska underrättelsetjänster har blivit allt mer högljudda om omfattningen av rysk cyberaktivitet under de senaste åren.
I en rapport publicerad i februari varnade nederländska underrättelsetjänster för att Ryssland ökade hybridaktiviteter över hela Europa, som kombinerar cyberattacker, sabotage och påverkansoperationer riktade mot kritisk infrastruktur.
Den 15 april anklagade Sveriges minister för civilt försvar, Carl-Oskar Bohlin, offentligt Ryssland för att regelbundet utföra destruktiva cyberattacker mot EU-institutioner.
Från föreläsningssal till Sandworm
Dokumenten antyder att bland de 69 studenter som tog examen från Avdelning 4 våren 2024 fanns Daniil Porshin, som hade tillbringat sex år vid Bauman med att upprätthålla nästan perfekta betyg medan han spelade för fakultetens fotbollslag. Efter examen placerades han hos Fancy Bear.
Alla studenter klarar inte gallringen: filerna visar att dussintals har avskedats eller misslyckats med att ta examen, och bedömningarna av vissa studenter, skrivna av de högre GRU-officerare som övervakar programmet, kan vara hårda. "Otillräcklig förståelse för hur man utför en fjärrnätverksattack", lyder en utvärdering.
Många anses dock värda att arbeta inom GRU: 15 andra från Porshins kull dirigerades på liknande sätt till GRU-enheter.
Bland dem fanns en student som påbörjade sin första tjänstgöring den sommaren, 1 500 km från Moskva vid enhet 74455 i Svartahavsstaden Anapa – en av Rysslands mest populära semesterorter, och hem för hackerenheten känd som Sandworm av västerländska regeringar.
[Visa bild i fullskärm: FBI:s efterlysningsaffisch från 2023 för sex medlemmar av GRU-enhet 74455, känd som Sandworm. Fotografi: FBI]
Sandworm har anklagats av västerländska underrättelsetjänster för att ha släppt lös några av de mest destruktiva cyberattackerna under det senaste decenniet, inklusive att rikta in sig på Ukrainas elnät 2015, Emmanuel Macrons franska presidentkampanj 2017, de sydkoreanska vinter-OS 2018 och den brittiska utredningen av nervgiftsförgiftningen i Salisbury.
Konsortiet skickade förfrågningar om kommentarer till anklagelserna till Baumanns universitet, samt till Netyksho, Stupakov och Porshin, men hade inte fått något svar vid publiceringstillfället.
När kriget i Ukraina fortsätter, och underrättelseexperter antyder att Ryssland trappar upp sina "hybrid"-attacker mot Ukrainas europeiska allierade. De verkar bedriva en bred kampanj av störningar och sabotage som syftar till att orsaka kaos i väst, samtidigt som de håller sina handlingar förnekbara och undviker att korsa linjen som skulle kunna provocera fram ett militärt svar.
Hackning och cyberattacker har varit en nyckeldel av denna strategi, och dokumenten indikerar att Bauman-programmet inte visar några tecken på att sakta ner. Den senaste gruppen praktikanter kommer inte att ta examen förrän i slutet av läsåret 2027.
Medan denna samling dokument erbjuder en aldrig tidigare skådad inblick i Rysslands hemliga och systematiska träningsprogram för cyberagenter, säger insiders att det bara är en del av bilden. Enligt en tidigare försvarsbefattningshavare spelade ett annat ryskt universitet, Mirea, en ännu viktigare roll i att träna hackare.
"Bauman är ett av en handfull elituniversitet som används för att identifiera begåvade studenter för rekrytering till militära och underrättelsestrukturer", sade källan.
Kontakta oss
Kontakta oss om denna berättelse
Den bästa public service-journalistiken bygger på förstahandsberättelser från personer med insyn. Om du har något att dela om detta ämne kan du kontakta oss konfidentiellt med hjälp av följande metoder:
Säker meddelandehantering i Guardian-appen
Guardian-appen har ett verktyg för att skicka tips om berättelser. Meddelanden är krypterade från ände till ände och dolda inom den rutinaktivitet som varje Guardian-mobilapp utför. Detta förhindrar att någon vet att du kommunicerar med oss överhuvudtaget, än mindre vad som sägs.
Om du inte redan har Guardian-appen, ladda ner den (iOS/Android) och gå till menyn. Välj 'Secure Messaging'.
SecureDrop
Om du säkert kan använda Tor-nätverket utan att bli observerad eller övervakad, kan du skicka meddelanden och dokument till Guardian via vår SecureDrop-plattform.
Vår guide på theguardian.com/tips listar flera sätt att kontakta oss säkert och diskuterar för- och nackdelar med varje.
Vanliga frågor
Här är en lista med vanliga frågor om den rapporterade ryska spionskolan baserad på offentligt tillgänglig information och undersökande rapporter
Nybörjarnivåfrågor
1 Vad är denna spionskola exakt
Det är en hemlig träningsanläggning som drivs av Rysslands underrättelsetjänster Den är utformad för att lära nya rekryter hur man genomför cyberoperationer inklusive hackning spridning av desinformation och störning av utländska val
2 Var ligger den
Undersökande rapporter såsom de från The Insider och Der Spiegel pekar ut skolan nära staden Sernur i Mari El-republiken i Ryssland cirka 80 mil öster om Moskva Den kallas ofta för Sernur-anläggningen
3 Vem går på denna skola
Rekryter är vanligtvis unga tekniskt kunniga ryssar ofta rekryterade från universitet eller militärakademier De granskas för lojalitet och lämplighet innan de tränas som cyberspioner
4 Vad lär de faktiskt ut där
Läroplanen ska enligt uppgift inkludera
Hackningstekniker Att bryta sig in i datornätverk stjäla data
Social manipulation Att lura människor att avslöja lösenord eller information
Desinformation Att skapa falska nyheter falska sociala mediekonton och bottar för att manipulera den allmänna opinionen
Valstörning Metoder för att hacka röstsystem stjäla kampanjmejlar och använda läckor för att påverka väljare
5 Är denna skola verklig eller bara ett rykte
Den är verklig Flera undersökande journalister och underrättelsekällor har bekräftat dess existens Foton och satellitbilder av anläggningen har publicerats och tidigare anställda har intervjuats
6 Har skolan kopplats till specifika attacker
Ja Utredare tror att utexaminerade från denna skola var inblandade i stora operationer inklusive
Störningen av det amerikanska valet 2016
Hack- och läckoperationerna mot det franska valet 2017
Hackningen av Världsantidopningsbyrån 2016
Avancerade frågor
7 Hur skiljer sig skolan från en vanlig hackergrupp
En vanlig hackergrupp är vanligtvis motiverad av pengar Denna skola är statsfinansierad och politiskt motiverad Dess mål är inte ekonomisk vinning utan geopolitiska fördelar att försvaga fiender skapa kaos och påverka utländska regeringar Träningen är också långt mer systematisk och
