Vulkan Files: Investigativrecherche zu russischen Cyberaktivitäten und die Reaktionen in Deutschland

Lesezeit: 5 Minuten

Die Welt wird zunehmend digitalisiert, und damit einher geht der Aufstieg der Cyberkriegsführung. Cyber-Warfare ist zu einem elementaren Instrument für autokratische Systeme geworden, um die Politik des eigenen und anderer Länder beeinflussen zu können.

Die am 30.03.2023 von einem 50 köpfigen Journalistenteam aus den Häusern des Spiegels, des Guardians, der SZ etc. veröffentlichten sogenannten Vulkan-Files haben erstmals einen tiefgreifenden Einblick in die Taktiken der Cyber-Kriegsführung Russlands gewährt.

Die Dateien, die von einem bis heute anonym gebliebenen Whistleblower zu Beginn der Invasion der Ukraine durch Russland an die SZ geleakt wurden, enthalten Tausende von Dokumenten, die Mitarbeiter des russischen Softwareunternehmens NTC-Vulkan mit der Arbeit an russischen Geheimdienstprojekten in Verbindung bringen. Die Authentizität der Dokumente wurde von mehreren westlichen Geheimdiensten bestätigt.

Dieser Leak ist bedeutsam, weil es einen beispiellosen Zugang zu Informationen über Cyberkriegsoperationen der russischen Regierung bietet. Besonders besorgniserregend an der Veröffentlichung ist die Feststellung, dass sich die russischen Cyberkriegstaktiken und -Bestrebungen nicht nur auf Russlands Grenzen beschränken, sondern sich auch auf globale Ziele erstrecken und erstreckt haben. Die Dokumente, die auf die Jahre 2016 bis 2021 datieren, beschreiben unter anderem den Einsatz ausgeklügelter Cyber-Spionage-Techniken, wie den Einsatz von Malware und Spyware, um Hackingangriffe auf ausländische Regierungen und Unternehmen vornehmen zu können, einschließlich der Europäischen Union und der Vereinigten Staaten.

Besorgniserregende Verbindungen

In diesem Zusammenhang fällt besonders die durch die Files offengelegte Kundenliste auf. Nicht nur der russische Inlandsgeheimdienst FSB, der Militärgeheimdienst GRU und der Auslandsgeheimdienst SWR sind hier mit Aufträgen zu finden, sondern auch die notorische Hackergruppe Sandworm. Eine Einheit des GRU mit der Nummer 74455 hat den Files zufolge nachweislich Verbindungen zu der Firma, die erst in diesem Januar erneut mit versuchten Cyberangriffen auf die kritische Infrastruktur der Ukraine aufgefallen war. Sandworm wird auch hinter Hackingangriffen auf die Olympischen Spiele in Pyeongchang 2018 und dem berüchtigten NotPetya-Angriff von 2016, der bislang wirtschaftlich schädlichsten Malware der Geschichte vermutet, der weltweit Milliarden von Dollar Schaden verursachte und der dazu führte, dass seitdem ein Teil der Hackergruppe vom FBI mit Haftbefehl gesucht wird.

Auch gab es bereits vor der Veröffentlichung der Files Anschuldigungen gegen Vulkan. Die Google Threat Analysis Group (TAG) vermutete bereits 2012, dass Vulkan mit an einem Malware Angriff der Hackergruppe Cozy Bear beteiligt war.[1] Jene Gruppe wird auch für die Einmischung in die Präsidentschaftswahlen der USA 2016 und das Hacken von Clintons Wahlkampfkampagnen verantwortlich gemacht.

Funktionalität der Vulkan-Files

Unter dem Eindruck dieses besorgniserregenden Kundenstamms scheint es umso interessanter und wichtiger zu verstehen, an welchen Softwareprojekten NTC Vulkan genau gearbeitet hat.

Ein Schlüsselprodukt von Vulkan ist Skan-W alias Scan-V. Im Mai 2018 wahrscheinlich durch Sandworm in Auftrag gegeben, soll das Programm die Ausforschung von Systemen nach Schwachstellen für Hackerangriffe automatisieren und damit digitale Feindaufklärung betreiben. [2] Als Teil eines größeren Tools soll Scan-V dazu dienen, in einer Oberfläche nicht nur Daten über Sicherheitslücken und Infrastrukturen durch das System Scan-18 zu sammeln und in einer Datenbank Scan-AS zu speichern, sondern aktiv Angriffsoperationen vorzubereiten und womöglich direkt auszuführen.[3]

Der am zweitmeisten zu findende Softwarename lautet Amezit. Bereits 2016 in Auftrag gegeben, ist die Hauptaufgabe dieses Projekts eine Blaupause für die Überwachung und Kontrolle des Internets in Regionen, die unter russischer Kontrolle stehen und ermöglicht auch Desinformation über gefälschte Profile in sozialen Medien bis hin zur Manipulation der Sicherheitsarchitektur ausländischer Institutionen.[4]

Amezit soll eine Backdoor-Software sein, die sich auf dem betroffenen Computer oder bestimmten Telekommunikationsgeräten installiert, ohne dass der Benutzer dies bemerkt. Es nutzt verschiedene Methoden wie Social Engineering, Phishing-Angriffe und ausgenutzte Schwachstellen, um auf das System zuzugreifen. Amezit kann dann Informationen sammeln, Dateien herunterladen und ausführen sowie den Computer fernsteuern.

Ein drittes, von Vulkan entwickeltes System, Crystal-2V, ist ein Trainingsprogramm für Cyber-Operateure, das ihnen die Methoden beibringt, die erforderlich sind um die Infrastruktur im Schienen-, Luft- und Seeverkehr lahmzulegen. In einer Datei zur Erklärung der Software heißt es, dass „Die Geheimhaltungsstufe der verarbeiteten und gespeicherten Informationen in dem Produkt ‚Top Secret’“ sei.[5]

Andere Programme, die sich in den Vulkan Files finden tragen Namen wie Fraction zur Überwachung von Regimekritikern oder Edison.[6]

Das Datenleak von NTC Vulkan hat Beispiele für gezielte Cyberangriffe auf die Infrastruktur feindlicher Staaten geliefert, die mit diesen Dateien durchgeführt werden könnten. Die Angriffe haben Transportsysteme, Energieunternehmen und andere kritische Infrastrukturen ins Visier genommen. Unter den Dokumenten findet sich auch ein Mock-up zur Veranschaulichung der Störung kritischer Infrastrukturen, dass einen Lageplan des mittlerweile stillgelegten Atomkraftwerks Mühleberg in der Schweiz und einen Plan mit der eingezeichneten ukrainischen Botschaft in Bern zeigt.[7]

Zwar lässt sich nicht mit Sicherheit feststellen, ob die entwickelten Programme auch tatsächlich zum Einsatz kamen. In den E-Mail Verläufen finden sich jedoch Beweise dafür, dass zumindest jede angesprochene Software nicht nur entwickelt, sondern auch umfangreich getestet und den Auftraggebern vorgestellt wurde. Über 17.000 Überweisungen an NTC-Vulkan, die von russischen Instituten in Auftrag gegeben wurden und die Namen der Programme im Überweisungsbetreff tragen, scheinen darüber hinausgehende  Nutzungsvermutungen zu bestätigen.[8]

NTC-Vulkan, die als private Firma den staatlichen Diensten zuarbeitet, wurde bislang, im Gegensatz zu anderen ähnlichen russischen Firmen, noch nicht von den USA sanktioniert.

Innerstaatliche Cyberkriegstaktik

Die durchgesickerten Dokumente enthüllen auch den Einsatz von Cyberangriffen zur Unterdrückung innerstaatlicher politischer Opposition und unabhängiger russischer Medien. Die Files lassen auf einen großflächig versuchten Einsatz von Cyberüberwachungssoftware und Zensur zur Überwachung und Kontrolle von Online-Aktivitäten, einschließlich sozialer Medien und Messaging-Apps erkennen. Durch die von NTC-Vulkan gekauften oben benannten Softwares wurde aktiv an Hacking, Desinformations- und Propagandaverbreitung unter der russischen Bevölkerung gearbeitet. Es ist bekannt, dass die russische Regierung unter Zuhilfenahme dieser Arbeit den Zugang zu regimekritischen Websites und Social-Media-Plattformen, darunter Twitter und Facebook aktiv versucht hat zu blockieren und ein falsches politisch Narrativ zu verbreiten.[9]

Deutsche Reaktionen

Die Enthüllungen aus den Vulkan-Files haben auch in der deutschen Politik große Wellen geschlagen und zu Forderungen nach verstärkten Cybersicherheitsmaßnahmen zum Schutz vor ähnlich gearteten Cyberangriffen und ausländischer Spionage geführt. Die Verwendung dieser Dateien in der Cyberkriegsführung sei im Wortlaut von Innenministerin Nancy Faeser ein „klares Indiz für das aggressive Verhalten Russlands gegenüber anderen Ländern“. Als Reaktion darauf sei es wichtig, mit Nachdruck die Stärkung von Behörden und kritischer Infrastruktur gegen Cyberangriffe zu fördern. Faeser forderte in diesem Zusammenhang, das BKA als Zentralstelle mit Befugnis zum sog. Hack-Back aufzurüsten, um sich besser gegen Cyberkriminelle und ausländische regierungsgesteuerte Hacks verteidigen zu können.[10] In einem Interview mit dem ZDF schlussfolgerte sie: „Es geht nicht um aggressive Gegenschläge. Aber es geht natürlich darum, dass wir die Befugnisse haben, zu erkennen und die Angriffe zu stoppen. Diese Befugnisse brauchen wir allerdings und ich sehe diese Befugnisse beim Bundeskriminalamt am besten aufgehoben“.[11]

Der Einsatz solcher Hackbacks ist in Deutschland jedoch höchst umstritten. Lesen Sie für weitere Informationen dazu unseren Blogbeitrag „Hackbacks auch in Deutschland?“.

Insgesamt werfen die „Vulkan-Dateien“ wichtige Fragen auf über die Rolle Russlands im globalen Kontext und die Bedeutung von digitaler Sicherheit und Informationsfreiheit auf. Die Dokumente zeigen, dass Russland ein umfangreiches Netzwerk mit gefährlicher Software aufgebaut hat, um den öffentlichen Diskurs und politische Prozesse in anderen Ländern zu beeinflussen und den des eigenen Landes ruhig zu halten. Es bleibt abzuwarten, welche Konsequenzen aus diesen Enthüllungen durch die internationale Gemeinschaft gezogen werden.

[1] https://www.euractiv.de/section/desinformation/news/vulkan-dateien-enthuellen-russlands-strategie-der-cyberkriegsfuehrung/?utm_source=piano&utm_medium=email&utm_campaign=12192&pnespid=p7g9Aj9cKbgeyvLJ.Ta2H5uXsB2xTsMpKrDj2epz9EVmfIHNl8ZwNKsferzkJpF4wCDGuzaCEg

[2] https://www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics ; https://www.theregister.com/2023/03/31/vulkan_files_russia/

[3] https://www.derstandard.at/story/2000144975587/das-sind-die-hacking-tools-die-russische-geheimdienste-laut-den

[4] https://www.euractiv.de/section/desinformation/news/vulkan-dateien-enthuellen-russlands-strategie-der-cyberkriegsfuehrung/?utm_source=piano&utm_medium=email&utm_campaign=12192&pnespid=p7g9Aj9cKbgeyvLJ.Ta2H5uXsB2xTsMpKrDj2epz9EVmfIHNl8ZwNKsferzkJpF4wCDGuzaCEg

[5] https://www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics

[6] https://www.heise.de/news/Vulkan-Files-Geheimdokumente-enthuellen-Russlands-Cyberwaffen-8267980.html

[7] https://www.derstandard.at/story/2000145052847/massiver-leak-legt-erstmals-russlands-krieg-im-netz-offen?ref=rss

[8] https://www.derstandard.at/story/2000145052847/massiver-leak-legt-erstmals-russlands-krieg-im-netz-offen?ref=rss

[9] https://www.zeit.de/digital/2023-03/vulkan-files-cyberkrieg-russland-software-faq

[10] https://www.zdf.de/nachrichten/digitales/vulkan-files-faeser-hackback-bka-kritik-100.html

[11] https://www.zdf.de/nachrichten/politik/vulkan-files-nancy-faeser-russland-hacker-cyberkrieg-100.html