Dass der von Russland angezettelte Krieg in der Ukraine längst nicht nur auf den Schlachtfeldern zwischen Bachmut und Cherson stattfindet, sondern auch im World Wide Web immer weitere Kreise zieht, dürfte hinlänglich bekannt sein. Doch nun kamen mit den sogenannten Vulkan Files weitere Details ans Licht, wie der russische Machthaber Wladimir Putin seine Hackerbanden in Stellung bringt, um die Ukraine und auch westliche Länder im Cyberraum anzugreifen.

Was sind die Vulkan Files?

Die Vulkan Files haben ihren Namen von dem russischen Softwarehersteller Vulkan. Ein Whistleblower, der anonym bleiben möchte, hat westlichen Medien tausende von internen Dokumenten der Firma durchgesteckt, die belegen, dass der im Nordosten Moskaus ansässige IT-Anbieter als verlängerter Arm russischer Geheimdienste fungiert. Die Daten wurden den Medien bereits kurz nach dem Angriff Putins auf die Ukraine im Frühjahr 2022 zugespielt. Angesichts der Kriegsgreuel habe er sich entschlossen, die Informationen zu veröffentlichen, so die Beweggründe des Whistleblowers.

Wer hat die Vulkan Files ausgewertet?

Ausgewertet wurden die Daten vom ZDF, dem Spiegel, der Süddeutschen Zeitung sowie weiteren internationalen Medien wie zum Beispiel die französische Le Monde, der "Standard" aus Wien, der britische "Guardian" und die Washington Post. Die Dokumente stammen aus den Jahren 2016 bis 2020. An den Auswertungen der Dokumente waren offenbar auch westliche IT-Sicherheitsanbieter beteiligt, wie das zu Google Cloud gehörende Mandiant.

Westliche Geheimdienste, die teilweise an den Auswertungen beteiligt waren, halten das Material für authentisch. Medienberichten zufolge hat das internationale Recherche-Team mehr als 90 ehemalige Vulkan-Mitarbeiter identifiziert und zu den Inhalten aus den geleakten Dokumenten befragt. Diejenigen, die bereit waren zu sprechen, haben demzufolge die Informationen aus den Vulkan Files bestätigt.

Wer ist NTC Vulkan?

NTC Vulkan ist ein russischer Anbieter für IT-Sicherheitstechnologien. Das Unternehmen wurde 2010 in Moskau von Anton Markow und Alexander Irschawskij gegründet. Markow ist heute Hauptgeschäftsführer und Irschawskij Technischer Direktor der Firma. Beide Männer sind Absolventen der Militärakademie St. Petersburg. Auf der Kundenliste von Vulkan stehen laut Angaben auf der Website der Russen neben zahlreichen russischen Banken auch Toyota Financial Services sowie die Anfang 2021 im Automobilkonzern Stellantis aufgegangene PSA Groupe.

Mit wem arbeitet Vulkan zusammen?

Die geleakten Dokumente belegen, dass als Auftraggeber hinter Vulkan das russische Verteidigungsministerium, das Militär sowie die drei großen Geheimdienste Putins stehen: der Militärgeheimdienst GRU, der Inlandsgeheimdienst FSB und der Auslandsgeheimdienst SWR. Unter anderem soll der Softwareanbieter mit der berüchtigten Einheit 74455 des GRU zusammengearbeitet haben. Die Hackergruppe ist auch unter dem Namen Sandworm bekannt.

Ukraine fürchtet um Stromversorgung

Kurz vor und nach der russischen Invasion in die Ukraine soll die Bande massive Cyberattacken gegen das ukrainische Stromnetz gefahren haben. Ferner sollen die Hacker für Angriffe auf die Veranstalter der olympischen Winterspiele 2018 in Südkorea und für Manipulationsversuche während des französischen Präsidentschaftswahlkampfs 2022 verantwortlich sein. Auch mit anderen russischen kriminellen Hackergruppen wie "Fancy Bear" und "Cozy Bear" soll Vulkan schon seit Jahren in Verbindung stehen.

Wie können Hacker Vulkan-Software einsetzen?

In den geleakten Dokumenten geht es vor allem um zwei Softwareprodukte von Vulkan: "Skan-W" und "Amesit". Mit Skan-W könnten Hacker den Dokumenten zufolge ihre Angriffe automatisiert vorbereiten. Die Software dient in erster Linie dazu Sicherheitslücken aufzuspüren, Informationen darüber zu sammeln und diese strukturiert in einer Datenbank vorzuhalten. Über diese so erfassten Schwachstellen können im nächsten Schritt die Attacken mit verschiedensten Malware-Typen laufen. Das Programm sei "definitiv für offensive Zwecke gebaut", zitiert der österreichische Standard den Mitarbeiter eines europäischen Nachrichtendienstes.

"Amesit" diene dagegen der umfassenden Kontrolle und Zensur des Internetverkehrs - in Russland selbst, aber auch in besetzten Gebieten, heißt es in einem ZDF-Bericht. Mit Hilfe der Software lasse sich beispielsweise Datenverkehr von einer Netzwerkstruktur auf eine andere umleiten. Außerdem könne mit Amesit das Anlegen von Fake-Profilen in sozialen Netzwerken automatisiert werden.

Spioniert Russland unsere Stromnetze aus?

Neben diesen beiden Softwarewerkzeugen soll Vulkan auch Übungsprogramme wie "Chrystal-2V" gebaut haben, mit deren Hilfe Hacker das Lahmlegen von Kontrollsystemen im Schienen-, Luft- und Schiffstransport sowie die Störung von Energieunternehmen und anderer kritischer Infrastruktur trainieren könnten. Andere Systeme wie "Fraction" dienen der Überwachung von Social-Media-Kanälen, um missliebige Kommentare und Kampagnen möglichst frühzeitig identifizieren und abschalten zu können.

Laut den bislang vorliegenden Informationen soll der russische Staat die Entwicklung der Vulkan-Software mitfinanziert haben. Demzufolge seien über mehrere Jahre Geld von staatlichen Forschungseinrichtungen wie dem "Forschungsinstitut für Radiokommunikation" in Rostow am Don an Vulkan geflossen.

Wie wird die Vulkan-Software für Cyberangriffe eingesetzt?

Die Vulkan Files geben keinen Aufschluss darüber, welche Ziele konkret mit der oben genannten Software attackiert wurden beziehungsweise noch angegriffen werden sollen. Es gibt auch keine Hinweise auf konkrete russische Angriffspläne im Cyberraum. Exemplarisch wird in den Dokumenten lediglich ein Angriff auf das mittlerweile stillgelegte Schweizer Atomkraftwerk Mühleberg skizziert.