"Vulkan Files": Hinter den Kulissen von Putins Cyberkrieg

Ein Leak von Geheimdokumenten enthüllt, wie Mitarbeiter der Moskauer Firma Vulkan Hacking-Operationen fürs russische Militär und die Geheimdienste unterstützen.

In Pocket speichern vorlesen Druckansicht 288 Kommentare lesen

(Bild: Maxim Gaigul/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Die so genannten "Vulkan Files" geben neue Einblicke in die Cyberkriegsführung von Russlands Präsident Wladimir Putins. Ein Whistleblower, der anonym bleiben will, hat die Süddeutsche Zeitung (SZ) mit Tausenden Seiten geheimer Dokumente der Moskauer IT-Firma NTC Vulkan versorgt. Journalisten der SZ werteten die Papiere gemeinsam mit Kollegen etwa vom "Spiegel", ZDF Frontal, dem österreichischen "Standard", dem britischen Guardian und der Washington Post aus. Sie enthüllen, dass Vulkan-Mitarbeiter für das russische Militär und die Geheimdienste an gemeinsamen Hacking-Operationen gearbeitet, Agenten vor Angriffen auf kritische Infrastruktur geschult und Desinformation verbreitet haben. Ziel der unterstützten Cyberwar-Kampagnen war es zudem, Teile des Internets zu kontrollieren und zu zensieren.

Die Dokumente aus den Jahren 2016 bis 2021 zeigen laut dem ZDF, dass Russland weltweit im Netz zuschlagen will. Nach außen hin gebe sich Vulkan als harmloser Betrieb, der Software entwickelt und die IT-Sicherheit vorantreibt. Tatsächlich arbeite das von Anton Markov, einem Absolventen der Militärakademie in St. Petersburg geführte Unternehmen auch für den russischen Militärgeheimdienst GRU, den Inlandsgeheimdienst FSB und den Auslandsgeheimdienst SWR.

Teil der "Vulkan Files" sind Schulungsunterlagen zu den beauftragten Programmen. Dazu gehört: "Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport", "Störung von Energieunternehmen und kritischer Infrastruktur" sowie das Identifizieren von Schwachstellen in diesen Bereichen, um sie angreifen zu können.

Ein Schaubild aus den Unterlagen veranschaulicht dem "Standard" zufolge das mittlerweile stillgelegte Atomkraftwerk Mühleberg in der Schweiz. Ausgerechnet bei diesem hatten Experten zuvor Sicherheitslücken entdeckt. Daneben wird in den Dokumenten das Schweizer Außenministerium genannt. Eine Markierung deutet auf jene Gegend hin, wo die ukrainische Botschaft in Bern ihren Sitz hat. Es handle sich vermutlich zunächst um Platzhalter, schreibt die Zeitung. Diese dürften aber echten Zielen ähneln, zumal an anderen Stellen Angriffe auf Zuglinien, Flughäfen und weitere wichtige Infrastruktur erwähnt würden.

Ein Schlüsselprodukt von Vulkan ist Skan-W alias Scan-W. Es soll das Internet nach Schwachstellen durchsuchen können, über die Angreifer in fremde Server eindringen und Schaden anrichten können. Dieses Werkzeug wird laut dem Guardian mit der berüchtigten Hackergruppe Sandworm in Verbindung gebracht, die nach Angaben der US-Regierung zweimal Stromausfälle in der Ukraine verursachte und die Olympischen Spiele in Südkorea störte. Mit NotPetya soll die "Einheit 74455" des Militärgeheimdienstes GRU, die den Artikeln zufolge hinter Sandworm steckt, die wirtschaftlich schädlichste Malware der Geschichte in Umlauf gebracht haben.

Westliche Sicherheitsforscher verwiesen bereits darauf, dass die Cyberattacke auf den US-Anbieter Viasat und sein KA-Sat-Netz für Satelliteninternet im Februar 2022 parallel zum bewaffneten Überfall Russlands auf die Ukraine auf das Konto einer Wiper-Schadsoftware ging. Das als "AcidRain" bekannte zerstörerische Programm, das Zehntausende Breitbandmodems weltweit außer Betrieb setzte, soll Ähnlichkeiten mit einem Plug-in der Botnetz-Malware VPNFilter aus dem Sandworm-Cluster aufweisen. Offiziell leugnet der Kreml, für solche Angriffe verantwortlich zu sein. Die Vulkan-Files legen die Verbindungen nun aber weitgehend offen, etwa über Abrechnungen mit Namen der Operationen und Malware.

Ein weiteres auftauchendes System mit dem Namen Amezit (Amesit) ist eine Blaupause für die Überwachung und Kontrolle des Internets in Regionen, die unter russischem Kommando stehen. Damit könnten gesamte Regionen vom freien Internet abgeschnitten werden, schreibt die SZ. Es ermögliche auch die massive Verbreitung von Desinformation über gefälschte Profile in sozialen Medien.

Crystal-2V ist ein Trainingsprogramm für Cyber-Operateure, das ihnen die Methoden beibringt, die erforderlich sind, um die Infrastruktur im Schienen-, Luft- und Seeverkehr lahmzulegen. In einer Datei zur Erklärung der Software heißt es: "Die Geheimhaltungsstufe der verarbeiteten und gespeicherten Informationen in dem Produkt ist 'Top Secret'." Andere von Vulkan entwickelte Programme hören auf Namen wie Fraction zur Überwachung von Regimekritikern oder Edison.

In über 17.000 Überweisungsvorgängen finden sich Belege für diese Softwareprojekte. Demnach erhielt Vulkan ratenweise Zahlungen in Höhe von mehreren Millionen Euro, in deren Betreff die Namen der Programme zu finden sind. Die Zahlungen wiesen den Berichten zufolge Institute an, die eng mit Geheimdiensten und dem Militär verbunden sind. Enge Kontakte gebe es auch mit den großen Moskauer Universitäten. Vulkan werbe gezielt um Nachwuchs unter Absolventen, an der Lomonossow-Universität hätten Firmenvertreter einen Kurs zum Unterwandern sozialer Netzwerken abgehalten.

Konstantin von Notz, Vizefraktionschef der Grünen im Bundestag und Vorsitzender des für die Geheimdienste zuständigen Parlamentarischen Kontrollgremiums, geht von "Hunderten solcher Cyberwaffen" aus, die gerade entwickelt werden. "An diesen Beispielen und auch an vielen Vorfällen der letzten Jahre wird deutlich, dass es eine reale Gefahr aus dem Cyberraum gibt für die kritische Infrastruktur in Deutschland", befürchtet er. Vulkan soll nur eines von mehr als 30 russischen Unternehmen sein, die um die lukrativen Staatsaufträge für den Cyberkrieg konkurrieren.

(mki)