Eine Auswertung der Vulkan-Files durch viele Medien und Journalisten belegt, dass Russlands Geheimdienste FSB, GRU und SWR inländische Unternehmen beauftragen Software und Datenbanken für Cyberangriffe zu entwickeln, Schwachstellen zu suchen und staatlichen Hackergruppen wie Sandworm zur Verfügung zu stellen.
Dreh- und Angelpunkt der Geschichte sind die Vulkan-Files, die dem Reporter Hannes Munzinger anonym zugespielt wurden. In tausenden Seiten Geheimmaterial gibt es Schulungsdokumente für die russische Cyberarmee. In diesen Dokumenten werden zusammengefasst die möglichen Angriffsziele benannt: das Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport, die Störung von Funktionen von Energieunternehmen, sowie Attacken auf die kritische Infrastruktur.
Schützenhilfe für russische Staatshacker
An der Auswertung der Dokumente waren mehr als 50 Journalisten von bekannten Medien beteiligt, wie etwa SZ, der Spiegel, paper trail media oder das ZDF. Das ZDF-Team der Sendung Frontal hat die Auswertung in einem sehr detaillierten Bericht aufgearbeitet, welcher in der Mediathek bereitsteht.
Die Dokumente belegen die Aufgaben des russischen Unternehmens Vulkan: sie sollen eine weltweite Schwachstellendatenbank bereitstellen, Werkzeuge zur Attacke fertigen, Software zur Übernahme von Netzen und der kompletten Umsteuerung der Inhalte entwickeln. Auf diese Weise sollen ganze Netzteile in besetzen Gebieten nur noch die Ergebnisse von Desinformation zeigen. Die passende Software Amesit-W erledigt diese Aufgabe. Russische Geheimdienstbehörden arbeiten bereits mit Programmteilen wie PMS und PRR – vermutlich um die Internetinhalte der besetzten Gebiete in der Ukraine zu steuern.
Zweites Schlachtfeld im Cyberraum
🔎 Die Frontal-Reportage zu den Vulkan-Files fasst alles sehr gut zusammen (Bild: ZDF).
Die Analysen der Vulkan-Files zeigt, dass Russland in der Ukraine alle seine Cyberwaffen in der Realität erprobt oder direkt nutzt. War etwa die APT-Gruppe Sandworm zu Beginn ein unabhängiger Akteur, zu dem jede staatliche Verbindung geleugnet wurde, so wird jetzt ganz offen agiert. Denn die Gruppe ist nun bekannterweise die Spezialeinheit 74455 des russischen Militärgeheimdienstes GRU.
Zu Beginn des Ukraine-Krieges attackierte die Sandworm-Gruppe öffentliche Einrichtungen, Kommunikation und Anlagen zur Steuerung der weiteren Infrastruktur. Alleine dabei gab es viele Kollateralschäden, wie etwa bei der Attacke auf KA-SAT, die nicht nur die Ukraine mit Internet versorgte, sondern auch von europäischen Kunden genutzt wird. Nach dem lahmlegen von KA-SAT wurde auch der Zugriff auf 5.000 deutsche Windräder gestört. Es war keine Steuerung mehr möglich.
Dass die staatlichen Hacker, wie etwa Sandworm, in Sinne der russischen Befehlsführung agieren, zeigt auch der aktuelle Strategiewechsel: seit einiger Zeit attackieren die Hacker fast nur noch kritische Infrastruktur, wie die Strom- und Wasserversorgung, Wärmekraftwerke und andere KRITIS-Einrichtungen. Gleichzeitig greift die russische Armee diese Ziele auch mit Drohnen und Raketen an.
Attacken unter dem APT-Gruppen-Deckmantel
In Europa werden immer mehr Regierungen und Unternehmen attackiert die in irgendeiner Weise mit der Ukraine zusammenarbeiten oder die Sanktionen gegen Russland unterstützen. Das zeigen auch die vielen Reports der Security-Spezialisten, wie etwa der Fakt, dass es viel mehr Stör- und Zerstörungs-Software gibt. Das stellte auch auch Check Point in seinem Report fest. Diese Art der Software wird nicht in einem Erpresser- oder Spionage-Business genutzt. Sie gehören bei geopolitischen Konflikten zum Arsenal der Cyberwaffen, die Daten und Strukturen gezielt zerstören.
Red./sel