[ziesell]

Zitat:

NTC Vulkan: Einblick in die Welt von Russlands Cyberkriegsführung

Bisher streng geheime Dokumente haben das Ausmaß der Cyberkriegsfähigkeiten Russlands aufgedeckt.



Die als Vulkan-Akten bekannten Dokumente enthüllen, wie Mitarbeiter des in Moskau ansässigen Unternehmens NTC Vulkan Hackingoperationen für das russische Militär und die Geheimdienste unterstützen. Dabei handelt es sich um 5.299 Seiten mit Projektplänen, Anleitungen und internen E-Mails von Vulkan aus den Jahren 2016 bis 2021.

Ein Informant, der anonym bleiben will, stellte der Süddeutschen Zeitung (Paywall) die oben genannten Dokumente zur Verfügung, die einen detaillierten Einblick in die Cyberkriegsführung Russlands gewähren.

Die Journalisten überprüften und werteten die Papiere gemeinsam mit Kollegen von Spiegel, ZDF Frontal, dem österreichischen Standard, dem britischen Guardian und der Washington Post aus und gewannen Einblicke in die Cyberkriegsführung und die Rolle des Unternehmens NTC Vulkan aus Moskau, das als Tarnorganisation genutzt wird.

Die Daten wurden von den beteiligten Redaktionen mithilfe externer Quellen verifiziert. Dabei handelt es sich um sensible Daten wie Namen, E-Mail-Adressen, Telefonnummern und Berufsbezeichnungen von Mitarbeitern des Unternehmens NTC Vulkan. Diese Angaben konnten mit Informationen von Jobportalen sowie Social-Media-Plattformen abgeglichen werden und wurden auch in Artikeln von Fachzeitschriften gefunden, die von den betreffenden Mitarbeitern veröffentlicht wurden. Der Spiegel kontaktierte mehrere westliche Geheimdienste, die die Authentizität der Dokumente bestätigten.

Die Dokumente zeigen, dass Mitarbeiter von NTC Vulkan für das russische Militär und die Geheimdienste an gemeinsamen Hackingoperationen arbeiteten. Sie schulten auch Agenten im Hinblick auf Angriffe auf kritische Infrastrukturen und verbreiteten Desinformationen. Das Ziel dieser Cyberwar-Kampagnen waren Wahlen und Politiker in den USA, Frankreich und Deutschland.

Die Dokumente, die aus den Jahren 2016 bis 2021 stammen, belegen, dass Russland weitreichende Möglichkeiten aufbaute, Angriffe sowohl auf die Infrastruktur als auch auf die Gesellschaft durchzuführen, um zum Beispiel Wahlen zu manipulieren.

Der Spiegel spürte auch einen ehemaligen Mitarbeiter von NTC Vulkan in Dublin auf, der mittlerweile für Amazon Web Services arbeitet. Mit seinen früheren Tätigkeiten konfrontiert, verweigerte der Mann jegliche Kommunikation mit den Reportern.

Die Vulkan-Akten enthalten dem Bericht der Süddeutschen Zeitung nach eine Fülle von Informationen über die Ausbildungsprogramme bei NTC Vulkan. Dazu gehören die Lahmlegung von Kontrollsystemen des Schienen-, Luft- und Seeverkehrs, die Störung von Energieunternehmen und kritischer Infrastruktur und das Aufspüren von Schwachstellen in diesen Bereichen, damit sie angegriffen werden können.

Sandworm soll ukrainische Stromversorgung und Olympische Spiele angegriffen haben

Ein Schlüsselprodukt von NTC Vulkan ist Skan-W, auch bekannt als Scan-W, das in der Lage ist, Server auf Schwachstellen zu überprüfen, die Angreifer nutzen können, um einzudringen und Schaden anzurichten. In einem Dokument wird das Cyberangriffstool Skan-W mit der Hackergruppe Sandworm in Verbindung gebracht, die nach Angaben der US-Regierung zweimal Stromausfälle in der Ukraine verursachte und die Olympischen Spiele in Südkorea störte; auch die Malware Notpetya soll auf das Konto von Sandworm gehen.

NTC Vulkan entwickelt den Auswertungen nach Hunderte von Cyberwaffen. Beweise für diese Softwareprojekte fänden sich in mehr als 17.000 Überweisungstransaktionen von russischen Geheimdiensten und Militärdienststellen, heißt es in den Berichten. Die Zahlungen an NTC Vulkan erfolgten in Raten von mehreren Millionen Euro und enthielten in der Betreffzeile die Namen der Schad-Programme. NTC Vulkan unterhalte auch enge Kontakte zu großen Moskauer Universitäten, rekrutiere junge Talente unter den Absolventen und halte an der Lomonossow-Universität Kurse zur Infiltration sozialer Netzwerke ab.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[nolte]

Hat jemand einen link zu diesen Dokumenten? Finde keinen. Sowas Schlimmes ist doch irgendwo veröffentlicht worden, will man den Russkis das Handwerk legen.
edit:
Frage nochmal eindringlich: Wo finde ich diese Vulkan Files???

[nolte]

Oha, [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] hilft und ordnet ein:

Zitat:

Ach gucke mal, geht doch! [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] frei einsehbar.Und was sieht man, wenn man reinguckt? Ich hab mal kurz auf das erste Dokument geguckt, ScanV_4. Auf Seite 15 sehen wir da Java-Code, der eine Datei "verschlüsselt", indem er XOR mit dem Passwort macht.
Da kann ich das ganze Ding direkt zumachen. So macht niemand Verschlüsselung, der mehr als Kindergarten-Niveau Kontakt mit dem Thema hatte.
Ich hab keine Angst vor diesen Leuten. Viel tiefer kann man in Krypto-Fragen nicht ins Klo greifen.
Ich muss euch aber auch sagen, dass ich ansonsten nicht viel Grund sehe, wieso ich diese Dokumente durchgucken sollte. Die Angriffsoberflächen und Risiken unserer Systeme sind wohl untersucht und bekannt. Welche Art von Daten man sehen und korrelieren kann, ist auch bekannt. Was man tun müsste, um weniger angreifbar zu sein, ist auch bekannt.
Was für Überraschungen gibt es denn, an denen ich Interesse hätte? Die könnten neue Angriffsarten gefunden haben, oder sie könnten bisher unbekannte Lücken in Systemen gefunden haben. Das war's. Daran hätte ich Interesse.
Beides ist hier nicht zu erwarten, und nicht nur wegen der "XOR-Verschlüsselung". Die Dokumente da scheinen Handbücher zu sein (das sage ich ganz oberflächlich angesichts des Layouts, ich habe das nicht zu übersetzen versucht). Da würde man keine 0days dokumentieren, denke ich.
Was könnte da noch drinstehen, was andere Leute interessante fänden? Die könnten da ihre C&C-Protokolle dokumentieren. Finde ich absolut uninteressant. Interessiert mich nicht die Bohne. Mich interessiert, wie man verhindern kann, dass die Ransomware überhaupt aufs System kommt, nicht wie das dann nach Hause telefoniert.
Wieso lese ich diese Dokumente jetzt nicht, um nach den Dingen zu suchen? Weil das echten Nachrichtenwert hätte. Davon hätten wir gehört. Oder wir würden davon hören, wenn das jemand noch findet. Die Wahrscheinlichkeit dafür ist zu gering, als dass ich jetzt tausende von Seiten durchgucke.
Bisschen oberflächlich reingucken kann man mal machen, da findet man dann in dem scanv_1.pdf z.B. eine Sektion, wie man bei einem Brand der Appliance den Feuerlöscher auf die Oberfläche und nicht die Flamme in der Luft lenken soll. In dem amezit.pdf sehe ich Compliance-Blablah, was für Tests durchgeführt werden, um festzustellen, ob das System läuft. *gähn*
Das krystalv2.pdf redet darüber, wie sie das Lecken von Staatsgeheimnissen durch organisationellen Aufbau vermeiden wollen. Schon interessanter, aber das ist auch wohlverstanden und untersucht im Westen. Da erwarte ich jetzt keine neuen Einblicke.
In sandworm.pdf geht es offenbar um Protokolle zwischen den Scannern und Backend. Interessiert mich auch überhaupt gar nicht. Mich interessiert, wie ich das System so baue, dass der Scanner nichts findet. Weiter unten sind dann die üblichen Stichwörter. Die machen einen Portscan und gucken nach CVEs. Wenn man bei euch mit einem Port- und Bannerscan CVEs finden kann, dann habt ihr alle Ransomware verdient, die ihr euch einfangt.
Meine Methodologie war, die Dokumente aufzumachen, zufällig auf eine Seite zu springen, einen Absatz in deepl zu pasten, und dann zu gucken, was der übersetzt.
Dass andere Länder solche Programme haben, ist seit Jahren bekannt. Wir haben sowas schließlich auch, minus hoffentlich der Ransomware. Aber unsere Behörden finden auch, dass sie in offensive Security investieren sollten. Was dachtet ihr denn, was das in der Praxis heißen würde?