Russlands Strategie der Cyberkriegsführung offengelegt
Durchgesickerte Dokumente des russischen Cybersicherheitsunternehmens RTV Vulkan, das den Kreml und seine Agenturen als Kunden führt, geben erstmals Einblick in die Vorgehensweise Russlands im Cyberraum.
Durchgesickerte Dokumente des russischen Cybersicherheitsunternehmens RTV Vulkan, das den Kreml und seine Agenturen als Kunden führt, geben erstmals Einblick in die Vorgehensweise Russlands im Cyberraum.
Die am Donnerstag veröffentlichten „Vulkan Files“ beziehen sich auf das russische Unternehmen RTV Vulkan und geben Aufschluss darüber, wie eng klassisches Militär, Cyber-Operationen und psychologische Kriegsführung unter Moskaus Führung miteinander verflochten sind.
Berichten zufolge wurden die Akten am 24. Februar 2022 von einem Whistleblower, der sich gegen den Einmarsch in der Ukraine aussprach, der Süddeutschen Zeitung übergeben. Der Inhalt wurde von mehr als 50 Journalisten aus acht Ländern analysiert, die mit Medien wie The Guardian, der Washington Post und Le Monde zusammenarbeiten und von Paper Trail Media und Der Spiegel geleitet werden.
„Tausende von Seiten geheimer Dokumente enthüllen, wie das in Moskau ansässige Rüstungsunternehmen NTC Vulkan den russischen Geheimdiensten geholfen hat, ihre Fähigkeit zur Durchführung von Cyberangriffen, zur Verbreitung von Desinformationen und zur Überwachung des Internets zu stärken. Die Untersuchung deckte die Verbindungen von NTC Vulkan zu ‚Sandworm‘ und ‚Cozy Bear‘ auf“, schreibt Paper Trail Media.
Durch die Dokumente werden Strategien des Kremls zur Beeinflussung von Diskussionen in sozialen Medien, zur Überwachung und Spionage, zur Manipulation der öffentlichen Meinung, zur Einmischung in Wahlen und zur Zensur offen gelegt. Es zeigt auch die enge Beziehung zwischen den russischen Geheimdiensten und dem Unternehmen, das regelmäßig in Vorträgen über Themen wie den Kampf gegen den digitalen „Extremismus“ auftritt.
„Es geht nicht darum, einen aggressiven Gegenangriff zu starten. Aber es geht natürlich darum, dass wir in der Lage sind, die Angriffe zu erkennen und zu stoppen. Diese Kompetenzen werden gebraucht“, sagte Bundesinnenministerin Nancy Faeser als Reaktion auf die Enthüllungen.
Hintergrund
Die durchgesickerten Dateien enthalten interne Dokumente und Vereinbarungen mit Softwareherstellern sowie eine De-facto-Kundenliste, darunter der Inlandsgeheimdienst FSB, der Auslandsgeheimdienst SWR, der militärische Nachrichtendienst GRU und die GRU-Einheit 74455: Hackergruppe Sandworm – eine Gruppe, die wahrscheinlich für Stromausfälle in der Ukraine verantwortlich ist und die russische Invasion aktiv unterstützt hat.
Das russische Cybersicherheitsunternehmen wurde zuvor von der Google Threat Analysis Group (TAG) beschuldigt, an einer Malware-Kampagne der russischen Hackergruppe „Cozy Bear“ beteiligt gewesen zu sein, die auf das Jahr 2012 zurückgeht.
In den durchgesickerten Dokumenten werden verschiedene Tools beschrieben, insbesondere zum Aufspüren von Sicherheitsschwachstellen und zur Planung von Angriffen auf die Netzinfrastruktur, Zensur, Desinformation und Überwachung.
Scan-V
Eines der Werkzeuge zum digitalen Abhören von Feinden, das seit 2018 verfolgt wird, heißt Scan-V. Es sammelt Informationen über das Ziel, wie etwa die Netzwerkstruktur, Abteilungen und Mitarbeiter, um es aus der Ferne auszuspionieren.
Die Wissensbeschaffung basiert teilweise auf öffentlichen Quellen, darunter Websites, die über Sicherheitslücken informieren. Als Teil eines größeren Tools scannt es die Zielsysteme auf Schwachstellen, um die Angriffe intern zu koordinieren. Alle Schwachstellen werden protokolliert und in einer Datenbank gespeichert.
Amezit
Das Tool Amezit dient der Zensur, Überwachung und Desinformation, aber auch dem Aufspüren von Schlupflöchern und Sicherheitslücken in der Software bestimmter Telekommunikationsgeräte von Unternehmen wie Huawei, Juniper und Cisco. Um den Netzverkehr zu stören, werden bekannte Seiten nachgeahmt und dort falsche oder manipulierte Inhalte verbreitet.
Zum Zweck der Desinformation werden massenhaft gefälschte Profile erstellt, um kremlfreundliche Inhalte in großem Stil per E-Mail, SMS und über soziale Medien zu verbreiten. Die öffentliche Meinung kann durch gezieltes Pushen einzelner Hashtags beeinflusst werden. Bot-Datenbanken bilden die Grundlage für diese Operationen.
Das internationale Rechercheteam von „Vulkan Files“ hat mehrere hundert Konten auf Twitter identifiziert, die direkt oder indirekt mit den Dokumenten in Verbindung gebracht werden können.
Um diesen Aktivitäten und kleinen Details keine russische Identität zuordnen zu können, gehören zu den Anleitungen das Erstellen von Mailkonten bei Gmail, Yahoo und Hotmail sowie Zahlungsvorgänge mit Kryptowährung oder Prepaid-Kreditkarten. Darüber hinaus zielt das Subsystem LPI/Legend darauf ab, die Herkunft von Daten zu verschleiern, indem es Metadaten entweder entfernt oder sogar absichtlich verfälscht.
[Bearbeitet von Alice Taylor/Luca Bertuzzi]
