In den Medien wird aktuell von den sogenannten Vulkan-Files berichtet. In diesem Beitrag informieren wir über die Inhalte dieser Dateien und ihre Bedeutung für deutsche Unternehmen und Behörden. Außerdem geben wir Handlungsempfehlungen aus unserer Sicht als Penetration Tester und IT Security Consultants.
Bei den sogenannten Vulkan-Files handelt es sich um interne Daten einer russischen Softwarefirma. Durch den Leak wurde öffentlich bekannt, wie russische Geheimdienste mit Unterstützung privater Firmen versuchen, weltweite Hacking-Operationen zu planen und durchzuführen. (Quelle: Tagesschau)
Seit dem Beginn des russischen Angriffskrieges gegen die Ukraine ist die Anzahl russischer Hackerangriffe gegen die Ukraine stark angestiegen. Betroffen waren oftmals Kritische Infrastrukturen (KRITIS). Dieser Angriffskrieg soll Auslöser für den aufsehenerregenden Leak der sogenannten Vulkan-Files sein, deren Inhalte Einblicke in den militärisch-industriellen Komplex Russlands und dessen Denkweise geben sollen. Die Authentizität der Vulkan-Files sei von mehreren westlichen Nachrichtendiensten bestätigt worden, meldete die Tagesschau.
Die in Moskau ansässige Firma NTC Vulkan beschäftigt sich mit Informationstechnologien und zählt unter anderen den FSB (Inlandsgeheimdienst), den SWR (Auslandsgeheimdienst) und den GRU (Militärgeheimdienst) zu ihren Kunden und Auftragsgebern. Die Leaks weisen darauf hin, dass auch die notorische Hackergruppe Sandworm, welche dem GRU angehörig ist, in Verbindung mit NTC Vulkan stehen könnte.
Berichten zufolge hat die Threat Analysis Group von Google bereits 2012 schwerwiegende Vorwürfe gegen NTC Vulkan erhoben. Den Analysten zufolge war NTC Vulkan in eine Malware-Kampagne einer russischer Hackergruppe, heute bekannt als APT29 „Cozy Bear“, involviert. „Cozy Bear“ drang in der Vergangenheit bereits in Systeme des US-Verteidigungsministeriums ein.
(Quelle: Der Standard)
Bei den Vulkan-Files handelt es sich um mehrere tausend Seiten geheimer Daten, die Projektpläne, Softwarebeschreibungen, Anleitungen und internen E-Mails aus dem Innersten der russischen Softwarefirma NTC Vulkan enthalten. Die Dokumente belegen, wie russische Geheimdienste mithilfe privater Firmen weltweite Hacking-Operationen planen und ausführen lassen, wie „Spiegel“, ZDF und „Süddeutsche Zeitung“ berichten.
(Quelle: Tagesschau)
In dem Leak werden hauptsächlich die beiden Produkte „Scan-V“ und „Amezit“ beschrieben. Beide werden von Experten als offensiv eingestuft.
Die Komponente Scan-18 ist beispielsweise für das Aufspüren bekannter Schwachstellen und Sicherheitslücken verantwortlich. Dazu werden öffentlich zugängliche Quellen genutzt, in denen ebendiese Sicherheitslücken dokumentiert sind. Die gefundenen Sicherheitslücken werden von Scan-18 in Datenbanken automatisiert archiviert und dauerhaft zugänglich gespeichert.
Weiter soll Scan-V zur Informationsgewinnung über das Ziel verwendet werden. Ziele können dabei die IT-Infrastruktur, Abteilungen und zugehörige Mitarbeiter sein. Der Fokus soll auf der Netzwerkinfrastruktur liegen.
Unter „Amezit“ wird eine Sammlung unterschiedlicher Tools zusammengefasst, die dem Zweck der Zensur, der Überwachung und der Verteilung von Desinformation dienen.
Den Leaks ist zu entnehmen, dass das Tool mit der Bezeichnung PAS dazu gedacht ist, den Internet-Datenverkehr umzuleiten und unter die eigene Kontrolle zu bringen, indem Telekommunikations-equipment wie beispielsweise Router angegriffen werden. Über PAS kann auf eine Datenbank mit vorhandenen Exploits zu Sicherheitslücken zugegriffen werden. Im Anschluss kann der Angreifer das Gerät übernehmen und den Datenverkehr umleiten, überwachen, blockieren oder auch zensieren.
In Dokumenten zu Crystal-2V sind Informationen zu Angriffen auf Kritische Infrastruktur enthalten, darunter unter anderem Angriffsszenarien auf Zug- und Flugverkehr sowie Strom- und Wasserversorgung. Laut Medienberichten handele es sich dabei jedoch „nur“ um Simulationen, die auf einer Trainingsplattform durchgeführt werden.
Zusammenfassend lässt sich an dieser Stelle sagen, dass sich durch den Leak der Vulkan-Files keine Veränderung der Bedrohungslage im Bereich der IT- und Cyber-Security ergibt. Das Risiko-Niveau bleibt weiterhin hoch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits 2022 eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine festgestellt. (Quelle: BSI)
Die nun bekannt gewordenen Informationen geben aber weiteren Einblick in die Motivation und Techniken bestimmter Akteure.
Aufgrund dieser aktuellen Entwicklung wollen wir daher im Folgenden Handlungsempfehlungen mit Ihnen teilen, die von unserer Seite schon länger bestehenden. Wir raten unseren Kunden weiterhin dazu, den Fokus auf bekannte Schwachstellen und Sicherheitslücken zu richten und diese zu identifizieren, zu bewerten und zu beheben. Was dies konkret bedeutet, haben wir im folgenden Abschnitt übersichtlich aufgelistet.
