Einblicke in russische Pläne für Cyberangriffe und Leak der Vulkan-Files

In den Medien wird aktuell von den sogenannten Vulkan-Files berichtet. In diesem Beitrag informieren wir über die Inhalte dieser Dateien und ihre Bedeutung für deutsche Unternehmen und Behörden. Außerdem geben wir Handlungsempfehlungen aus unserer Sicht als Penetration Tester und IT Security Consultants.

Inhaltsverzeichnis

Leak der Vulkan-Files

Bei den sogenannten Vulkan-Files handelt es sich um interne Daten einer russischen Softwarefirma. Durch den Leak wurde öffentlich bekannt, wie russische Geheimdienste mit Unterstützung privater Firmen versuchen, weltweite Hacking-Operationen zu planen und durchzuführen. (Quelle: Tagesschau)

Seit dem Beginn des russischen Angriffskrieges gegen die Ukraine ist die Anzahl russischer Hackerangriffe gegen die Ukraine stark angestiegen. Betroffen waren oftmals Kritische Infrastrukturen (KRITIS). Dieser Angriffskrieg soll Auslöser für den aufsehenerregenden Leak der sogenannten Vulkan-Files sein, deren Inhalte Einblicke in den militärisch-industriellen Komplex Russlands und dessen Denkweise geben sollen. Die Authentizität der Vulkan-Files sei von mehreren westlichen Nachrichtendiensten bestätigt worden, meldete die Tagesschau.

Die Firma NTC Vulkan

Die in Moskau ansässige Firma NTC Vulkan beschäftigt sich mit Informationstechnologien und zählt unter anderen den FSB (Inlandsgeheimdienst), den SWR (Auslandsgeheimdienst) und den GRU (Militärgeheimdienst) zu ihren Kunden und Auftragsgebern. Die Leaks weisen darauf hin, dass auch die notorische Hackergruppe Sandworm, welche dem GRU angehörig ist, in Verbindung mit NTC Vulkan stehen könnte.

Berichten zufolge hat die Threat Analysis Group von Google bereits 2012 schwerwiegende Vorwürfe gegen NTC Vulkan erhoben. Den Analysten zufolge war NTC Vulkan in eine Malware-Kampagne einer russischer Hackergruppe, heute bekannt als APT29 „Cozy Bear“, involviert. „Cozy Bear“ drang in der Vergangenheit bereits in Systeme des US-Verteidigungsministeriums ein.
(Quelle: Der Standard)

Worum geht es bei den Vulkan Files?

Bei den Vulkan-Files handelt es sich um mehrere tausend Seiten geheimer Daten, die Projektpläne, Softwarebeschreibungen, Anleitungen und internen E-Mails aus dem Innersten der russischen Softwarefirma NTC Vulkan enthalten. Die Dokumente belegen, wie russische Geheimdienste mithilfe privater Firmen weltweite Hacking-Operationen planen und ausführen lassen, wie „Spiegel“, ZDF und „Süddeutsche Zeitung“ berichten.
(Quelle: Tagesschau)

In dem Leak werden hauptsächlich die beiden Produkte „Scan-V“ und „Amezit“ beschrieben. Beide werden von Experten als offensiv eingestuft.

Scan-V

Bei „Scan-V“ handelt es sich um eine Art Aufklärungssoftware, mit der das russische Militär Cyberangriffe automatisiert vorbereiten kann. „Scan-V“ wird unter anderem zur Aufspürung digitaler Schwachstellen, Sicherheitslücken und anderer Angriffspunkte genutzt. Unter einer einheitlichen Oberfläche werden verschiedene Komponenten zusammengefasst, die sich allesamt von einer Einsatzzentrale koordinieren lassen. Über eine Art integriertes Ticketsystem kann Scan-V dazu genutzt werden, interne Abläufe zu koordinieren und Aufgaben zu verteilen.
Quelle: Der Standard

Die Komponente Scan-18 ist beispielsweise für das Aufspüren bekannter Schwachstellen und Sicherheitslücken verantwortlich. Dazu werden öffentlich zugängliche Quellen genutzt, in denen ebendiese Sicherheitslücken dokumentiert sind. Die gefundenen Sicherheitslücken werden von Scan-18 in Datenbanken automatisiert archiviert und dauerhaft zugänglich gespeichert.

Weiter soll Scan-V zur Informationsgewinnung über das Ziel verwendet werden. Ziele können dabei die IT-Infrastruktur, Abteilungen und zugehörige Mitarbeiter sein. Der Fokus soll auf der Netzwerkinfrastruktur liegen.

Amezit

Unter „Amezit“ wird eine Sammlung unterschiedlicher Tools zusammengefasst, die dem Zweck der Zensur, der Überwachung und der Verteilung von Desinformation dienen.

Den Leaks ist zu entnehmen, dass das Tool mit der Bezeichnung PAS dazu gedacht ist, den Internet-Datenverkehr umzuleiten und unter die eigene Kontrolle zu bringen, indem Telekommunikations-equipment wie beispielsweise Router angegriffen werden. Über PAS kann auf eine Datenbank mit vorhandenen Exploits zu Sicherheitslücken zugegriffen werden. Im Anschluss kann der Angreifer das Gerät übernehmen und den Datenverkehr umleiten, überwachen, blockieren oder auch zensieren.

Quelle: Der Standard

Weitere in Amezit beinhaltete Tools für spezielle Aufgaben

  • Softwarelücken in Telekom-Equipment aufspüren (PTT)
  • Nachverfolgung von Informationsbewegung (PMS)
  • Überwachung des Datenstroms auf Netzwerkebene (PPA und PKS)
  • Datenspeicherung für PMS und PKS, sowie Templates für Scrapen (methodische Informationsbeschaffung) (PHD)
  • Störung des Netzwerkverkehrs (PPA)
  • Brute-Forcing von passwortgeschützten Dokumenten
  • Nutzung von VPN-Tunnel und Tor-Netzwerken zur anonymisierten Materialbeschaffung (PRD)
  • Verteilung von Desinformationen durch massenhafte Erstellung von Fake-Profilen und das Pushen von Hashtags (PRR)
  • Massenhafte Informationsauswertung der sozialen Medien (Fraction)

Crystal-2V

In Dokumenten zu Crystal-2V sind Informationen zu Angriffen auf Kritische Infrastruktur enthalten, darunter unter anderem Angriffsszenarien auf Zug- und Flugverkehr sowie Strom- und Wasserversorgung. Laut Medienberichten handele es sich dabei jedoch „nur“ um Simulationen, die auf einer Trainingsplattform durchgeführt werden.

ProSec Handlungsempfehlung

Bedrohungslage

Zusammenfassend lässt sich an dieser Stelle sagen, dass sich durch den Leak der Vulkan-Files keine Veränderung der Bedrohungslage im Bereich der IT- und Cyber-Security ergibt. Das Risiko-Niveau bleibt weiterhin hoch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits 2022 eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine festgestellt. (Quelle: BSI)

Die nun bekannt gewordenen Informationen geben aber weiteren Einblick in die Motivation und Techniken bestimmter Akteure.

Aufgrund dieser aktuellen Entwicklung wollen wir daher im Folgenden Handlungsempfehlungen mit Ihnen teilen, die von unserer Seite schon länger bestehendenWir raten unseren Kunden weiterhin dazu, den Fokus auf bekannte Schwachstellen und Sicherheitslücken zu richten und diese zu identifizieren, zu bewerten und zu beheben. Was dies konkret bedeutet, haben wir im folgenden Abschnitt übersichtlich aufgelistet.

Proaktive Maßnahmen

  • Halten Sie die Angriffsfläche nach Außen möglichst gering und machen Sie nur für den Betrieb notwendige Dienste sichtbar/ verfügbar.
  • Überprüfen und bewerten Sie die potenzielle Angriffsfläche durch extern erreichbare Dienste und Endpunkte regelmäßig selbstständig und durch externe Unterstützung.
  • Stellen Sie bekannte Schwachstellen/ Sicherheitslücken ab (z. B. Findings aus durchgeführten Penetrationstests, Ergebnisse automatisierter Schwachstellenscans).
  • Prüfen Sie beim Bekanntwerden neuer Schwachstellen, ob die eigene Organisation von diesen betroffen ist/ sein könnte.
  • Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Phishing-Attacken, da es sich hierbei um eine der am häufigsten verwendeten Techniken handelt, mit der Angreifer initialen Zugang zu IT-Netzwerken erhalten.
  • Ergreifen Sie spezifische technische Maßnahmen gegen Phishing und Identitätsdiebstahl, (z. B. Multifaktor-Authentifizierung, E-Mail-Gateways, Conditional-Access-Richtlinien)
  • Härten Sie auch internen IT-Services konsequent, um die Auswirkungen eines initialen Zugriffs von Angreifern möglichst gering zu halten. Hierzu zählen z. B.:
    • Absicherung und Härtung von Identitätsverwaltungen/ Verzeichnisdiensten (z. B. MS Active Directory oder AzureAD)
    • Härtung der eingesetzten E-Mail-Infrastruktur bzw. anderer Dienste für die Übertragung von Nachrichten und insbesondere Dateianhängen
    • Absicherung und Härtung von IT-Netzwerken durch die Implementierung einer Netzwerk-Trennung und Segmentierung, die Verwendung einer Intrusion Detection und Network Access Control etc.
    • Flächendeckende Verwendung von Tools zur Erkennung von versuchten oder stattfindenden Angriffen bzw. Kompromittierungen wie Endpoint-Protection-Tools (DER), idealerweise ergänzt durch weitere Erkennungstools (NDR/XDR oder klassische IDS/IPS-Lösungen)
  • Zum Schutz vor Ransomware oder der Zerstörung geschäftskritischer Daten ist ein funktionierendes Backup-Konzept der eigenen IT-Infrastruktur zwingend notwendig, das außerhalb der üblichen IT-Infrastrukturen und Dienste betrieben wird und somit vor einer Kompromittierung weitestgehend geschützt sein sollte. Idealerweise ist ein solches Konzept in definierte Prozesse für ein Notfallmanagement (Incident Response & Disaster Recovery) implementiert oder sogar Teil eines umfassenden Business Continuity Managements (BCM)
  • Sinnvoller nächster Schritt: Die Integration dieser und anderer Informationen und Informationsquellen in eine zentrale Übersicht in einem Security Information and Event Management (SIEM) oder Security Operations Center (SOC).

References

Du willst Dir die Folgen eines erfolgreichen Hackerangriffs auf
Dein IT-System ersparen?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest
Steigere jetzt die Sicherheit Deines IT-Systems!
Von uns erhältst Du eine ausführliche Beratung!
Jetzt kontaktieren
Follow for more!
Newsletter Form

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!