Auf den ersten Blick ist das Unternehmen NTC Vulkan nicht weiter bemerkenswert. Die 2010 gegründete Firma berät in Russland zur Informations-Sicherheit. Doch ein aktueller Leak eines Insiders zeichnet ein anderes Bild. Hinter den Mauern des unscheinbaren Bürogebäudes werden Wladimir Putins wichtigste Waffen versteckt: Die Werkzeuge für den Informationskrieg.
Das zeigt eine groß angelegte Recherche mehrerer internationaler Medienhäuser, etwa des "Guardian", der "Süddeutschen", des "Spiegel" und der "Washington Post". Sie berufen sich auf einen Leak eines Insiders, der den Medien aus Verärgerung über den Angriff auf die Ukraine Tausende Seiten geheimer Dokumente des Unternehmens zuspielte. Und so nicht nur zeigt, wie weitreichend Russlands Potenzial für Cyberangriffe ist. Sondern auch wie das Land diese Waffen einsetzt.
Krieg im Ausland und Zuhause
Die unzähligen Informationen wurden auch westlichen Geheimdiensten vorgelegt und von diesen als authentisch bewertet. Sie belegen zum Teil bereits bekannte oder vermutete Verbindungen, andere decken sie neu auf. Zum ersten Mal bieten sie einen umfänglichen Blick auf die Art, wie Putins Regime die Informationstechniken auch zur aggressiven Durchsetzung seiner Ziele nutzt. Die Bemühungen richten sich dabei sowohl gegen Ziele im eigenen Land wie im Ausland.
In Russland selbst arbeitet die Regierung konsequent daran, die Kontrolle über die Informationen zu halten, die den eigenen Bürgern zugänglich sind. Sie überwachen die sozialen Netzwerke, nutzen die Daten um mögliche Widerstände zu identifizieren und zu unterbinden. Kommt es hart auf hart, hat das Regime sogar die Option, den Datenverkehr des gesamten Internets in einer Region umzuleiten, um die Daten besser zensieren zu können. Das soll etwa bereits auf der russisch besetzten Halbinsel Krim geschehen sein.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Aber auch in anderen Staaten sind die russischen Hacker hochaktiv. Mit Desinfomations-Kampagnen soll Unsicherheit in den sozialen Medien erzeugt, gesellschaftliche Spaltung vorangetrieben werden. Dazu nutzt man Unmengen an Fakeprofilen und Bots in sozialen Netzwerken. Deutlich gefährlicher sind die Bemühungen "offensive" Software zu kreieren. Diese befähigt die Hacker, Personen, Firmen und die Infrastruktur anderer Staaten gezielt anzugreifen und sie entweder zu beschädigen oder unter die eigene Kontrolle zu bringen.
Die Dokumente zeigen dabei sogar konkrete Ziele, wie der Standard schreibt. Demnach sei etwa auf einer Karte der Schweiz ein Atomkraftwerk, die ukrainische Botschaft des Landes und das Außenministerium markiert. In anderen Dokumenten ist die Rede von Flughäfen, Zuglinien und anderer Infrastruktur als mögliche Ziele.
Verdacht belegt
Während viele dieser Zusammenhänge durch Indizien schon lange vermutet wurden, werden sie nun durch die Recherche erstmals klar belegt. So zeigen die Dokumente, dass Vulkan eng mit dem KGB-Nachfolger FSB, dem Militärgeheimdienst GRU und dem Auslandsgeheimdienst SVR zusammenarbeiten. Diese "versteckten sich" hinter der Tarnfirma, berichtete der Insider.
Die Dokumente verbinden Vulkan auch direkt mit bekannten Hackergruppen und teils auch vorher bekannten Angriffs-Programmen. Die berüchtigte Gruppe Sandworm wurde etwa bereits in der Vergangenheit in der Nähe der russischen Geheimdiensten vermutet. Die Hacker werden nicht nur mit Cyberattacken auf das ukrainische Stromnetz in Verbindung gebracht. Sie sollen auch hinter NotPetya stecken. Der berüchtigte Trojaner hatte ausgehend von einem Angriff in der Ukraine in ganz Europa für Chaos gesorgt. Ursprünglich als Erpressungs-Trojaner getarnt, folgerten Experten schnell, dass es sich um eine reine Zerstörungskampagne gehandelt hatte (hier erfahren Sie mehr). Weil sich der Trojaner wohl ohne Absicht der Angreifer auch über die Grenzen der Ukraine verbreitete, gilt Notpetya heute als die Cyberattacke, die den mit Abstand größten finanziellen Schaden anrichtete.
"Extrem gefährlich"
Direkte Aussagen über Einsätze der Hacker in der Ukraine während des Krieges lassen sich aus den Leaks nicht herauslesen. Die Daten stammen aus den Jahren 2016 bis 2021. Wenige Tage nach der Invasion hatte sich der Insider an Reporter der "Süddeutschen Zeitung" gewandt, die sich dann in einem Internationalen Rechercheverbund ein Jahr lang an die Auswertung machte. "Die Menschen sollen von den Gefahren erfahren", zitiert der "Guardian" den Insider. "Diese Firma tut schlimme Dinge und die russische Regierung ist feige und liegt falsch." Er wolle, dass die Öffentlichkeit erfahre, was hinter verschlossenen Türen geschehe.
Obwohl Vulkan bereits in der Vergangenheit mit den russischen Geheimdiensten und Hackergruppen wie Cozy Bear in Verbindung gebracht wurde, könnte das Durchstechen der Beweise für den Leaker noch schwerwiegende Folgen haben. Dass solche Leaks aus Russland sehr selten sind, liegt auch daran, dass Putin sie gnadenlos verfolgt und drakonisch bestraft. "Sollte die Person aus Russland kommen, hat sie hoffentlich mittlerweile das Land verlassen", zitiert der "Standard" einen Experten. "Was sie getan hat, ist extrem gefährlich."
Quellen: Guardian, Standard, Spiegel, Washington Post
Lesen Sie auch:
Hacker suchte nur Computer-Fehler - und vernichtete aus Versehen 140 Millionen Euro
Geht es um Rache? Hacker knacken Cybersicherheits-Tochter der CIA - und machen gefährliche Beute
