Exklusiv

: "Vulkan Files": Russland plant den Cyberkrieg

von Joachim Bartz, Sophia Baumann, Maria Christoph, Carina Huppertz, Dajana Kollig, Nils Metzger, Hannes Munzinger, Frederik Obermaier, Bastian Obermayer, Ulrich Stoll und Hakan Tanriverdi
30.03.2023 | 15:00 Uhr
Russische Geheimdienste planen Desinformation und Angriffe auf zivile Infrastruktur - mit Software des Moskauer Unternehmens Vulkan. Ein Leak offenbart Putins Cyber-Strategie.

Tausende interne Unterlagen des russischen IT-Unternehmens NTC Vulkan geben erstmals einen Einblick in Putins digitale Cyberkriegspläne.

11.04.2023 | 28:06 min
Am 24. Februar 2022 überfällt Russland die Ukraine. Dabei kommen nicht nur Panzer und Bomben zum Einsatz, der Kreml setzt auch auf sein Arsenal an Cyberwaffen. Allein am ersten Kriegstag fielen Zehntausende Modems des Satelliten-Betreibers Viasat aus. Es war offenbar der Versuch Moskaus, die Kommando-Infrastruktur der Ukraine lahmzulegen.
Seit Jahren sind die Ukraine und andere Staaten Ziel von Cyberangriffen. Offiziell leugnet der Kreml, dafür verantwortlich zu sein. Doch Tausende Seiten interner und geheimer Dokumente legen nun erstmals offen, wie ein russisches Software-Unternehmen für Wladimir Putins Militär und Geheimdienste digitale Waffen entwickelt.
Die "Vulkan Files" stammen von einem Whistleblower, der anonym bleiben will. ZDF frontal konnte die geleakten Daten gemeinsam mit dem "Spiegel", der "Süddeutschen Zeitung" und weiteren internationalen Medien auswerten. Sie zeigen: Russland will weltweit im Netz zuschlagen können.
Eine Firmenpräsentation von "NTC Vulkan": Tausende Seiten geben Einblick in Russlands Pläne für Cyberkriege.Quelle: ZDF

Gezielte Angriffe auf Eisenbahnen, Flughäfen und Stromnetze

Eine wichtige Rolle dabei spielt die russische Firma Vulkan mit Sitz im Nordosten der Hauptstadt Moskau. Nach außen hin gibt sich das Unternehmen als harmloser Software-Entwickler. Tatsächlich arbeitet Vulkan laut den internen Dokumenten auch für die russischen Geheimdienste: den Militärgeheimdienst GRU, den Inlandsgeheimdienst FSB und den Auslandsgeheimdienst SWR. Teil der "Vulkan Files" sind Schulungsunterlagen. Dort wird beschrieben, was mit der Software trainiert werden soll:
  • "Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport."
  • "Störung von Energieunternehmen und kritischer Infrastruktur."
  • "Identifizieren von Schwachstellen kritischer Infrastruktur, um sie anzugreifen."
Für die ukrainisch-stämmige Expertin Marina Krotofil vom Europäischen Netzwerk für Cyber-Sicherheit verstoßen solche Cyberangriffe gegen das Völkerrecht:
Das verstößt natürlich gegen die Genfer Konvention, weil das zivile Infrastrukturen sind. Das sind Dinge wie Wasserversorgung, Stromerzeugung und auch petrochemische Anlagen.
Marina Krotofil, Europäisches Netzwerk für Cyber-Sicherheit
Ein weiteres Vulkan-Produkt ist "Skan-W". Es durchsucht das Netz nach Schwachstellen, mit denen man in fremde Server eindringen und Schaden anrichten kann.

Klärwerke, Strom, Gas-Pipelines, Krankenhäuser, Bahntrassen - die Kritische Infrastruktur in Deutschland ist permanent im Visier von Hackern.

08.03.2023 | 13:20 min

Geheimdienste besorgt wegen Vulkan-Aktivitäten

Mehrere westliche Geheimdienste konnten in Hintergrundgesprächen Teile der "Vulkan Files" einsehen. Sie halten die Dokumente für authentisch und besorgniserregend. Ein Dienst teilte dem Rechercheteam mit: "Firmen wie Vulkan befähigen den Militärgeheimdienst GRU, seine Cyber-Operationen durchzuführen. Programme wie Skan-W sind definitiv für offensive Zwecke vorgesehen (…). Die Vulkan-Dokumente sind ein seltener Fund und helfen, zu verstehen, was der GRU vorhat."
Und Vulkan ist schon lange aktiv. Google bestätigte dem Rechercheteam, man habe bereits 2012 eine Vulkan-Mailadresse im Zusammenhang mit Schadsoftware der russischen Hackertruppe "Cozy Bear" identifiziert. Sie wird für zahlreiche Hackerangriffe auf Behörden und Organisationen in Europa und den USA verantwortlich gemacht und wird dem Auslandsgeheimdienst SWR zugerechnet.
Was macht die "Vulkan Files" so besonders? Lesen Sie hier das FAQ mit den wichtigsten Antworten:
Auf Journalisten-Anfragen reagierten weder die Firma Vulkan noch die russischen Behörden. Doch das Rechercheteam konnte mehr als 90 ehemalige und aktuelle Mitarbeiter von Vulkan ausfindig machen, mehrere bestätigten Einzelheiten der Recherche. Einer erklärt sich zu einem ausführlichen Interview bereit. Aus Angst vor Repressalien will er seinen Namen nicht nennen. Der Mann, dessen Identität dem ZDF bekannt ist, berichtet von guter Bezahlung und verschwiegenen Vorgesetzten. Bald sei ihm klar geworden, für wen er da wohl arbeite:
Ich denke, dass die Hauptauftraggeber von NTC Vulkan der FSB und andere Sicherheitsdienste der Russischen Föderation sind.
Ex-Mitarbeiter von Vulkan

Desinformation verbreiten, unerwünschte Webseiten blockieren

Ein weiteres Ziel Russlands: Das Internet in besetzten Gebieten steuern - und zu bestimmen, was Nutzern angezeigt wird und was nicht. Auch dabei soll Vulkan-Technologie helfen, etwa mit der Software "Amesit". Deren Aufgaben laut der geleakten Dokumente:
  • "Der Zugriff auf unerwünschte Datenkanäle wird blockiert."
  • "Anfragen von Usern werden auf erwünschte Internetressourcen in vorgesehenen Territorien umgeleitet."
"Ihr Ziel ist die vollständige Kontrolle über die Informationen in dem Gebiet, in das sie einzudringen versuchen", sagt der russische Geheimdienstexperte Andrej Soldatow, der an den Recherchen zu den "Vulkan Files" beteiligt war. "Man geht also in ein Gebiet, übernimmt die Kontrolle über die Kommunikation und nutzt diese Kontrolle dann, um Desinformationen zu verbreiten, soziale Medien zu manipulieren und Informationen zu unterdrücken."

Der Krieg in der Ukraine wird nicht nur mit Waffen, sondern auch mit Worten geführt. Propagandisten versuchen auch in Deutschland, die öffentliche Meinung zu manipulieren.

10.03.2023 | 29:02 min
Staatliche Forschungsinstitute in den Städten Rostow am Don, Kursk und Serpuchow kooperieren nach den Recherchen mit Vulkan und den Geheimdiensten bei der Entwicklung. Es besteht offenbar ein russlandweites Netzwerk für den Cyberkrieg, das der Kreml seit Jahren ausbaut. Laut einer internen E-Mail vom 22. November 2019 ist "Amesit" offenbar an der Militärakademie des russischen Generalstabs bereits in Betrieb. Ob Vulkan-Software auch bei Operationen im Rahmen des Ukraine-Kriegs genutzt wird, ist jedoch nicht bekannt.

Hunderte Millionen Dollar Schaden durch eine einzige Operation

Eine Spur von Vulkan führt auch zur "Einheit 74455" des Militärgeheimdienstes GRU. "74455" ist weltweit bekannt unter dem Codenamen "Sandworm". Der Leak lege nahe, dass die Geheimdiensteinheit "Sandworm" ein Vertragspartner von Vulkan sei, sagt die Expertin Krotofil, die die Dokumente einsehen konnte. Möglicherweise teilten beide Organisationen über eine Datenbank Informationen zu potenziellen Zielen.
Viele spektakuläre Hacks sollen auf das Konto von "Sandworm" gehen. Ein Angriff im Juni 2017 geriet außer Kontrolle: Die Schadsoftware verbreitete sich unkontrolliert und infizierte Tausende Computer weltweit, auch in den USA. Allein beim Logistik-Konzern FedEx beliefen sich die Schäden auf 400 Millionen Dollar (rund 370 Millionen Euro).
Seit Oktober 2020 sind deshalb sechs russische Hacker vor einem Gericht in Pennsylvania angeklagt. Als Teil von "Sandworm" sollen sie auch Tausende Rechner des Olympia-Organisationskomitees vor den Winterspielen im südkoreanischen Pyeongchang unbrauchbar gemacht haben. Als Vergeltung für Dopingsanktionen gegen russische Sportler.
Die von diesen Angeklagten und der 'Einheit 74455' begangenen Verbrechen sind atemberaubend in ihrem Ausmaß und ihren Auswirkungen.
US-Staatsanwalt Scott Brady, 19.10.2020

Von Notz: Gefahr für Deutschlands kritische Infrastruktur

Die Aktivitäten dieser russischen Staatshacker könnten jederzeit auch Deutschland treffen. Die Programme von Vulkan und anderen russischen Entwicklern bedrohen Regierungen, Unternehmen und Privatpersonen. Und Vulkan ist nur eines von mehr als 30 russischen Unternehmen, die um die lukrativen Staatsaufträge konkurrieren.
Der grüne Bundestagsabgeordnete Konstantin von Notz, Vorsitzender des für die Geheimdienste zuständigen Parlamentarischen Kontrollgremiums, geht von "Hunderten solcher Cyberwaffen" aus, die gerade entwickelt werden. "An diesen Beispielen und auch an vielen Vorfällen der letzten Jahre wird deutlich, dass es eine reale Gefahr aus dem Cyberraum gibt für die kritische Infrastruktur in Deutschland", betont von Notz. Auch der ehemalige Vulkan-Mitarbeiter vermutet, dass die Auswirkungen über Russland hinaus gehen.
Vulkan ist eine Säule des russischen Polizeistaats. Vulkan entwickelt Software, die gegen das eigene Volk und gegen andere Länder eingesetzt werden kann.
Ex-Mitarbeiter von Vulkan
Eine Recherche unter höchster Geheimhaltung: Lesen Sie im Interview, wie dem Journalisten Hannes Munzinger die "Vulkan Files" zugespielt wurden:

Themen

Aktuelle Nachrichten zur Ukraine