Ein Leck geheimer Dateien des Unternehmens hat jedoch seine Arbeit enthüllt, die die Fähigkeiten von Wladimir Putin zur Cyberkriegsführung stärkt. Tausende Seiten geheimer Dokumente enthüllen, wie die Ingenieure von Vulkan für russische Militär- und Geheimdienste gearbeitet haben, um Hacking-Operationen zu unterstützen, Agenten vor Angriffen auf die nationale Infrastruktur zu schulen, Desinformationen zu verbreiten und Teile des Internets zu kontrollieren. Die Arbeit des Unternehmens ist mit dem Bundessicherheitsdienst oder FSB, der inländischen Spionagebehörde, verbunden. Die operativen und nachrichtendienstlichen Abteilungen der Streitkräfte, bekannt als GOU und GRU und der SVR, Russlands Auslandsgeheimdienst.
Ein Dokument verbindet ein Vulkan-Cyberangriffstool mit der berüchtigten Hacking-Gruppe Sandworm, die laut US-Regierung zweimal Stromausfälle in der Ukraine verursacht, die Olympischen Spiele in Südkorea gestört und NotPetya, die wirtschaftlich zerstörerischste Malware der Geschichte, gestartet hat. Unter dem Codenamen Scan-V durchsucht es das Internet nach Schwachstellen, die dann für zukünftige Cyberangriffe gespeichert werden. Ein anderes System namens Amezit ist eine Blaupause zur Überwachung und Kontrolle des Internets in Regionen unter russischem Kommando und ermöglicht auch Desinformation über gefälschte Social-Media-Profile. Ein drittes von Vulkan gebautes System – Crystal-2V – ist ein Schulungsprogramm für Cyber-Agenten in den Methoden, die erforderlich sind, um Schienen-, Luft- und Seeinfrastruktur zum Erliegen zu bringen. In einer Datei, die die Software erklärt, heißt es: "Der Geheimhaltungsgrad der verarbeiteten und gespeicherten Informationen im Produkt ist ‚streng geheim‘."
Die Vulkan-Akten, die von 2016 bis 2021 datieren, wurden von einem anonymen Whistleblower geleakt, der sich über Russlands Krieg in der Ukraine ärgerte. Solche Lecks aus Moskau sind äußerst selten. Tage nach der Invasion im Februar letzten Jahres wandte sich die Quelle an die Süddeutsche Zeitung und sagte, GRU und FSB "verstecken sich hinter" Vulkan. "Die Leute sollten die Gefahren davon kennen", sagte der Whistleblower. "Aufgrund der Ereignisse in der Ukraine habe ich beschlossen, diese Informationen zu veröffentlichen. Das Unternehmen tut schlechte Dinge und die russische Regierung ist feige und falsch. Ich bin wütend über die Invasion der Ukraine und die schrecklichen Dinge, die dort passieren. Ich hoffe, Sie können diese Informationen nutzen, um zu zeigen, was hinter verschlossenen Türen passiert."
Die Quelle teilte die Daten und weitere Informationen später mit dem Münchner Investigativ-Startup Paper Trail Media. Mehrere Monate lang haben Journalisten von mehreren Medien in einem Konsortium unter Führung von Paper Trail Media und Der Spiegel die Akten recherchiert. Fünf westliche Geheimdienste bestätigten, dass die Vulkan-Dateien authentisch zu sein scheinen. Das Leck enthält E-Mails, interne Dokumente, Projektpläne, Budgets und Verträge. Sie bieten einen Einblick in die weitreichenden Bemühungen des Kreml im Cyber-Bereich zu einer Zeit, in der er einen brutalen Krieg gegen die Ukraine führt. Es ist nicht bekannt, ob die von Vulkan erstellten Tools für reale Angriffe in der Ukraine oder anderswo verwendet wurden.
Aber es ist bekannt, dass russische Hacker wiederholt ukrainische Computernetzwerke ins Visier genommen haben, eine Kampagne, die weitergeht. Seit der Invasion im letzten Jahr haben Moskaus Raketen Kiew und andere Städte getroffen, wichtige Infrastruktur zerstört und das Land im Dunkeln gelassen. Analysten sagen, dass Russland auch in einen ständigen Konflikt mit dem verwickelt ist, was es als seinen Feind wahrnimmt, den Westen, einschließlich der USA, des Vereinigten Königreichs, der EU, Kanadas, Australiens und Neuseelands, die alle ihre eigenen klassifizierten Cyber-Offensivfähigkeiten im digitales Wettrüsten entwickelt haben.
Einige Dokumente in dem Leck enthalten veranschaulichende Beispiele für potenzielle Ziele. Eine enthält eine Karte mit Punkten in den USA. Ein anderer enthält die Details eines Kernkraftwerks in der Schweiz. Ein Dokument zeigt Ingenieure, die Russland empfehlen, seine eigenen Fähigkeiten durch den Einsatz von Hacking-Tools zu erweitern, die 2016 von der US-amerikanischen National Security Agency gestohlen und online gestellt wurden. John Hultquist, der Vizepräsident für Geheimdienstanalysen bei der Cybersicherheitsfirma Mandiant, die auf Wunsch des Konsortiums eine Auswahl des Materials überprüfte, sagte: "Diese Dokumente deuten darauf hin, dass Russland Angriffe auf zivile kritische Infrastrukturen und die Manipulation sozialer Medien als ein und dasselbe betrachtet dieselbe Mission, die im Wesentlichen ein Angriff auf den Kampfwillen des Feindes ist."
Der Geschäftsführer von Vulkan, Anton Markov, der 2010 zusammen mit Alexander Irzhavsky Vulkan gründete. Beide sind Absolventen der Militärakademie von St. Petersburg und haben in der Vergangenheit in der Armee gedient und sind zum Hauptmann bzw. Major aufgestiegen. "Sie hatten gute Kontakte in diese Richtung", sagte ein ehemaliger Mitarbeiter. Das Unternehmen ist Teil des militärisch-industriellen Komplexes Russlands. Diese unterirdische Welt umfasst Spionageagenturen, Handelsfirmen und Hochschuleinrichtungen. Spezialisten wie Programmierer und Ingenieure wechseln von einer Branche zur anderen. Geheimstaatsakteure verlassen sich stark auf die Expertise des Privatsektors. Vulkan startete zu einer Zeit, als Russland seine Cyber-Fähigkeiten schnell ausbaute. Traditionell übernahm der FSB die Führung in Cyber-Angelegenheiten. 2012 ernannte Putin den ehrgeizigen und tatkräftigen Sergej Schoigu zum Verteidigungsminister. Shoigu – der für Russlands Krieg in der Ukraine verantwortlich ist – wollte seine eigenen Cyber-Truppen, die ihm direkt unterstellt waren.
Ab 2011 erhielt Vulkan spezielle Regierungslizenzen, um an geheimen Militärprojekten und Staatsgeheimnissen zu arbeiten. Es ist ein mittelständisches Technologieunternehmen mit mehr als 120 Mitarbeitern – etwa 60 davon sind Softwareentwickler. Es ist nicht bekannt, wie vielen privaten Auftragnehmern Zugang zu solch sensiblen Projekten in Russland gewährt wird, aber einige Schätzungen gehen davon aus, dass es nicht mehr als etwa ein Dutzend sind. Die Unternehmenskultur von Vulkan ist mehr Silicon Valley als Spionageagentur. Es hat eine Mitarbeiter-Fußballmannschaft und motivierende E-Mails mit Fitnesstipps und Feiern von Mitarbeitergeburtstagen. Es gibt sogar einen fröhlichen Slogan: "Make the world a better place" erscheint in einem Hochglanz-Werbevideo.
Vulkan sagt, es sei auf "Informationssicherheit" spezialisiert. Offiziell sind seine Kunden große russische Staatsunternehmen. Dazu gehören die Sberbank, die größte Bank des Landes, die nationale Fluggesellschaft Aeroflot und russische Eisenbahnen. "Die Arbeit hat Spaß gemacht. Wir haben die neuesten Technologien verwendet", sagte ein ehemaliger Mitarbeiter, der schließlich die "Firma" verliess, nachdem er von der Arbeit desillusioniert war. "Die Leute waren wirklich schlau. Und das Geld war gut, weit über dem üblichen Satz." Diese großzügigen Gehälter erkauften nicht nur technisches Know-how, sondern auch die Erwartung an Diskretion. Einige Mitarbeiter sind Absolventen der Moskauer Staatlichen Technischen Universität Bauman, die auf eine lange Geschichte der Versorgung des Verteidigungsministeriums mit Rekruten zurückblicken kann. Die Arbeitsabläufe werden nach den Grundsätzen strenger Betriebsgeheimnisse organisiert, wobei den Mitarbeitern nie mitgeteilt wird, woran andere Abteilungen arbeiten.
Das Ethos der Firma ist patriotisch, wie das Leck andeutet. An Silvester 2019 erstellte ein Mitarbeiter eine fröhliche Microsoft-Excel-Datei mit sowjetischer Militärmusik und einem Bärenbild. Daneben standen die Worte: "APT Magma Bear". Der Verweis bezieht sich auf russische staatliche Hackergruppen wie Cosy Bear und Fancy Bear und scheint auf Vulkans eigene schattige Aktivitäten hinzuweisen. Fünf Monate später erinnerte Markov seine Arbeiter an den Tag des Sieges, einen Feiertag am 9. Mai, an dem der Sieg der Roten Armee über Nazideutschland im Jahr 1945 gefeiert wurde. "Dies ist ein bedeutendes Ereignis in der Geschichte unseres Landes", sagte er den Mitarbeitern. "Ich bin mit Filmen über den Krieg aufgewachsen und hatte das Glück, mit Veteranen zu kommunizieren und ihre Geschichten zu hören. Diese Menschen sind für uns gestorben, damit wir in Russland leben können."
Eines der weitreichendsten Projekte von Vulkan wurde mit dem Segen der berüchtigtsten Einheit von Cyberkriegern des Kremls, bekannt als Sandworm, durchgeführt. Laut US-Staatsanwälten und westlichen Regierungen war Sandworm in den letzten zehn Jahren für Hacking-Operationen in erstaunlichem Ausmaß verantwortlich. Es hat zahlreiche böswillige Handlungen durchgeführt: politische Manipulation, Cybersabotage, Wahlbeeinflussung, E-Mail-Dumping und Leaking. Sandworm legte 2015 das Stromnetz der Ukraine lahm. Im darauffolgenden Jahr beteiligte es sich an Russlands dreister Operation, um die US-Präsidentschaftswahlen zum Scheitern zu bringen. Zwei ihrer Agenten wurden angeklagt, weil sie E-Mails verteilt haben, die von Hillary Clintons Demokraten unter Verwendung einer gefälschten Person, Guccifer 2.0, gestohlen wurden. Dann, im Jahr 2017, entwendete Sandworm weitere Daten, um das Ergebnis der französischen Präsidentschaftswahl zu beeinflussen, sagen die USA.
Im selben Jahr löste die Einheit den folgenreichsten Cyberangriff der Geschichte aus. Die Agenten verwendeten eine maßgeschneiderte Malware namens NotPetya. NotPetya begann in der Ukraine und verbreitete sich schnell über die ganze Welt. Offline-Versandunternehmen, Krankenhäuser, Postsysteme und pharmazeutische Hersteller wurden getroffen – ein digitaler Ansturm, der von der virtuellen in die physische Welt überschwappte. Die Vulkan-Dateien werfen Licht auf eine digitale Maschinerie, die beim nächsten Angriff von Sandworm eine Rolle spielen könnte. Sandworm, eine Spezialeinheit innerhalb des "Hauptzentrums für Spezialtechnologien" der GRU, ist intern unter der Feldnummer 74455 bekannt. Dieser Code erscheint in den Vulkan-Dateien als "Genehmigungspartei" auf einem technischen Dokument. Es beschreibt ein "Datenaustauschprotokoll" zwischen einer anscheinend bereits bestehenden, vom Militär betriebenen Datenbank, die Informationen über Software- und Hardwareschwächen enthält, und einem neuen System, für dessen Aufbau Vulkan beauftragt wurde: Scan-V.
Hackergruppen wie Sandworm dringen in Computersysteme ein, indem sie zunächst nach Schwachstellen suchen. Scan-V unterstützt diesen Prozess, indem es auf der Suche nach potenziell gefährdeten Servern und Netzwerkgeräten eine automatisierte Aufklärung potenzieller Ziele auf der ganzen Welt durchführt. Die Informationen werden dann in einem Datenspeicher gespeichert, wodurch Hacker ein automatisiertes Mittel zur Identifizierung von Zielen erhalten. Gabby Roncone, eine weitere Expertin des Cybersicherheitsunternehmens Mandiant, verwies auf Szenen aus alten Militärfilmen, in denen Menschen "ihre Artillerie und Truppen auf der Karte platzieren. Sie wollen verstehen, wo die feindlichen Panzer sind und wo sie zuerst zuschlagen müssen, um die feindlichen Linien zu durchbrechen", sagte sie.
Das Scan-Projekt wurde im Mai 2018 vom Institute of Engineering Physics, einer eng mit der GRU verbundenen Forschungseinrichtung in der Region Moskau, in Auftrag gegeben. Alle Details wurden klassifiziert. Es ist nicht klar, ob Sandworm ein beabsichtigter Benutzer des Systems war, aber im Mai 2020 besuchte ein Team von Vulkan eine Militäreinrichtung in Khimki, derselben Stadt am Stadtrand von Moskau, in der die Hacking-Einheit stationiert ist, um das Scan-System zu testen. "Scan ist definitiv für offensive Zwecke gebaut. Es passt gut in die Organisationsstruktur und den strategischen Ansatz der GRU", sagte ein Analyst nach Sichtung der Dokumente. "Solche Netzwerkdiagramme und Designdokumente findet man nicht oft. Es ist wirklich sehr kompliziertes Zeug."
Die durchgesickerten Dateien enthalten keine Informationen über russischen Schadcode oder Malware, die für Hacking-Operationen verwendet werden. Ein Analyst von Google sagte jedoch, dass das Technologieunternehmen Vulkan im Jahr 2012 mit einer Operation mit einer als MiniDuke bekannten Malware in Verbindung gebracht habe. Der SVR, Russlands Auslandsgeheimdienst, setzte MiniDuke in Phishing-Kampagnen ein. Das Leck zeigt, dass ein Undercover-Teil des SVR, die Militäreinheit 33949, Vulkan mit der Arbeit an mehreren Projekten beauftragt hat. Das Unternehmen nannte seinen Kunden "Sanatorium" und "Apotheke".
Im Jahr 2018 reiste ein Team von Vulkan-Mitarbeitern nach Süden, um am offiziellen Test eines umfassenden Programms teilzunehmen, das Internetkontrolle, Überwachung und Desinformation ermöglicht. Das Treffen fand im mit dem FSB verbundenen Rostov-on-Don Radio Research Institute statt. Es beauftragte Vulkan mit der Unterstützung bei der Erstellung des neuen Systems namens Amezit, das in den Akten auch mit dem russischen Militär verknüpft war. "Viele Leute haben an Amezit gearbeitet. Es wurde Geld und Zeit investiert", erinnert sich ein ehemaliger Mitarbeiter. "Auch andere Unternehmen waren beteiligt, möglicherweise weil das Projekt so groß und wichtig war."
Vulkan spielte dabei eine zentrale Rolle. Es erhielt 2016 einen ersten Auftrag zum Bau des Amezit-Systems, aber Dokumente deuten darauf hin, dass Teile von Amezit noch bis weit in das Jahr 2021 hinein von Vulkan-Ingenieuren verbessert wurden, mit Plänen für eine weitere Entwicklung im Jahr 2022. Ein Teil von Amezit ist dem Inland zugewandt, was es Agenten ermöglicht, das Internet zu entführen und die Kontrolle über das Internet zu übernehmen, wenn in einer russischen Region Unruhen ausbrechen oder das Land eine Festung über das Territorium eines rivalisierenden Nationalstaats wie der Ukraine erlangt. Internetverkehr, der als politisch schädlich erachtet wird, kann entfernt werden, bevor er sich ausbreiten kann.
Ein 387-seitiges internes Dokument erklärt, wie Amezit funktioniert. Das Militär benötigt physischen Zugang zu Hardware wie Mobilfunkmasten und zu drahtloser Kommunikation. Sobald sie die Übertragung kontrollieren, kann der Datenverkehr abgefangen werden. Militärspione können Personen identifizieren, die im Internet surfen, sehen, worauf sie online zugreifen und Informationen verfolgen, die Benutzer teilen. Seit der Invasion im letzten Jahr hat Russland Anti-Kriegs-Demonstranten festgenommen und Strafgesetze erlassen, um öffentliche Kritik an dem zu verhindern, was Putin eine "besondere militärische Operation" nennt. Die Vulkan-Dateien enthalten Dokumente im Zusammenhang mit einer FSB-Operation zur Überwachung der Nutzung sozialer Medien innerhalb Russlands in gigantischem Umfang, wobei semantische Analysen verwendet werden, um "feindliche" Inhalte zu erkennen.
Laut einer Quelle, die mit der Arbeit von Vulkan vertraut ist, hat die Firma für den FSB ein Sammelprogramm namens Fraction entwickelt. Es durchkämmt Websites wie Facebook oder Odnoklassniki – das russische Äquivalent – auf der Suche nach Schlüsselwörtern. Ziel ist es, potenzielle Oppositionelle aus Open-Source-Daten zu identifizieren. Vulkan-Mitarbeiter besuchten regelmäßig das Informationssicherheitszentrum des FSB in Moskau, die Cyber-Einheit der Behörde, um sich über das geheime Programm zu beraten. Das Gebäude befindet sich neben dem Lubjanka-Hauptquartier des FSB und einem Buchladen; Das Leck enthüllt, dass die Spione der Einheit scherzhaft "Buchliebhaber" genannt wurden.
Die Entwicklung dieser geheimen Programme spricht für die Paranoia im Herzen der russischen Führung. Sie hat Angst vor Straßenprotesten und Revolutionen, wie sie in der Ukraine, Georgien, Kirgisistan und Kasachstan zu beobachten sind. Moskau betrachtet das Internet als entscheidende Waffe zur Aufrechterhaltung der Ordnung. Zu Hause hat Putin seine Gegner eliminiert. Dissidenten wurden eingesperrt, Kritiker wie Alexei Nawalny vergiftet und eingesperrt. Es ist eine offene Frage, ob Amezit-Systeme in der besetzten Ukraine eingesetzt wurden. 2014 hat sich Russland heimlich die östlichen Städte Donezk und Luhansk einverleibt. Seit letztem Jahr hat sie weiteres Territorium eingenommen und ukrainische Internet- und Mobilfunkdienste in von ihr kontrollierten Gebieten abgeschaltet. Ukrainische Bürger wurden gezwungen, sich über auf der Krim ansässige Telekommunikationsanbieter mit SIM-Karten zu verbinden, die in vom FSB betriebenen "Filtrationslagern" verteilt wurden.
Reporter konnten jedoch reale Aktivitäten aufspüren, die von gefälschten Social-Media-Konten durchgeführt wurden, die mit Vulkan als Teil eines Subsystems von Amezit mit dem Codenamen PRR verbunden waren. Es war bereits bekannt, dass der Kreml seine Desinformationsfabrik, die in St. Petersburg ansässige Internet Research Agency, genutzt hat, die auf die US-Sanktionsliste gesetzt wurde. Hinter der Massenmanipulation steckt der Milliardär Jewgeni Prigoschin, Putins enger Verbündeter. Die Vulkan-Akten zeigen, wie das russische Militär einen privaten Auftragnehmer anstellte, um ähnliche Werkzeuge für die automatisierte Inlandspropaganda zu bauen. Dieses Amezit-Subsystem ermöglicht es dem russischen Militär, groß angelegte verdeckte Desinformationsoperationen in sozialen Medien und im Internet durchzuführen, indem Konten erstellt werden, die echten Menschen online oder Avataren ähneln. Die Avatare haben Namen und gestohlene persönliche Fotos, die dann über Monate kultiviert werden, um einen realistischen digitalen Fußabdruck zu kuratieren.
Das Leck enthält Screenshots von gefälschten Twitter-Konten und Hashtags, die vom russischen Militär von 2014 bis Anfang dieses Jahres verwendet wurden. Sie verbreiten Desinformationen, darunter eine Verschwörungstheorie über Hillary Clinton und eine Leugnung, dass Russlands Bombardierung Syriens Zivilisten getötet habe. Nach der Invasion der Ukraine postete ein mit Vulkan verknüpfter gefälschter Twitter-Account: "Exzellenter Führer # Putin".Ein anderes von Vulkan entwickeltes Projekt, das mit Amezit in Verbindung steht, ist weitaus bedrohlicher. Es trägt den Codenamen Crystal-2V und ist eine Trainingsplattform für russische Cyberagenten. Es kann von bis zu 30 Auszubildenden gleichzeitig verwendet werden und scheint Angriffe auf eine Reihe wichtiger nationaler Infrastrukturziele zu simulieren: Eisenbahnlinien, Elektrizitätswerke, Flughäfen, Wasserstraßen, Häfen und industrielle Kontrollsysteme.
Die aufdringliche und zerstörerische Natur der Tools, für deren Erstellung Vulkan beauftragt wurde, wirft schwierige Fragen für Softwareentwickler auf, die an diesen Projekten gearbeitet haben. Kann man sie als Cyber-Söldner bezeichnen? Oder russische Spione? Einige sind es mit ziemlicher Sicherheit. Andere sind vielleicht nur Rädchen in einer größeren Maschinerie, die wichtige technische Aufgaben für den Cyber-Militärkomplex ihres Landes erfüllen. Bis zum Einmarsch Russlands in die Ukraine im Jahr 2022 reisten Mitarbeiter von Vulkan offen nach Westeuropa und besuchten IT- und Cybersicherheitskonferenzen, darunter ein Treffen in Schweden, um sich mit Delegierten westlicher Sicherheitsfirmen zu treffen.
Ehemalige Vulkan-Absolventen leben heute in Deutschland, Irland und anderen EU-Ländern. Einige arbeiten für globale Technologiekonzerne. Zwei sind bei Amazon Web Services und Siemens. Siemens wollte sich zu einzelnen Mitarbeitern nicht äußern, nehme solche Fragen aber "sehr ernst". Amazon sagte, es habe "strenge Kontrollen" implementiert und der Schutz von Kundendaten sei seine "höchste Priorität". Es ist unklar, ob ehemalige Vulkan-Ingenieure jetzt im Westen ein Sicherheitsrisiko darstellen und ob westliche Spionageabwehrbehörden auf sie aufmerksam geworden sind. Die meisten, so scheint es, haben Verwandte in Russland, eine Schwachstelle, die bekanntermaßen vom FSB genutzt wurde, um russische Fachkräfte im Ausland zur Zusammenarbeit zu drängen.
Von einem Reporter kontaktiert, drückte ein ehemaliger Mitarbeiter sein Bedauern darüber aus, Russlands Militär- und Inlandsspionage geholfen zu haben. "Am Anfang war nicht klar, wofür meine Arbeit verwendet werden würde". "Mit der Zeit wurde mir klar, dass ich nicht weitermachen konnte und dass ich das Regime nicht unterstützen wollte. Ich hatte Angst, dass mir etwas passieren würde oder ich im Gefängnis landen würde."
Auch für den anonymen Whistleblower hinter den Vulkan-Akten bestanden enorme Risiken. Das russische Regime ist dafür bekannt, diejenigen zu jagen, die es als Verräter ansieht. In ihrem kurzen Austausch mit einem deutschen Journalisten sagte der Informant, sie seien sich bewusst, dass die Weitergabe sensibler Informationen an ausländische Medien gefährlich sei. Aber sie hatten lebensverändernde Vorkehrungen getroffen. Sie hätten ihr bisheriges Leben hinter sich gelassen und existierten nun "als Gespenst".
agenturen/pclmedia
