Durchgesickerte „Vulkan-Dateien“ enthüllen Pläne für einen russischen Cyberkrieg

Die anonyme Quelle gab die Dokumente, die hauptsächlich den Zeitraum von 2016 bis 2021 abdecken, an einen deutschen Reporter weiter. „Die Leute müssen die Gefahren davon kennen“, sagte der Whistleblower. „Aufgrund der Ereignisse in der Ukraine habe ich mich entschieden, diese Informationen zu veröffentlichen. Das Unternehmen tut schlechte Dinge und die russische Regierung ist feige und schuld. Ich bin wütend über die Invasion der Ukraine und die schrecklichen Dinge, die dort passieren. Ich hoffe, Sie können diese Informationen nutzen, um zu zeigen, was hinter verschlossenen Türen vor sich geht.“

Das russische Unternehmen NTC Vulkan scheint ein durchschnittliches Cybersicherheitsunternehmen zu sein, aber durchgesickerte Dokumente zeigen, dass das Unternehmen sich voll und ganz dafür einsetzt, Russlands Fähigkeiten zur Cyberkriegsführung zu erweitern. Die Arbeit von NTC Vulkan ist mit dem russischen Geheimdienst FSB, dem russischen Militärgeheimdienst GRU und dem russischen Auslandsgeheimdienst SVR verbunden.

Vulkan-Ingenieure erstellen Computerprogramme und Datenbanken, die russischen Geheimdiensten und Hackergruppen helfen, Schwachstellen besser zu finden, Angriffe zu koordinieren und Online-Aktivitäten zu überwachen. Die Dokumente deuten auch darauf hin, dass das Unternehmen an der Verbreitung von Desinformationen beteiligt ist und Schulungen zur Fernstörung realer Ziele wie See-, Luft- und Eisenbahnkontrollsysteme erstellt.

Eines der Dokumente verbindet ein Cyberangriffstool mit der gefürchteten Hackergruppe „Sandworm“, die laut US-Beamten zweimal das Stromnetz der Ukraine abgeschaltet, die Olympischen Winterspiele 2018 gestört und 2017 NotPetya veröffentlicht hat, den wirtschaftlich zerstörerischsten Cyberangriff der Geschichte. Das Tool mit dem Codenamen Scan-V scannt das Internet nach Schwachstellen, die dann für zukünftige Cyberangriffe gespeichert werden.

Ein anderes System namens Amezit bietet eine Blaupause für die Überwachung und Kontrolle des Internets in Regionen unter russischem Kommando. Es ist unklar, ob Amezit in besetzten Teilen der Ukraine eingesetzt wird, aber im vergangenen Jahr übernahm Russland die Kontrolle über ukrainische Internet- und Telefondienste in den besetzten Gebieten. Ukrainische Bürger wurden gezwungen, sich Telekommunikationsanbietern auf der Krim anzuschließen, und SIM-Karten wurden in vom FSB betriebenen „Filterlagern“ verteilt.

Mit PRR, einem weiteren Subsystem von Amezit, erstellt das russische Militär falsche Profile in sozialen Medien, die mit gestohlenen Fotos monatelang eine realistische digitale Spur hinterlassen und dann zur Verbreitung von Desinformationen verwendet werden. Die Dokumente zeigen Screenshots gefälschter Twitter-Konten von 2014 bis Anfang dieses Jahres, die unter anderem eine Verschwörungstheorie über Hillary Clinton verbreiten und leugnen, dass syrische Zivilisten bei russischen Luftangriffen getötet wurden.

Ein drittes von Vulkan gebautes System – Crystal-2V – ist sogar noch gefährlicher. Das Trainingsprogramm scheint Angriffe auf eine Reihe kritischer nationaler Infrastrukturziele wie Eisenbahnlinien, Kraftwerke, Flughäfen, Wasserstraßen, Häfen und industrielle Kontrollsysteme zu simulieren.

Einige Dokumente enthalten mutmaßliche Abbildungen möglicher Ziele. So gibt es zum Beispiel eine Karte mit Dutzenden von Punkten in den USA und eine Illustration mit Informationen über ein Schweizer Atomkraftwerk und das Schweizer Außenministerium.

Fünf westliche Geheimdienste und mehrere Cybersicherheitsfirmen, die die Vulkan-Dateien einsehen konnten, sind von deren Echtheit überzeugt.

Experten und Beamte, die die Dokumente untersuchten, konnten jedoch keine schlüssigen Beweise dafür finden, dass die Cyber-Warfare-Tools tatsächlich von Russland eingesetzt wurden, aber die Akten erwähnen Tests und Zahlungen für Arbeiten, die Vulkan für die russischen Sicherheitsdienste und verschiedene verbundene Forschungsinstitute durchgeführt hat. Das Unternehmen hat sowohl staatliche als auch zivile Kunden.

Das Rechercheprojekt wird von Journalisten von Paper Trail Media und Der Spiegel geleitet. Zu den Vulkan-Akten tragen unter anderem The Guardian, Le Monde, Süddeutsche Zeitung und The Washington Post bei.

Vulkan wurde 2010 von Anton Markov und Alexander Irzhavsky gegründet. Beide Männer dienten in der Vergangenheit in der russischen Armee und absolvierten die Militärakademie Sankt Petersburg, wo sie die Ränge eines Hauptmanns bzw. Majors erhielten. „Sie hatten gute Kontakte in diese Richtung“, sagt ein ehemaliger Vulkan-Mitarbeiter.

Das Unternehmen wurde zu einer Zeit gegründet, als Russland seine Cyber-Fähigkeiten schnell ausbaute. Im Jahr 2011 erhielt Vulkan von der Regierung Sondergenehmigungen zur Teilnahme an geheimen Militärprojekten und Staatsgeheimnissen. Dort arbeiten mehr als 120 Menschen. Etwa 60 von ihnen sind Softwareentwickler. Hinzu kommen maximal zehn Freelancer.

Die Unternehmenskultur von Vulkan erinnert eher an ein Unternehmen aus dem Silicon Valley als an ein Spionageunternehmen. Es gibt eine firmeneigene Fußballmannschaft, Mitarbeiter erhalten E-Mails mit Fitnesstipps und Geburtstagskinder werden ins Rampenlicht gerückt. Der fröhliche Slogan „Make the world a better place“ steht im Mittelpunkt eines Promo-Videos. Patriotismus wird bei Vulkan hoch geschätzt und viele Mitarbeiter haben an der Moskauer Staatlichen Technischen Universität studiert, wo traditionell viele Verteidigungskräfte abbrachen.

Bis zur russischen Invasion in der Ukraine im Jahr 2022 reisten Mitarbeiter von Vulkan offen nach Westeuropa und nahmen an IT- und Cybersicherheitskonferenzen teil und knüpften Kontakte zu Delegierten westlicher Sicherheitsfirmen.

Ex-Vulkan-Mitarbeiter leben heute in Deutschland, Irland und anderen EU-Ländern. Einige arbeiten für große Technologieunternehmen. Zwei arbeiten bei Amazon Web Services und Siemens.

Es ist unklar, ob ehemalige Vulkan-Ingenieure jetzt im Westen ein Sicherheitsrisiko darstellen oder ob sie ins Visier westlicher Spionageabwehr geraten sind. Die meisten scheinen Verwandte in Russland zu haben, eine Schwachstelle, die der FSB nutzt, um russische Fachkräfte im Ausland unter Druck zu setzen und zu nötigen.

Ein ehemaliger Vulkan-Mitarbeiter sagte einem Journalisten, er bereue seinen Job. „Am Anfang war nicht klar, wofür meine Arbeit verwendet werden würde“, sagte er. „Mit der Zeit habe ich verstanden, dass ich nicht weitermachen kann und dass ich das Regime nicht unterstützen will. Ich hatte Angst, dass mir etwas passieren würde oder dass ich im Gefängnis landen würde.“

Auch für den anonymen Whistleblower hinter den Vulkan Files bestehen enorme Risiken. Schließlich jagt das russische Regime Verräter. Der Whistleblower sei sich der Gefahren bewusst, sagte während eines kurzen Gesprächs mit dem deutschen Journalisten über eine sichere Chat-App, aber die Person sagt, er habe extreme Vorsichtsmaßnahmen getroffen, indem er sein vorheriges Leben hinter sich gelassen habe und nun „wie ein Geist“ lebe.