NTC Vulkan: Einblick in die Welt von Russlands Cyberkriegsführung

Die als Vulkan-Akten bekannten Dokumente enthüllen, wie Mitarbeiter des in Moskau ansässigen Unternehmens NTC Vulkan Hackingoperationen für das russische Militär und die Geheimdienste unterstützen. Dabei handelt es sich um 5.299 Seiten mit Projektplänen, Anleitungen und internen E-Mails von Vulkan aus den Jahren 2016 bis 2021.

Ein Informant, der anonym bleiben will, stellte der Süddeutschen Zeitung (Paywall) die oben genannten Dokumente zur Verfügung, die einen detaillierten Einblick in die Cyberkriegsführung Russlands gewähren.

Die Journalisten überprüften und werteten die Papiere gemeinsam mit Kollegen von Spiegel, ZDF Frontal, dem österreichischen Standard, dem britischen Guardian und der Washington Post aus und gewannen Einblicke in die Cyberkriegsführung und die Rolle des Unternehmens NTC Vulkan aus Moskau, das als Tarnorganisation genutzt wird.

Die Daten wurden von den beteiligten Redaktionen mithilfe externer Quellen verifiziert. Dabei handelt es sich um sensible Daten wie Namen, E-Mail-Adressen, Telefonnummern und Berufsbezeichnungen von Mitarbeitern des Unternehmens NTC Vulkan. Diese Angaben konnten mit Informationen von Jobportalen sowie Social-Media-Plattformen abgeglichen werden und wurden auch in Artikeln von Fachzeitschriften gefunden, die von den betreffenden Mitarbeitern veröffentlicht wurden. Der Spiegel kontaktierte mehrere westliche Geheimdienste, die die Authentizität der Dokumente bestätigten.

Die Dokumente zeigen, dass Mitarbeiter von NTC Vulkan für das russische Militär und die Geheimdienste an gemeinsamen Hackingoperationen arbeiteten. Sie schulten auch Agenten im Hinblick auf Angriffe auf kritische Infrastrukturen und verbreiteten Desinformationen. Das Ziel dieser Cyberwar-Kampagnen waren Wahlen und Politiker in den USA, Frankreich und Deutschland.

Die Dokumente, die aus den Jahren 2016 bis 2021 stammen, belegen, dass Russland weitreichende Möglichkeiten aufbaute, Angriffe sowohl auf die Infrastruktur als auch auf die Gesellschaft durchzuführen, um zum Beispiel Wahlen zu manipulieren.

Der Spiegel spürte auch einen ehemaligen Mitarbeiter von NTC Vulkan in Dublin auf, der mittlerweile für Amazon Web Services arbeitet. Mit seinen früheren Tätigkeiten konfrontiert, verweigerte der Mann jegliche Kommunikation mit den Reportern.

Die Vulkan-Akten enthalten dem Bericht der Süddeutschen Zeitung nach eine Fülle von Informationen über die Ausbildungsprogramme bei NTC Vulkan. Dazu gehören die Lahmlegung von Kontrollsystemen des Schienen-, Luft- und Seeverkehrs, die Störung von Energieunternehmen und kritischer Infrastruktur und das Aufspüren von Schwachstellen in diesen Bereichen, damit sie angegriffen werden können.

Sandworm soll ukrainische Stromversorgung und Olympische Spiele angegriffen haben

Ein Schlüsselprodukt von NTC Vulkan ist Skan-W, auch bekannt als Scan-W, das in der Lage ist, Server auf Schwachstellen zu überprüfen, die Angreifer nutzen können, um einzudringen und Schaden anzurichten. In einem Dokument wird das Cyberangriffstool Skan-W mit der Hackergruppe Sandworm in Verbindung gebracht, die nach Angaben der US-Regierung zweimal Stromausfälle in der Ukraine verursachte und die Olympischen Spiele in Südkorea störte; auch die Malware Notpetya soll auf das Konto von Sandworm gehen.

NTC Vulkan entwickelt den Auswertungen nach Hunderte von Cyberwaffen. Beweise für diese Softwareprojekte fänden sich in mehr als 17.000 Überweisungstransaktionen von russischen Geheimdiensten und Militärdienststellen, heißt es in den Berichten. Die Zahlungen an NTC Vulkan erfolgten in Raten von mehreren Millionen Euro und enthielten in der Betreffzeile die Namen der Schad-Programme. NTC Vulkan unterhalte auch enge Kontakte zu großen Moskauer Universitäten, rekrutiere junge Talente unter den Absolventen und halte an der Lomonossow-Universität Kurse zur Infiltration sozialer Netzwerke ab.