Im März 2022 wurden der Süddeutschen Zeitung von einem anonymen Whistleblower die mutmaßlichen Verträge zwischen dem russischen Unternehmen NTC Vulkan und dem russischen Verteidigungsministerium zugespielt. Sie schildern, wie Angreifer die Kommunikation im Internet auswerten und manipulieren und gezielt Attacken gegen kritische Infrastrukturen in der Industrie initiieren. Dragos hatte als eines der ersten Security-Teams die Gelegenheit, die Dokumente umfassend zu analysieren – hier die wichtigsten Erkenntnisse.
Bedauerlicherweise sind die Betreiber von Industrieumgebungen häufig nicht hinreichend über neue Bedrohungen für industrielle Steuerungssysteme (ICS) informiert und erfahren erst davon, wenn es zu spät ist. Selbst erfahrene Abwehrspezialisten tun sich zudem oft schwer, richtig einzuschätzen, wie sie mit neuen Bedrohungsszenarien in der Cybersicherheit umgehen sollen. In unserem jetzt verfügbaren Leitfaden »Dragos Analyzes Russian Programs Threatening Critical Civilian Infrastructure« haben wir die Ergebnisse unserer exklusiven Analyse des in den Vulkan-Files beschriebenen Cyberprogramms zusammengefasst – und erläutern, was es für ICS- und OT-Betreiber bedeutet.
Das Threat Intelligence Team von Dragos verfügt über eines der umfangreichsten Datensets zu ICS- und OT-Systemen und nutzt dieses, um weltweit neue Bedrohungen für industrielle Steuerungssysteme zu identifizieren. Dabei analysieren unsere Experten reale Angriffsszenarien auf der ganzen Welt, um Aufschluss über die Taktik, die Techniken und die Verfahren der Angreifer zu erhalten.
Was wir heute wissen:
- Dragos kann mit moderater Sicherheit bestätigen, dass die geprüften Dokumente authentisch sind und aus einer russischen Sammlung von Verträgen entwendet wurden.
- Es ist unwahrscheinlich, dass die darin geschilderten Werkzeuge und Plattformen ausschließlich zu Test- oder Trainingszwecken eingesetzt wurden.
- Der Einsatz bestimmter Module könnte, etwa im Schienenverkehr oder in der Petrochemie, schwerwiegende Konsequenzen nach sich ziehen. Dazu gehören auch Schäden an physischen Systemen, welche die Sicherheit des Betriebs beeinträchtigen und potenziell zu Verletzungen oder sogar zum Verlust von Menschenleben führen könnten.
- Die geschilderten Funktionalitäten decken sich mit unserer Kenntnis früherer Angriffe, die verschiedenen Abteilungen des russischen Militärnachrichtendienstes GRU zugeordnet werden. Die Taktik, Techniken und Verfahren (TTP) stimmen mit denen diverser bekannter Angreifer-Gruppierungen überein.