Zusammenfassung
Im März 2023 veröffentlichten verschiedene Medien Details aus Dokumenten, die sie im Februar 2022 von einem ehemaligen NTC-Vulkan-Mitarbeiter erhalten hatten, der sich gegen die russische Invasion in der Ukraine ausgesprochen hatte. Das in Moskau ansässige Unternehmen NTC Vulkan, so berichteten die Medien, wurde vom russischen Geheimdienst mit der Entwicklung der folgenden offensiven Cyber-Tools beauftragt:
- Scan oder Scan-V - ein internetweites Scanning-Tool zur Aufdeckung von Schwachstellen, die für potenzielle Cyberoperationen genutzt werden können
- Amesit oder Amezit - "Ein Rahmen, der dazu dient, das Online-Informationsumfeld zu kontrollieren und die öffentliche Meinung zu manipulieren, psychologische Operationen zu verbessern und ... IO- und OT-bezogene Operationen zu unterstützen".
- Krystal-2B - eine Trainingsplattform für Cyberangriffe auf kritische Infrastrukturen.
Bei dieser Untersuchung entdeckten die Forscher von Censys sechs Hosts, die zu NTC Vulkan gehören, und waren in der Lage, ein aktuelles und historisches Profil der Tools und Software zu erstellen, die auf ihnen gehostet wurden, um ein Basisprofil des Unternehmens zu erstellen. Besonders interessant ist, dass Censys über ein NTC Vulkan-Zertifikat eine Verbindung zu einer Gruppe namens Raccoon Security aufgedeckt hat. Diese Entdeckung war insofern von Bedeutung, als dass keine anderen Medien diese Gruppe erwähnten, obwohl die von Raccoon Security angegebenen Fähigkeiten mit den von NTC Vulkan gesuchten Tools übereinstimmen.
In Anbetracht der Tatsache, dass Russland in der Vergangenheit offensive Cyber-Tools in Verbindung mit militärischen oder geopolitischen Zielen eingesetzt hat, und dass die Verträge von NTC Vulkan mit dem Sandworm der russischen GRU auch offensive russische Cyber-Operationen zu ermöglichen schienen, die möglicherweise auf Wahlen und kritische Infrastrukturen abzielten, schätzten die Forscher von Censys ein, dass die Fähigkeiten von NTC Vulkan eine Bedrohung für demokratische Institutionen darstellen könnten. Da NTC Vulkan von zwei ehemaligen russischen Geheimdienstoffizieren gegründet wurde, entschlossen sich die Forscher von Censys , ein Profil der mit NTC Vulkan verbundenen Hosts zu erstellen, um das Bewusstsein für die Gruppe und ihre Fähigkeiten zu schärfen.
Fundstücke
NTC Vulkan-Hosts
Censys Die Forscher konzentrierten sich zunächst auf die öffentlich zugänglichen Assets von NTC Vulkan, um eine Zuordnung zwischen dem Unternehmen und den Domänen, Hosts oder Zertifikaten im Censys Scan-Datensatz herzustellen. Bei dieser Suche entdeckte Censys sechs NTC Vulkan-Hosts, die zeigen, dass das Unternehmen entweder BigBlueButton und Jitsi Meet, virtuelle Kollaborationssoftware, Nextcloud-Datenspeicher und virtuelle Kollaboration, Cisco- und pfSense-Firewalls, einen Nginx-Server und einen GitLab-Server sowie andere Tools verwendet hat oder derzeit verwendet.
In Anbetracht der durchgesickerten NTC-Vulkan-Informationen, die auf die Entwicklung von Tools für die GRU hindeuten, könnte die historische Entdeckung des GitLab-Servers durch Censyszu dieser Behauptung passen. Das Vorhandensein der Videokonferenz-Tools BigBlueButton und Jitsi Meet könnte auf eine interne Remote-Zusammenarbeit oder möglicherweise auf eine Zusammenarbeit mit einem externen Unternehmen, z. B. einem Kunden, hinweisen. Die Nextcloud-Server können in ähnlicher Weise für die Zusammenarbeit und/oder für die interne Nutzung durch NTC Vulkan eingesetzt werden. Darüber hinaus umfasst die externe Haltung von NTC Vulkan die konsequente Nutzung von Cisco- und pfSense-Netzwerkgeräten.
Raccoon Security Hosts
Nachdem die Forscher von Censys diese NTC Vulkan-Hosts entdeckt hatten, zählten sie alle NTC Vulkan-Zertifikate auf, sowohl die aktuellen als auch die abgelaufenen. Dazu stützte sich Censys auf das Organisationsfeld in einem der Zertifikate eines bestätigten NTC Vulkan-Hosts und suchte in der Zertifikatsdatenbank von Censysnach der Domäne ntc-vulkan[.]ru und Variationen von "NTC Vulkan" (z. B. "NTCVulkan", "NTC Vulcan" usw.). Bei der Überprüfung dieser Zertifikate suchten die Forscher von Censys nach zusätzlichen Hinweisen auf eine Zuordnung, einschließlich anderer Domänen in den Feldern Subject Alternate Names (SANs) und Common Name (CN), um weitere Verbindungen zu der Gruppe oder einer anderen Organisation, mit der sie verbunden sein könnte, zu ermitteln.
Censys fand raccoonsecurity[.]ru innerhalb des CN des Zertifikatsubjekts und der SANs. Dieser erste Hinweis führte zu einer Suche in den Zertifikatsdaten von Censysnach "raccoonsecurity", die nicht nur andere Zertifikate, sondern auch einen virtuellen Host bei einem Shared-Hosting-Anbieter mit den Domänen raccoonsecurity[.]org, raccoonsecurity[.]net und raccoonsecurity[.]org ergab, die alle auf raccoonsecurity[.]ru umleiten.
Ein Blick auf die Website von Raccoon Security (mit Google Translate vom Russischen ins Englische übersetzt) zeigt die folgenden Dienstleistungen:
Auch wenn diese Dienste auf der Website als defensiv gekennzeichnet sind, entspricht ihr Nutzen den durchgesickerten NTC-Vulkan-Vertragsinitiativen. Dazu gehört Krystal-2B, eine Trainingsumgebung für Angriffe auf Betriebstechnologie, die durch die Durchführung und das Lernen aus den oben angebotenen Diensten ermöglicht werden könnte. Dazu gehört auch Scan-V, das darauf abzielt, Schwachstellen auf weltweit identifizierten Geräten zu identifizieren, was mit der oben genannten Formulierung "Implementierungsfehler und Schwachstellen in kritischen Produkten und Systemen identifizieren" übereinstimmt. Darüber hinaus bietet die Raccoon Security-Website Beratung und Planung für sicheres Design und Entwicklung, was dem Entwicklungscharakter der Projekte entspricht, mit deren Durchführung GRU NTC Vulkan beauftragt hat.
Außerdem zeigt eine Google-Suche nach raccoonsecurity[.]ru, dass Raccoon Security als interne Marke und Team von NTC Vulkan auf ntc-vulkan[.]ru/about/news/racoon-security/ erwähnt wird. 
Censys kommt daher zu dem Schluss, dass Racoon Security eine Marke von NTC Vulkan ist und dass es möglich ist, dass die Aktivitäten von Raccoon Security entweder eine frühere oder aktuelle Beteiligung an den zuvor erwähnten durchgesickerten Initiativen im Auftrag der GRU beinhalten. Censys empfiehlt, Raccoon Security, seine Domains, Website, IP-Adresse und alle Zertifikate, in denen es erwähnt wird, zu überwachen, um zeitliche Veränderungen in der Haltung oder Infrastruktur der Organisation aufzudecken.
Bewertung
Censys geht mit hoher Wahrscheinlichkeit davon aus, dass die in diesem Bericht identifizierten NTC Vulkan-Hosts, -Zertifikate und -Domänen tatsächlich zu demselben NTC Vulkan gehören, das in den in diesem Bericht zitierten Quellen genannt wird. Die Namenskonventionen für die NTC Vulkan-Zertifikate und die Domains, die im Datensatz von Censysidentifiziert wurden, entsprechen der öffentlich zugänglichen NTC Vulkan-Website. Obwohl die Forscher von Censys Software-Änderungen auf den NTC Vulkan-Hosts und die Erstellung neuer Zertifikate nach dem Auslaufen alter Zertifikate feststellten, blieben die Namenskonventionen auf den Zertifikaten gleich, und Censys beobachtete im Laufe der Zeit keine Änderungen der IP-Adressen. Diese Indikatoren lassen Censys daher zu dem Schluss kommen, dass die in diesem Bericht identifizierten Vermögenswerte zu NTC Vulkan gehören. Diese Behauptung ist nicht schockierend, da NTC Vulkan ein öffentliches Unternehmen ist, aber sie ist nützlich für diejenigen, die das Unternehmen zuverlässig auf Veränderungen in seiner Haltung oder seinen Fähigkeiten überwachen wollen.
Censys kommt ebenfalls zu der Einschätzung, dass Raccoon Security und die zugehörigen Domains, Hosts und Zertifikate zu der in Moskau ansässigen Cybersecurity-Entwicklungsmarke mit demselben Namen gehören, und zwar mit hoher Wahrscheinlichkeit. Dies ist auf die Tatsache zurückzuführen, dass die zugehörigen Domains von Raccoon Security alle auf die Haupt-Website von Raccoon Security umleiten. Censys ist auch zuversichtlich, dass Raccoon Security eine Gruppe innerhalb von NTC Vulkan ist, nicht nur, weil die Forscher von Censys die Domain von Raccoon Security innerhalb eines Zertifikats entdeckten, das NTC Vulkan im Feld "Organisation" aufführte, sondern auch, weil die entsprechende Website von Raccoon Security ausdrücklich angibt, dass es sich um "... eine interne Unternehmensvereinigung von Spezialisten des Forschungs- und Entwicklungszentrums Vulkan...." handelt. Die Website von NTC Vulkan bestätigt diese Beziehung.
Obwohl Censys nicht bestätigen kann, dass Raccoon Security die in den erwähnten NTC-Vulkan-Leaks erwähnten Angriffstools entwickelt, scheinen die auf der Website des Unternehmens aufgeführten Dienste und Fähigkeiten auf diese Möglichkeit hinzudeuten.
Die Identifizierung des öffentlichen digitalen Fußabdrucks von NTC Vulkan und Raccoon Security hat den Forschern von Censys gezeigt, dass:
- Schon die Nutzung einer einzigen Domäne, deren Zugehörigkeit zu einem Unternehmen bestätigt wurde, kann ausreichen, um die gängigen Tools zu verstehen, die das Unternehmen zur Aufrechterhaltung der Geschäftsabläufe einsetzt, z. B. virtuelle Schulungen, Cloud-Zusammenarbeit und Netzwerkschutz.
- Die Untersuchung der Geschichte dieser Hosts kann den Analysten helfen, die Kernfunktionen dieser Hosts und sogar der Organisation selbst zu erkennen.
- Die Untersuchung von Zertifikaten einer bestimmten Organisation kann ein nützlicher Weg sein, um verwandte Organisationen und ihre Domänen zu entdecken, was zu nützlichen Pivots führen kann, die neue Hosts aufdecken.
Kontakt
Wenn Sie Details zu den in diesem Bericht erwähnten Hosts, IPs, Software oder Zertifikaten wünschen oder Fragen, Feedback oder Wünsche haben, senden Sie uns bitte eine E-Mail an federal@censys.io.
