Ach gucke mal, geht doch! Die "Vulkan-Files" sind jetzt auf Documentcloud frei einsehbar.
Und was sieht man, wenn man reinguckt? Ich hab mal kurz auf das erste Dokument geguckt, ScanV_4. Auf Seite 15 sehen wir da Java-Code, der eine Datei "verschlüsselt", indem er XOR mit dem Passwort macht.
Da kann ich das ganze Ding direkt zumachen. So macht niemand Verschlüsselung, der mehr als Kindergarten-Niveau Kontakt mit dem Thema hatte.
Ich hab keine Angst vor diesen Leuten. Viel tiefer kann man in Krypto-Fragen nicht ins Klo greifen.
Ich muss euch aber auch sagen, dass ich ansonsten nicht viel Grund sehe, wieso ich diese Dokumente durchgucken sollte. Die Angriffsoberflächen und Risiken unserer Systeme sind wohl untersucht und bekannt. Welche Art von Daten man sehen und korrelieren kann, ist auch bekannt. Was man tun müsste, um weniger angreifbar zu sein, ist auch bekannt.
Was für Überraschungen gibt es denn, an denen ich Interesse hätte? Die könnten neue Angriffsarten gefunden haben, oder sie könnten bisher unbekannte Lücken in Systemen gefunden haben. Das war's. Daran hätte ich Interesse.
Beides ist hier nicht zu erwarten, und nicht nur wegen der "XOR-Verschlüsselung". Die Dokumente da scheinen Handbücher zu sein (das sage ich ganz oberflächlich angesichts des Layouts, ich habe das nicht zu übersetzen versucht). Da würde man keine 0days dokumentieren, denke ich.
Was könnte da noch drinstehen, was andere Leute interessante fänden? Die könnten da ihre C&C-Protokolle dokumentieren. Finde ich absolut uninteressant. Interessiert mich nicht die Bohne. Mich interessiert, wie man verhindern kann, dass die Ransomware überhaupt aufs System kommt, nicht wie das dann nach Hause telefoniert.
Wieso lese ich diese Dokumente jetzt nicht, um nach den Dingen zu suchen? Weil das echten Nachrichtenwert hätte. Davon hätten wir gehört. Oder wir würden davon hören, wenn das jemand noch findet. Die Wahrscheinlichkeit dafür ist zu gering, als dass ich jetzt tausende von Seiten durchgucke.
Bisschen oberflächlich reingucken kann man mal machen, da findet man dann in dem scanv_1.pdf z.B. eine Sektion, wie man bei einem Brand der Appliance den Feuerlöscher auf die Oberfläche und nicht die Flamme in der Luft lenken soll. In dem amezit.pdf sehe ich Compliance-Blablah, was für Tests durchgeführt werden, um festzustellen, ob das System läuft. gähn
Das krystalv2.pdf redet darüber, wie sie das Lecken von Staatsgeheimnissen durch organisationellen Aufbau vermeiden wollen. Schon interessanter, aber das ist auch wohlverstanden und untersucht im Westen. Da erwarte ich jetzt keine neuen Einblicke.
In sandworm.pdf geht es offenbar um Protokolle zwischen den Scannern und Backend. Interessiert mich auch überhaupt gar nicht. Mich interessiert, wie ich das System so baue, dass der Scanner nichts findet. Weiter unten sind dann die üblichen Stichwörter. Die machen einen Portscan und gucken nach CVEs. Wenn man bei euch mit einem Port- und Bannerscan CVEs finden kann, dann habt ihr alle Ransomware verdient, die ihr euch einfangt.
Meine Methodologie war, die Dokumente aufzumachen, zufällig auf eine Seite zu springen, einen Absatz in deepl zu pasten, und dann zu gucken, was der übersetzt.
Dass andere Länder solche Programme haben, ist seit Jahren bekannt. Wir haben sowas schließlich auch, minus hoffentlich der Ransomware. Aber unsere Behörden finden auch, dass sie in offensive Security investieren sollten. Was dachtet ihr denn, was das in der Praxis heißen würde?
