Die US-amerikanische Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) warnt offiziell vor der Gefahr iranischer Cyberangriffe. In den vergangenen Monaten versch\u00e4rften sich die Konflikte zwischen den westlichen L\u00e4ndern und dem Iran: US-Pr\u00e4sident Donald Trump verh\u00e4ngte neue Sanktionen gegen den Iran, wodurch der ohnehin schon schwelende Streit um das iranische Atomprogramm neu entfacht wurde. So wurde im Januar 2020 der iranische Top-General Qasem Soleimani durch einen Raketenbeschuss get\u00f6tet; die USA haben sich mittlerweile zu diesem Mord bekannt. Als Antwort auf diese Tat rechnet man seitens des Iran mit verst\u00e4rkten Cyberangriffen auf US-Unternehmen sowie -Beh\u00f6rden.<\/p>\n
Die US-Beh\u00f6rde Federal Depository Library Program (FDLP) zeigt sich verantwortlich f\u00fcrs Verbreiten von US-Regierungspublikationen. Am 04. Januar 2020 war die Website der FDLP nicht mehr aufrufbar; sie wurde von mutma\u00dflichen iranischen Hackern gekapert. Am besagten Tag war da, wo die Website der Beh\u00f6rde sonst zu finden war, nur der Schriftzug „Iranische Hacker“ zu lesen \u2013 und Bilder des iranischen Anf\u00fchrers Ajatollah Ali Chamenei waren zu sehen. Weiter war zu lesen, dass man Rache f\u00fcr den in Bagdad get\u00f6teten General Qasem Soleimani fordere.<\/p>\n
Zu guter Letzt platzierten die Hacker auf der Website eine Animation, die US-Pr\u00e4sident Trump zeigt. Auf diesen wird eingeschlagen, w\u00e4hrend iranische Raketen durch die Animation fliegen. An einer anderen Stelle der Website hinterlie\u00dfen die Hacker den Satz „Dies ist nur ein kleiner Teil der iranischen Cyber-F\u00e4higkeiten“. Die US-Beh\u00f6rde CISA erwartet nun eine neue Welle gezielter Angriffe sowie gestreuter Malware-Attacken aus iranischen Quellen.<\/p>\n
Seit Jahren existiert eine aktive iranische Hackergruppe, die sowohl als APT33 als auch als Holmium, Elfin oder auch Refined Kitten bekannt ist. In der Vergangenheit hat APT33 Konzerne angegriffen, die ihren Hauptsitz in den USA, in S\u00fcdkorea oder auch Saudi-Arabien haben. Zwar agierte die Gruppe in unterschiedlichen Branchen, jedoch zeigte sie ein besonders reges Interesse an kommerziellen und milit\u00e4rischen Luftfahrtkonzernen und an Energie-Unternehmen, die sich an der Herstellung petrochemischer Produkte beteiligen.<\/p>\n
Gemutma\u00dft wird, dass die Hackergruppe von der iranischen Regierung unterst\u00fctzt wird \u2013 denkbar ist f\u00fcr Experten auch, dass die Hackergruppe im Auftrag der iranischen Regierung Angriffe auf den Westen aus\u00fcbt.<\/p>\n
Microsoft m\u00f6chte dar\u00fcber hinaus im Rahmen aktueller Analysen herausgefunden haben, dass APT33 seit einigen Monaten gezielt Unternehmen angreift, die an der (Komponenten-)Fertigung, Betreuung und Zulieferung industrieller Kontrollsysteme (Industrial Control Systems, ICS) mitwirken. Schon seit vielen Jahren beobachtet der US-Konzern Microsoft die Aktivit\u00e4ten der Hackergruppe. Microsoft-Manager John Lambert berichtete im M\u00e4rz 2019 gegen\u00fcber dem Wall Street Journal, dass die Hackergruppe binnen zwei Jahren \u00fcber 200 Unternehmen auf der ganzen Welt angegriffen haben soll. Dabei seien vertrauliche Informationen entweder gestohlen oder von den Systemen gel\u00f6scht worden.<\/p>\n
Mitte\/ Ende Januar 2020 deckten Forscher der Cybersicherheitsanbieter Insikt Group und Recorded Future eine Hacker-Kampagne auf, die sich allem Anschein nach gegen den europ\u00e4ischen Energiesektor richtete. Ziel sei es gewesen, vertrauliche Informationen zu sammeln. Wie die Forscher angeben, h\u00e4tten die Hinterm\u00e4nner Verbindungen zum Iran. Zwischen Ende November und Anfang Januar nahmen die Hacker besonders den US-amerikanischen sowie den europ\u00e4ischen Energiemarkt ins Visier \u2013 mit dem Ziel, die Infrastruktur in Europa zu sch\u00e4digen. Das ist nicht ohne: schlimmstenfalls f\u00fchrt ein mit Viren durchgef\u00fchrter Angriff zu gro\u00dffl\u00e4chigen Stromausf\u00e4llen.<\/p>\n
Die Angreifer setzten auf die Open Source-Malware RupyRAT, die neben Windows auch Linux, macOS sowie Android gef\u00e4hrlich werden kann. Die Malware verschafft Hackern unter Umst\u00e4nden Zugang zu den Opfer-Systemen und diese k\u00f6nnen Daten wie Nutzernamen, Passw\u00f6rter und weitere Informationen aus dem Netzwerk stehlen.<\/p>\n
Das BSI best\u00e4tigte die Forschungsergebnisse des Antiviren-Anbieters Kaspersky, der auf einem Hackerkongress in Leipzig im Dezember 54 Sicherheitsl\u00fccken in der Kraftwerkssteuerungssoftware aus dem Hause Siemens aufdeckte. Mitte Dezember hatte das BSI eine eigene Warnmeldung an die betroffenen Kraftwerksbetreiber herausgegeben. Das Amt erkl\u00e4rte auf Anfrage der „Welt am Sonntag“: „Die von den Forschern in dem Ger\u00e4t gefundenen Schwachstellen sind erheblich.“<\/p>\n
Check Point, ein israelisches Sicherheitsunternehmen, z\u00e4hlt Woche f\u00fcr Woche rund 35 Angriffe seitens iranischer Hacker, die sich gegen Organisationen auf der ganzen Welt richten. Cyber-Aufkl\u00e4rungschef von Check Point, Lotem Finkelstein, glaubt nicht, dass die Angriffe eine Reaktion auf die T\u00f6tung des Generals Soleimani sind: „Diese Zahlen sind ziemlich \u00e4hnlich wie die in den Wochen vor dem amerikanischen Angriff“, erkl\u00e4rt er. Proofpoint-Expertin Sherrod DeGrippo sieht das \u00e4hnlich: „Es ist wahrscheinlich, dass die Aktivit\u00e4ten dieser Gruppen auf Pl\u00e4nen und Projekten basieren, die schon vor Monaten begannen.“<\/p>\n
Finkelstein hat einen interessanten Einwurf: Die Aktivit\u00e4ten der mit der iranischen Regierung assoziierten Akteure h\u00e4tten sich nach der T\u00f6tung Soleimanis nicht verst\u00e4rkt. Jedoch stieg die Anzahl der Angriffe, die von unabh\u00e4ngigen Hackern mit \u00e4hnlicher Ideologie durchgef\u00fchrt wurden.<\/p>\n
Den Angriff auf die US-Beh\u00f6rde FDLP halten Fachleute mittlerweile eher f\u00fcr einen symbolischen Schlag; schlie\u00dflich wurde die Beh\u00f6rde nicht weiter kompromittiert. FireEye gibt zwar zu bedenken, dass man „eine erh\u00f6hte Bedrohung durch iranische Cyberbedrohungsakteure“ erwarte. Jedoch w\u00fcrde man „einen Anstieg der Spionage sehen, die sich haupts\u00e4chlich auf Regierungssysteme konzentriert, da iranische Akteure versuchen, Informationen zu sammeln und das dynamische geopolitische Umfeld besser zu verstehen.“<\/p>\n
Die Forscher bei Recorded Future haben den Eindruck, die Hacker verfolgen „wahrscheinlich eine Aufkl\u00e4rungsmission“, wie Priscilla Moriuchi, Direktorin f\u00fcr strategische Bedrohungsentwicklung, erkl\u00e4rt<\/a>. Moriuchi weiter: „Unser Gef\u00fchl ist, dass angesichts der Netzwerkaktivit\u00e4ten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen \u00fcber die Energiezuteilung und die Ressourcenbeschaffung f\u00fcr Gegner enorm wertvoll w\u00e4re.“<\/p>\n Insgesamt sind sich die Experten relativ einig: Die F\u00e4higkeiten der iranischen Hacker seien bei weitem nicht mit denen der USA vergleichbar. Dennoch besteht das Potenzial, ernsthaften Schaden anzurichten. Die Bedrohung ist also nicht zu ignorieren, aktuell jedoch scheint es im Konflikt zwischen den USA und dem Iran ein wenig ruhiger zu werden.<\/p>\n