USA warnen vor Gefahr iranischer Cyberangriffe

Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) warnt offiziell vor der Gefahr iranischer Cyberangriffe. In den vergangenen Monaten verschärften sich die Konflikte zwischen den westlichen Ländern und dem Iran: US-Präsident Donald Trump verhängte neue Sanktionen gegen den Iran, wodurch der ohnehin schon schwelende Streit um das iranische Atomprogramm neu entfacht wurde. So wurde im Januar 2020 der iranische Top-General Qasem Soleimani durch einen Raketenbeschuss getötet; die USA haben sich mittlerweile zu diesem Mord bekannt. Als Antwort auf diese Tat rechnet man seitens des Iran mit verstärkten Cyberangriffen auf US-Unternehmen sowie -Behörden.

USA warnen vor Gefahr iranischer Cyberangriffe

Die US-Behörde Federal Depository Library Program (FDLP) zeigt sich verantwortlich fürs Verbreiten von US-Regierungspublikationen. Am 04. Januar 2020 war die Website der FDLP nicht mehr aufrufbar; sie wurde von mutmaßlichen iranischen Hackern gekapert. Am besagten Tag war da, wo die Website der Behörde sonst zu finden war, nur der Schriftzug „Iranische Hacker“ zu lesen – und Bilder des iranischen Anführers Ajatollah Ali Chamenei waren zu sehen. Weiter war zu lesen, dass man Rache für den in Bagdad getöteten General Qasem Soleimani fordere.

Zu guter Letzt platzierten die Hacker auf der Website eine Animation, die US-Präsident Trump zeigt. Auf diesen wird eingeschlagen, während iranische Raketen durch die Animation fliegen. An einer anderen Stelle der Website hinterließen die Hacker den Satz „Dies ist nur ein kleiner Teil der iranischen Cyber-Fähigkeiten“. Die US-Behörde CISA erwartet nun eine neue Welle gezielter Angriffe sowie gestreuter Malware-Attacken aus iranischen Quellen.

APT33 – eine iranische Hackertruppe mit Potenzial

Seit Jahren existiert eine aktive iranische Hackergruppe, die sowohl als APT33 als auch als Holmium, Elfin oder auch Refined Kitten bekannt ist. In der Vergangenheit hat APT33 Konzerne angegriffen, die ihren Hauptsitz in den USA, in Südkorea oder auch Saudi-Arabien haben. Zwar agierte die Gruppe in unterschiedlichen Branchen, jedoch zeigte sie ein besonders reges Interesse an kommerziellen und militärischen Luftfahrtkonzernen und an Energie-Unternehmen, die sich an der Herstellung petrochemischer Produkte beteiligen.

Gemutmaßt wird, dass die Hackergruppe von der iranischen Regierung unterstützt wird – denkbar ist für Experten auch, dass die Hackergruppe im Auftrag der iranischen Regierung Angriffe auf den Westen ausübt.

Microsoft möchte darüber hinaus im Rahmen aktueller Analysen herausgefunden haben, dass APT33 seit einigen Monaten gezielt Unternehmen angreift, die an der (Komponenten-)Fertigung, Betreuung und Zulieferung industrieller Kontrollsysteme (Industrial Control Systems, ICS) mitwirken. Schon seit vielen Jahren beobachtet der US-Konzern Microsoft die Aktivitäten der Hackergruppe. Microsoft-Manager John Lambert berichtete im März 2019 gegenüber dem Wall Street Journal, dass die Hackergruppe binnen zwei Jahren über 200 Unternehmen auf der ganzen Welt angegriffen haben soll. Dabei seien vertrauliche Informationen entweder gestohlen oder von den Systemen gelöscht worden.

Infrastruktursysteme im Visier

Mitte/ Ende Januar 2020 deckten Forscher der Cybersicherheitsanbieter Insikt Group und Recorded Future eine Hacker-Kampagne auf, die sich allem Anschein nach gegen den europäischen Energiesektor richtete. Ziel sei es gewesen, vertrauliche Informationen zu sammeln. Wie die Forscher angeben, hätten die Hintermänner Verbindungen zum Iran. Zwischen Ende November und Anfang Januar nahmen die Hacker besonders den US-amerikanischen sowie den europäischen Energiemarkt ins Visier – mit dem Ziel, die Infrastruktur in Europa zu schädigen. Das ist nicht ohne: schlimmstenfalls führt ein mit Viren durchgeführter Angriff zu großflächigen Stromausfällen.

Die Angreifer setzten auf die Open Source-Malware RupyRAT, die neben Windows auch Linux, macOS sowie Android gefährlich werden kann. Die Malware verschafft Hackern unter Umständen Zugang zu den Opfer-Systemen und diese können Daten wie Nutzernamen, Passwörter und weitere Informationen aus dem Netzwerk stehlen.

Das BSI bestätigte die Forschungsergebnisse des Antiviren-Anbieters Kaspersky, der auf einem Hackerkongress in Leipzig im Dezember 54 Sicherheitslücken in der Kraftwerkssteuerungssoftware aus dem Hause Siemens aufdeckte. Mitte Dezember hatte das BSI eine eigene Warnmeldung an die betroffenen Kraftwerksbetreiber herausgegeben. Das Amt erklärte auf Anfrage der „Welt am Sonntag“: „Die von den Forschern in dem Gerät gefundenen Schwachstellen sind erheblich.“

Aktuelle Einschätzung: Cyberbedrohungen aus dem Iran

Check Point, ein israelisches Sicherheitsunternehmen, zählt Woche für Woche rund 35 Angriffe seitens iranischer Hacker, die sich gegen Organisationen auf der ganzen Welt richten. Cyber-Aufklärungschef von Check Point, Lotem Finkelstein, glaubt nicht, dass die Angriffe eine Reaktion auf die Tötung des Generals Soleimani sind: „Diese Zahlen sind ziemlich ähnlich wie die in den Wochen vor dem amerikanischen Angriff“, erklärt er. Proofpoint-Expertin Sherrod DeGrippo sieht das ähnlich: „Es ist wahrscheinlich, dass die Aktivitäten dieser Gruppen auf Plänen und Projekten basieren, die schon vor Monaten begannen.“

Finkelstein hat einen interessanten Einwurf: Die Aktivitäten der mit der iranischen Regierung assoziierten Akteure hätten sich nach der Tötung Soleimanis nicht verstärkt. Jedoch stieg die Anzahl der Angriffe, die von unabhängigen Hackern mit ähnlicher Ideologie durchgeführt wurden.

Den Angriff auf die US-Behörde FDLP halten Fachleute mittlerweile eher für einen symbolischen Schlag; schließlich wurde die Behörde nicht weiter kompromittiert. FireEye gibt zwar zu bedenken, dass man „eine erhöhte Bedrohung durch iranische Cyberbedrohungsakteure“ erwarte. Jedoch würde man „einen Anstieg der Spionage sehen, die sich hauptsächlich auf Regierungssysteme konzentriert, da iranische Akteure versuchen, Informationen zu sammeln und das dynamische geopolitische Umfeld besser zu verstehen.“

Die Forscher bei Recorded Future haben den Eindruck, die Hacker verfolgen „wahrscheinlich eine Aufklärungsmission“, wie Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung, erklärt. Moriuchi weiter: „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“

Insgesamt sind sich die Experten relativ einig: Die Fähigkeiten der iranischen Hacker seien bei weitem nicht mit denen der USA vergleichbar. Dennoch besteht das Potenzial, ernsthaften Schaden anzurichten. Die Bedrohung ist also nicht zu ignorieren, aktuell jedoch scheint es im Konflikt zwischen den USA und dem Iran ein wenig ruhiger zu werden.