Erwartet die Trump-Administration im Konflikt mit Iran einen Cyberkrieg?
9. Januar 2020Erwartet die Trump-Administration im Konflikt mit Iran einen Cyberkrieg?
New York, 9.1.2020
Dieser Verdacht wird durch ein Schreiben geweckt, den die Cybersecurity and Infrastrukture Security Agency (CISA) gestern an die Behörden des Landes verschickt hat.
Die CISA wurde am 16. November 2018 gegründet, als Präsident Donald Trump das Gesetz über die Cybersecurity and Infrastructure Security Agency von 2018 unterzeichnete. CISA ist eine eigenständige US-Bundesbehörde, die als operative Komponente unter der Aufsicht des Department of Homeland Security (DHS) steht. Seine Aktivitäten sind eine Fortsetzung der Nationalen Direktion für Schutz und Programme (NPPD). Die Hauptaufgabe von CISA besteht darin, die Cybersicherheit auf allen Regierungsebenen zu erhöhen , Cybersicherheitsprogramme mit Staaten zu koordinieren und den Cybersicherheitsschutz der Regierung gegen private und nationalstaatliche Hacker zu verbessern.
In der Anleitung, die offensichtlich nicht an Profis gerichtet ist, sondern an die „Cybersecurity-Community“, wird darauf hingewiesen, dass folgende Maßnahmen ergriffen bzw. eingeleitet werden müssen:
Man solle sich in den Zustand erhöhter Wachsamkeit begeben. Bedeutet: Volle Verfügbarkeit des zuständigen Personals sowie unablässige Nutzung relevanter Bedrohungsinformationen. Sicherstellen, dass die wichtigsten internen Sicherheitsfunktionen überwacht und anomales Verhalten erkannt werden. Alle iranischen Indikatoren für Kompromisse und Taktiken, Techniken und Verfahren (TTPs), sind zu melden, damit sofort darauf reagiert werden kann. Sicherstellen, „dass das Personal weiß, wie und wann ein Vorfall zu melden ist. Das Wohlergehen der Belegschaft und der Internetinfrastruktur eines Unternehmens hängt vom Bewusstsein für Bedrohungsaktivitäten ab. Ziehen Sie in Betracht, Vorfälle an CISA zu melden, um als Teil des Frühwarnsystems von CISA zu dienen“.
Es folgt die Aufforderung, organisatorische Notfallpläne durchzuführen. Es müsse dafür gesorgt werden, das „ die Mitarbeiter mit den wichtigsten Schritten vertraut sind, die sie während eines Vorfalls ausführen müssen. Haben sie die Zugänge, die sie brauchen? Kennen sie die Prozesse? Protokollieren sie die verschiedenen Datenquellen wie erwartet? Stellen Sie sicher, dass das Personal in der Lage ist, ruhig und einheitlich zu handeln“.
Zum iranischen Cyber-Bedrohungsprofil werden folgende Angaben gemacht:
„Der Iran nutzt seit jeher asymmetrische Taktiken, um nationale Interessen zu verfolgen, die über seine konventionellen Fähigkeiten hinausgehen. In jüngerer Zeit ist der Einsatz von offensiven Cyber-Operationen eine Erweiterung dieser Doktrin. Der Iran hat seine zunehmend ausgefeilten Fähigkeiten genutzt, um sowohl soziale als auch politische Perspektiven, die für den Iran gefährlich sind, zu unterdrücken und regionalen und internationalen Gegnern Schaden zuzufügen“.
Verschwiegen wird nicht, das die „iranischen Cyber-Bedrohungsakteure …ihre offensiven Cyber-Fähigkeiten kontinuierlich verbessert“ haben. Sie würden weiterhin „konventionellere“ Aktivitäten ausüben. Darunter Website-Defacement, DDoS-Angriffe (Distributed Denial of Service) und Diebstahl von personenbezogenen Daten (PII). Doch auch der Einsatz zerstörerischer Wiper-Malware und möglicherweise cyberfähige kinetische Angriffe gehören zu ihrem Repertoire.
Natürlich haben die US-Geheimdienste und verschiedene private Geheimdienstorganisationen die treibende Kraft hinter diesen Cyberangriffen längst ausgemacht: es handele sich um das Islamic Revolutionary Guard Corps (IRGC).
Open-Source-Informationen zufolge wurden offensive Cyber-Operationen, die auf eine Vielzahl von Branchen und Organisationen abzielten – einschließlich Finanzdienstleistungen, Energie, Regierungsgebäude, Chemie, Gesundheitswesen, kritische Fertigung, Kommunikation und die industrielle Basis der Verteidigung – der iranischen Regierung zugeordnet . Dieselbe Berichterstattung hat iranische Akteure mit einer Reihe hochkarätiger Angriffe in Verbindung gebracht, darunter:
Ende 2011 bis Mitte 2013 – DDoS-Angriffe auf den US-Finanzsektor: Als Reaktion auf diese Aktivität hat das US-Justizministerium im März 2016 sieben iranische Akteure angeklagt, die von Unternehmen beschäftigt wurden, die im Auftrag der IRGC DDoS-Angriffe hauptsächlich gegen die Öffentlichkeit durchgeführt haben. Die Angriffe verhinderten, dass Kunden auf ihre Konten zugreifen konnten, und kosteten die Banken Millionen Dollar für die Sanierung.
August / September 2013 – Unerlaubter Zugang zum Staudamm im US-Bundesstaat New York. Als Reaktion darauf erhob das US-Justizministerium im März 2016 Anklage gegen einen iranischen Schauspieler, der von einem im Auftrag des IRGC tätigen Unternehmen wegen illegalen Zugangs zur Aufsichtskontrolle und Datenerfassung angestellt wurde (SCADA). Sein Zielobjekt: Systeme des Bowman Dam in Rye, New York. Der Zugang ermöglichte es dem Akteur, Informationen über den Status und den Betrieb des Staudamms zu erhalten.
Februar 2014 – Sands Las Vegas Corporation gehackt: Cyber-Bedrohungsakteure haben sich in die Sands Las Vegas Corporation in Las Vegas, Nevada, gehackt und Kundendaten gestohlen, darunter Kreditkartendaten, Sozialversicherungsnummern und Führerscheinnummern. Gemäß einem Artikel von Bloomberg aus dem Dezember 2014 betraf der Angriff auch einen zerstörerischen Teil, bei dem die Computersysteme der Sands Las Vegas Corporation gelöscht wurden. Im September 2015 identifizierte der Direktor des US-Geheimdienstes die iranische Regierung als Täter des Angriffs in einer Erklärung für die Aufzeichnung an den ständigen ausgewählten Geheimdienstausschuss des Repräsentantenhauses.
2013 bis 2017 – Cyber-Diebstahl-Kampagne zugunsten der IRGC: Als Reaktion darauf erhob das US-Justizministerium im März 2018 Anklage gegen neun iranische Akteure, die mit dem Mabna-Institut zusammenarbeiten, weil sie eine massive Cyber-Diebstahl-Kampagne mit Dutzenden von Einzelvorfällen durchgeführt hatten, darunter „viele im Auftrag“ des IRGC. “Die Diebstähle richteten sich gegen Daten zu akademischen und geistigen Eigentumsrechten sowie gegen E-Mail-Zugangsdaten. Der Anklageschrift zufolge richtete sich die Kampagne an „144 US-amerikanische Universitäten, 176 Universitäten in 21 Ländern, 47 inländische und ausländische Unternehmen des Privatsektors, das US-Arbeitsministerium, die Federal Energy Regulatory Commission, den Bundesstaat Hawaii, den Bundesstaat Indiana, den Vereinten Nationen und dem Kinderhilfswerk der Vereinten Nationen. “[4]
Im Allgemeinen empfiehlt CISA zwei Vorgehensweisen angesichts der potenziellen Bedrohung durch iranische Akteure: 1) Schadensbegrenzung und 2) Vorbereitung von Vorfällen.
1. Deaktivieren Sie alle nicht benötigten Ports und Protokolle. Überprüfen Sie die Protokolle der Netzwerksicherheitsgeräte und stellen Sie fest, ob nicht benötigte Ports und Protokolle deaktiviert werden sollen. Überwachen Sie allgemeine Ports und Protokolle auf Befehls- und Steuerungsaktivität.
2. Verbessern Sie die Überwachung des Netzwerk- und E-Mail-Verkehrs. Überprüfen Sie die Netzwerksignaturen und -indikatoren für gezielte Betriebsaktivitäten, überwachen Sie sie auf neue Phishing-Themen und passen Sie die E-Mail-Regeln entsprechend an und befolgen Sie die bewährten Methoden zum Einschränken von Anhängen per E-Mail oder mithilfe anderer Mechanismen.
3. Nach außen gerichtete Geräte ausbessern. Konzentrieren Sie sich auf das Patchen kritischer und schwerwiegender Sicherheitslücken, die eine Remotecodeausführung oder einen Denial-of-Service auf externen Geräten ermöglichen.
4. Protokollieren und begrenzen Sie die Verwendung von PowerShell. Begrenzen Sie die Verwendung von PowerShell auf Benutzer und Konten, die dies benötigen, aktivieren Sie die Codesignatur für PowerShell-Skripts und aktivieren Sie die Protokollierung aller PowerShell-Befehle.
5. Stellen Sie sicher, dass die Backups auf dem neuesten Stand sind und an einem leicht abrufbaren Ort gespeichert sind, der vom Unternehmensnetzwerk getrennt ist.
