Iranische Hacker-Gruppe hat mehr als 30 als Hacking-Kampagnen gestartet

Iranische Hacker-Gruppe hat mehr als 30 Hacking-Kampagnen gestartet

Washington, 16.9. 2022

In jüngster Zeit geraten iranische Hackergruppen, die offensichtlich vom Staat gestützt werden, immer häufiger ins Blickfeld. Die bisher letzte Aktion wird einem Bedrohungsakteur mit der Bezeichnung APTR42 zugeschrieben. Westliche Cybersecuritsy- Experten gehen davon aus, dass die Iraner derzeit seit 2015 über 30 Hacking-Kampagnen gestartet haben.

Die iranischen Hacker haben es auf zahlreiche Regierungen und Organisationen in Asien abgesehen. Diese Hacking-Kampagne ist seit Anfang 2021 aktiv. Sie zielt auf die Bereiche Finanzen, Luft- und Raumfahrt, Verteidigung, IT und Telekommunikation ab.

Die Hacker nutzen DLL-Side-Loading als Bedrohungsvektor. Bei dieser Methode werden Sicherheitslücken in Windows-Systemen ausgenutzt, indem sie dazu verleitet werden, bösartige Dateien anstelle von sicheren Dateien zu öffnen.

Die Ziele werden von Malware getroffen, die in der Lage ist, Sicherheitsprotokolle zu umgehen zusätzlich zu den DLL-Angriffen Remote-Access-Trojaner zu starten.

Neben der DLL-Windows-Schwachstelle nutzen die Bedrohungsakteure eine weitere Windows-Schwachstelle aus, die als ProxyLogon-Server-Schwachstelle bekannt ist. Dieser Fehler ermöglicht es Hackern, sich Fernzugriffsrechte zu verschaffen, indem sie sich als Administrator des Zielgeräts ausgeben.

Es wird vermutet, dass iranische Hacker vor kurzem in Albanien eingedrungen sind und die nationale digitale Dokumenteninfrastruktur E-Albania zum Erliegen gebracht haben. Außerdem drangen staatlich unterstützte Hacker in das digitale Grenzkontrollsystem des Landes, TIMS genannt, ein.

Infolgedessen hat Albanien seine diplomatischen Beziehungen zu dem Land abgebrochen, während die USA Sanktionen verhängt haben. Die iranische Regierung hat bestritten, an der Hacking-Kampagne beteiligt zu sein.

Den Forschern zufolge wird die Gruppe durch die Unterstützung der iranischen Regierung gestärkt.

Es wird vermutet, dass APT42 auch mit APT35 zusammenarbeitet, einem Bedrohungsakteur, der dafür bekannt ist, HBO und zahlreiche Regierungsbeamte zu infiltrieren.

Die Gruppe nutzt Social Hacking, um sich Zugang zu Anmeldedaten zu verschaffen. Diese Methode ermöglicht es der Gruppe, die Entdeckung zu vermeiden, indem sie mit Brute-Force-Angriffen in Systeme eindringt. Es wird vermutet, dass sich die Mitglieder von APT42 als Journalisten ausgeben, um Glaubwürdigkeit zu erlangen.

Der Bedrohungsakteur verwendet Android-Malware wie Vinethorn. Diese Malware kann sich Zugang zu Mikrofonen, Chatverläufen, Mediengalerien usw. verschaffen.

Erst vor wenigen Tagen kündigten die USA neue Sanktionen gegen den Iran an, da das Land zahlreiche Angriffe auf Verbündete der USA startete, darunter auch einen Cyberangriff auf Albanien. Diese Hacking-Kampagne legte E-Albania, die nationale digitale Dokumenteninfrastruktur des Landes, lahm.

Albanien hat als Folge dieses Angriffs alle diplomatischen Beziehungen zum Iran abgebrochen.

Es wird angenommen, dass iranische Hacker im Jahr 2021 die meisten Ransomware-Tools Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat das iranische Ministerium für Nachrichtendienste und Sicherheit (MOIS) am 9.September wegen der Beteiligung an Cyberaktivitäten gegen die Vereinigten Staaten und ihre Verbündeten angeklagt und sanktioniert. In der Begründung dazu heißt es:

Seit mindestens 2007 habe das MOIS und seine Cyber-Akteure bösartige Cyber-Operationen durchgeführt, die sich gegen eine Reihe von staatlichen und privaten Organisationen auf der ganzen Welt und in verschiedenen kritischen Infrastrukturbereichen richten. Im Juli 2022 brachten Cyber-Bedrohungsakteure, die als von der iranischen Regierung und dem MOIS gesponsert eingeschätzt wurden, die Computersysteme der albanischen Regierung zum Erliegen, so dass die Regierung gezwungen war, die öffentlichen Online-Dienste für ihre Bürger auszusetzen.

Der Unterstaatssekretär des Finanzministeriums für Terrorismus und Finanzkriminalität, Brian E. Nelson, wies in einer Stellungnahme darauf hin, dass „der iranische Cyberangriff auf Albanien verstößt gegen die Normen für ein verantwortungsbewusstes Verhalten des Staates in Friedenszeiten im Cyberspace , zu denen auch die Norm gehört, kritische Infrastrukturen, die Dienstleistungen für die Öffentlichkeit erbringen, nicht zu beschädigen“, sagte. Er stellte anschließend klar: „Wir werden die zunehmend aggressiven Cyber-Aktivitäten des Irans, die sich gegen die Vereinigten Staaten oder unsere Verbündeten und Partner richten, nicht tolerieren.“

DAS MOIS UND SEINE NETZWERKE VON CYBER-BEDROHUNGSAKTEUREN

Das OFAC nannte weitere Details zu dem MOIS: Danach wird die Gruppe von Esmail Khatib geleitet. Dieser habe sich mit mehreren Netzwerken von Cyberbedrohungsakteuren an Cyberspionage und Ransomware-Angriffen zur Unterstützung der politischen Ziele Irans beteiligt.

Die MOIS-Cyber-Akteure hätten nicht nur bösartige Cyber-Aktivitäten durchgeführt, sondern waren auch für das Durchsickern von Dokumenten, die angeblich von der albanischen Regierung stammten, und von persönlichen Daten albanischer Bürger verantwortlich.

Weiter heißt es in der Erklärung des OFAC: :“Anfang dieses Jahres identifizierten die Vereinigten Staaten eine Gruppe von APT-Akteuren (Advanced Persistent Threats), bekannt als MuddyWater, als ein untergeordnetes Element innerhalb von MOIS, das seit etwa 2018 breit angelegte Cyberkampagnen zur Unterstützung der Ziele der Organisation durchführt. MuddyWater-Akteure sind dafür bekannt, dass sie öffentlich gemeldete Schwachstellen ausnutzen, um sich Zugang zu sensiblen Daten auf den Systemen der Opfer zu verschaffen, Ransomware einzusetzen und den Betrieb privater Organisationen zu stören. Erst im November 2021 wurde festgestellt, dass MuddyWater an einer Cyberkampagne beteiligt war, die auf türkische Regierungsstellen abzielte und Dokumente mit Schadsoftware wahrscheinlich über Spearphishing-E-Mails übermittelte, um Zugang zu den Systemen der Opfer zu erhalten.

APT39, das vom OFAC am 17. September 2020 gemäß E.O. 13553 als im Besitz oder unter der Kontrolle des MOIS stehend eingestuft wurde, ist eine weitere Cyberspionagegruppe, die Iran zur Förderung seiner bösartigen Ziele eingesetzt hat. APT39 hat in großem Umfang personenbezogene Daten gestohlen, wahrscheinlich um Überwachungsmaßnahmen zu unterstützen, die Irans Menschenrechtsverletzungen ermöglichen. Gleichzeitig mit der Benennung von APT39 und der von der iranischen Regierung gegründeten Firma Rana Intelligence Computing Company durch die USA hat das Federal Bureau of Investigation die jahrelange Malware-Kampagne von MOIS aufgedeckt, die iranische Bürger, Dissidenten und Journalisten sowie eine Reihe ausländischer Organisationen, darunter mindestens 15 US-Unternehmen, ins Visier nahm und überwachte.

Der MOIS wird heute gemäß E.O. 13694 in seiner geänderten Fassung benannt, weil er direkt oder indirekt für cybergestützte Aktivitäten verantwortlich oder daran beteiligt ist, die mit großer Wahrscheinlichkeit zu einer erheblichen Bedrohung der nationalen Sicherheit der Vereinigten Staaten führen oder wesentlich dazu beigetragen haben und die eine erhebliche Störung der Verfügbarkeit eines Computers oder Computernetzes bezwecken oder bewirken.

Esmail Khatib wird heute gemäß E.O. 13694 in der geänderten Fassung benannt, weil er direkt oder indirekt für das MOIS oder in dessen Namen gehandelt hat oder zu handeln vorgab.“

AUSWIRKUNGEN DER SANKTIONEN

Die Sanktionen beinhalten: alle Vermögenswerte und Beteiligungen an Vermögenswerten von Khatib , die der US-Gerichtsbarkeit unterliegen, werden blockiert. „ US-Personen ist es generell untersagt, Geschäfte mit ihnen zu tätigen. Darüber hinaus werden alle Unternehmen, die zu 50 Prozent oder mehr im Besitz einer oder mehrerer benannter Personen sind, ebenfalls blockiert. Alle Transaktionen von US-Personen oder innerhalb der Vereinigten Staaten (oder im Transit durch die Vereinigten Staaten), die Eigentum oder Beteiligungen an Eigentum von bezeichneten oder anderweitig gesperrten Personen betreffen, sind verboten, es sei denn, sie sind durch eine vom OFAC ausgestellte allgemeine oder spezifische Lizenz genehmigt oder davon ausgenommen. Diese Verbote umfassen die Leistung von Beiträgen oder die Bereitstellung von Geldern, Gütern oder Dienstleistungen durch, an oder zu Gunsten von gesperrten Personen sowie die Entgegennahme von Beiträgen oder die Bereitstellung von Geldern, Gütern oder Dienstleistungen von solchen Personen.

Darüber hinaus können Nicht-US-Personen, die bestimmte Transaktionen mit den heute benannten Personen durchführen, selbst von der Benennung betroffen sein. Darüber hinaus könnte jedes ausländische Finanzinstitut, das wissentlich eine bedeutende Transaktion für oder im Namen der heute benannten Personen durchführt oder erleichtert, den US-Sanktionen für Korrespondenz- oder Durchleitungskonten unterliegen“.

Eine zentrale Anlaufstelle, auf der Tools und Ressourcen mehrerer Bundesbehörden zusammen gefaßt werden , die zum Schutz vor Ransomware für jedermann eingesetzt werden kann, steht auf dieser Site bereit:

Ransomare.gov