Palo Alto Networks: Übersicht der Cyberangriffsoperationen mit Verbindungen zum Iran

Iran-nahe Angreifer auf dem Radar behalten

15. Januar 2020, 08:26 Uhr   |  Von Dr. Wilhelm Greiner.

Iran-nahe Angreifer auf dem Radar behalten

Angesichts der erhöhten Spannungen im Nahen Osten besteht die Gefahr weiterer Cyberangriffe, die vom Iran oder mit ihm verbundener Gruppen ausgehen, warnt Palo Alto Networks. Unit 42, die Forschungsabteilung des US-amerikanischen Sicherheitsanbieters, hat deshalb eine Übersicht der bisherigen Angriffskampagnen veröffentlicht, deren Ursprung die Security-Spezialisten auf Akteure im Iran zurückführen. Aktivitäten, die seit den Ereignissen vom 3. Januar 2020 aufgetreten sind, enhält das Threat Briefing nicht.

Laut Palo Alto Networks vermutet man, dass der Iran seit 2010 international sehr aktiv Cyberangriffsoperationen betreibt. Security-Experten haben eine Reihe von Gruppen und Kampagnen bereits benannt und veröffentlicht. Die Aktivitäten, die dem Iran als staatlicher Akteur zugeschrieben werden, stützen sich auf taktische Beweise über die Zielrichtung und mögliche Motivationen.

Zu den derzeit aktiven Gruppen oder Kampagnen, die dem Iran zugeordnet werden, zählen:

  • OilRig (alias APT34/Helix Kitten)
  • MagicHound (alias APT35/Newscaster/Cobalt Gypsy)
  • APT33 (alias Refined Kitten/Elfin)
  • DarkHydrus
  • Shamoon
  • MuddyWater (alias Static Kitten)

Es scheint laut Palo Alto Networks zwei Motivationen für diese Gruppen zu geben: Spionage und Zerstörung. Die Mehrzahl der beobachteten Angriffskampagnen sei mit Spionage verbunden. Die Akteure hätten dabei offenbar Zugang zu einer Zielorganisation oder zu sensiblen Daten gesucht. Aber auch eine geringere Anzahl hochgradig fokussierter, zerstörerischer Angriffe war laut den Security-Forschern zu beobachten, beginnend mit dem ursprünglichen Angriff von Shamoon 2012, mit weiteren Iterationen Jahre später und in jüngster Zeit mit StoneDrill und ZeroCleare.

Insgesamt, so der US-Security-Anbieter, hätten sich die Cyberangriffe, die dem Iran zugeschrieben werden, im letzten Jahrzehnt als überaus hartnäckig und anhaltend erwiesen. Der Zielradius für diese Gruppen habe sich über den gesamten Globus und über alle wichtigen Branchen erstreckt. Obwohl es in naher Zukunft zu vermeintlichen Vergeltungsmaßnahmen kommen könne, gehe man davon aus, dass diese Maßnahmen höchstwahrscheinlich in Zusammenhang mit ohnehin bereits laufenden Angriffskampagnen und Operationen stehen.

Die verschiedenen Gruppen wenden laut den US-Experten oft sehr ähnliche Taktiken und Techniken an, um ihre Angriffe durchzuführen, etwa den massiven Einsatz von Spear-Phishing (gezielte Betrugsversuche per E-Mail, um an Zugangsdaten zu kommen) und Credential Harvesting (Abgreifen von Zugangsdaten). Diese Aktivitäten seien im letzten Jahrzehnt hartnäckig gewesen, und es sei zu erwarten, dass sie angesichts der jüngsten geopolitischen Ereignisse weitergehen oder gar zunehmen werden.

Bei all diesen Gruppen war laut Palo Alto Networks der Missbrauch schlecht umgesetzter IT- und Sicherheitsrichtlinien ein durchgängiges Thema. Es gebe jedoch relativ einfache Richtlinien, die bei der Verhinderung der böswilligen Aktionen dieser gegnerischen Gruppen hätten helfen können. Hierzu zählt der Sicherheitsanbieter das Aktivieren der Mehr-Faktor-Authentifizierung (MFA) in der gesamten Organisation, die korrekte Segmentierung von Netzwerken, die Einschränkung makrofähiger Dokumente und das Sperren von Netzwerkaktivitäten für unbekannte Domains.

Unit 42 hat die IoCs (Indicators of Compromise, Angriffsindizien) der in diesem Bericht referenzierten Gruppen konsolidiert und in ihrem GitHub-Repository gespeichert. Diesen Datensatz sollte man laut den Experten nicht als umfassend für alle potenziellen Cyberangriffsoperationen ansehen, die dem Iran zugeschrieben werden. Er könne sich ohne Vorankündigung ändern.

Weitere Informationen sind zu finden unter unit42.paloaltonetworks.com/threat-brief-iranian-linked-cyber-operations/. Die IoCs sind erhältlich unter github.com/pan-unit42/iocs/tree/master/iran_linked_operators.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Sicherheit aus der Cloud für die Cloud
Solarwinds aktualisiert Netzwerk-Management-Portfolio
Angriffserkennung nutzt Datenquellen von Drittanbietern

Verwandte Artikel

APT

Cyberangriff

Palo Alto Networks