Technik

Erst Hackebeil, jetzt Nadelstiche Irans Hacker greifen Firmen und Personen an

16743604.jpg

Im Jahr 2009 legte eine "Iranian Cyber Army" twitter.com lahm.

(Foto: picture alliance / dpa)

Energie, Rüstung, Flughäfen und mehr: Staatliche Hackergruppen aus dem Iran erbeuten Geheiminformationen aus Deutschland, Israel und den USA. Eine Verbindung nach Nordkorea ist möglich. Gibt es einen Zusammenhang zu individualisierten Phishing-E-Mails?

"Es gibt nur eine Schlussfolgerung: Iran ist in der Hackerwelt extrem aktiv." Dies ist das Fazit des IT-Sicherheitsunternehmens Cylance, das Anfang Dezember einen Bericht zur Operation Cleaver (Hackebeil) vorgelegt hat. Darin zeigen die Spezialisten auf, wie eine iranische Hackergruppe mehr als zwei Jahre "sehr geheime" Daten von Energieversorgern, Rüstungskonzernen und Flughäfen erbeutet hat, und das in 16 Ländern der Welt. Darunter ist auch Deutschland.

Seit dem Frühjahr kommt es nun auch zu gezielten Hacker-Angriffen mit ungewöhnlichen Phishing-E-Mails, die speziell auf die Interessen der jeweiligen Zielperson zugeschnitten sind. Dies berichteten Vertreter verschiedener IT-Sicherheitsfirmen beim Chaos Communication Congress in Hamburg. Ziel sei, auf den Zielgeräten Schadsoftware mit Spionagefunktionen aktivieren zu können. Als Absender erscheinen häufig auch reale Firmen, die aber mit den E-Mails nichts zu tun haben.

Die Angriffe verlaufen Tillmann Werner von der IT-Sicherheitsfirma "CrowdStrike" zufolge häufig in zwei Stufen: Zunächst wird eine E-Mail geschickt, bei der absichtlich der versprochene Anhang fehlt. Dann folgt eine weitere Nachricht mit einem Excel-Dokument. Wird die Datei geöffnet, bittet die Software den Nutzer, Makros zu aktivieren. Dies löst im Hintergrund die Installation der Schadsoftware aus, die ausgespähte Informationen an eine Gmail-Adresse verschickt.

54197255.jpg

(Foto: picture alliance / dpa)

Die infizierten Anhänge enthielten etwa Auflistungen von Feiertagen europäischer Länder oder deutscher Botschaftsvertretungen, erklärte Evron. Weitere Beispiele seien die Agenda einer wissenschaftlichen Konferenz und sogar eine Botschaft von US-Präsident Barack Obama.

Ob all dies im Zusammenhang mit der Operation Cleaver steht, ist unklar. Werners Kollege Gadi Evron von der israelischen IT-Sicherheitsfirma Cymmetria nannte keine Namen - sprach aber davon, dass hinter den Aktivitäten höchstwahrscheinlich ein "Nationalstaat mit begrenzten operationellen und technischen Fähigkeiten" stecke, wie heise.de ihn zitiert. Und: Am Ende seiner Erläuterungen zeigte Evron eine iranische Flagge.

Hacker der Revolutionsgarden

Bei der bereits Anfang Dezember aufgedeckten Operation Cleaver sind neben Telekommunikationsunternehmen in Frankfurt und Düsseldorf unter anderen auch Firmen in China, Israel, Südkorea und den USA betroffen. Innerhalb von zwei Jahren gab es 50 gezielte Angriffe auf Energieunternehmen, Rüstungskonzerne, Flughäfen und weitere Einrichtungen. Insgesamt soll die Gruppe 8 Gigabyte geheime Daten erbeutet haben, darunter 80.000 in Firmen gesammelte und nach außen geschmuggelte Dateien.  Die Hacker sollen vor allem von der iranischen Hauptstadt Teheran aus agieren. Cylane geht von mindestens 20 Spezialisten aus, die an der Operation gegen ausländische Infrastrukturen beteiligt sind.

Dem Bericht zufolge wurden die Aktivitäten der Operation seit 2012 stetig umfangreicher. Dies könnte auch eine Folge der Cyber-Angriffe auf die Islamische Republik sein: Der Stuxnet-Wurm etwa störte von 2009 bis 2010 iranische Urananreicherungsanlagen. Der ehemalige NSA-Mitarbeiter Edward Snowden sagte bereits im vergangenen Jahr, die Schadsoftware sei vom US-Geheimdienst National Security Agency in Zusammenarbeit mit Israel geschrieben worden. Der Iran unterzeichnete - wohl unter dem Eindruck mehrerer Cyber-Operationen gegen sich - im Jahr 2012 eine Kooperation mit dem kommunistischen Nordkorea.

Der Iran und die Islamische Revolutionsgarde unterhalten mehrere Hackergruppen, um ausländische Infrastrukturen anzugreifen, schlussfolgert das Unternehmen in seinem Bericht, und liefert dafür mehrere Indizien: So sind alle im Zusammenhang mit der Operation auftauchenden Hacker-Namen persisch. Bei den Angriffen wurde zudem iranische Infrastruktur genutzt und in der Islamischen Republik registrierte Domains.

Auch ein Warnsystem ist in die verwendeten Werkzeuge eingebaut: Könnte ein Angriff auf eine iranische IP-Adresse zurückgeführt werden, warnen sie davor. Zudem machten die umfangreichen Aktivitäten und Fähigkeiten der Angreifer staatliche Koordination wahrscheinlich. Dass sich viele Ziele in Südkorea befinden, deute auf die Verflechtung mit Nordkorea hin.

Eine zusätzliche Konzentration auf Einzelpersonen, wie sie nun beim Chaos Communication Congress in Hamburg beschrieben wurde, wäre eine Ausweitung solcher Aktivitäten. Ein detaillierter Bericht über die Nadelstich-Attacken soll noch folgen. Dann könnte sich klären, ob tatsächlich ein Zusammenhang besteht.

Quelle: n-tv.de, rpe

Mehr zum Thema