Business Security, Schutzprogramme, Verschlüsselung & Datensicherheit

Cyber-Attacken aus dem Iran?

Ruhe vor dem Sturm? Palo Alto Networks veröffentlicht Übersicht zu bisherigen Cyberangriffsoperationen mit Verbindungen zum Iran

Angesichts der erhöhten Spannungen im Nahen Osten, besteht eine wachsende Gefahr weiterer Cyberangriffe, die vom Iran oder damit verbundenen Gruppen ausgehen. Unit 42, die Forschungsabteilung von Palo Alto Network, hat nun eine Übersicht zu den bisherigen Cyberangriffsaktivitäten, deren Ursprung auf Akteure im Iran zurückführen ist, veröffentlicht. Dieser „Threat Brief“ enthält eine Zusammenfassung bisheriger Angriffskampagnen. Aktivitäten, die seit den Ereignissen vom 3. Januar 2020 aufgetreten sind, sind darin nicht enthalten.

 In Expertenkreisen wird vermutet, dass der Iran seit 2010 sehr aktiv an Cyberangriffsoperationen auf der ganzen Welt teilnimmt. Eine Reihe von Gruppen und Kampagnen wurden seitens der Cybersicherheitsbranche bereits benannt und veröffentlicht. Die Aktivitäten, die dem Iran als staatlicher Akteur zugeschrieben werden, stützen sich auf taktische Beweise über die Zielrichtung und mögliche Motivationen. Zu den derzeit aktiven Gruppen oder Kampagnen, die von der Sicherheitsbranche dem Iran zugeordnet werden, zählen:

  • OilRig (alias APT34/Helix Kitten)
  • MagicHound (alias APT35/Newscaster/Cobalt Gypsy)
  • APT33 (alias Refined Kitten/Elfin)
  • DarkHydrus
  • Shamoon
  • MuddyWater (alias Static Kitten)

Spionage und Zerstörung als Motive

Die Mehrzahl der beobachteten Angriffskampagnen war mit Spionage verbunden. Die Akteure suchten dabei offenbar Zugang zu einer Zielorganisation oder zu sensiblen Daten. Eine geringere Anzahl von hochgradig fokussierten, zerstörerischen Angriffen wurde im Laufe der Zeit beobachtet, beginnend mit dem ursprünglichen Angriff von Shamoon im Jahr 2012, mit weiteren Iterationen Jahre später, und in jüngster Zeit mit StoneDrill und ZeroCleare. Insgesamt haben sich die Cyberangriffe, die dem Iran zugeschrieben werden, im letzten Jahrzehnt als überaus hartnäckig und anhaltend erwiesen. Der Zielradius für diese Gruppen erstreckte sich über den gesamten Globus und über alle wichtigen Branchen.

Ähnliche Taktiken

Die verschiedenen Gruppen wenden oft sehr ähnliche Taktiken und Techniken an, um ihre Angriffe durchzuführen, wie etwa den massiven Einsatz von Speer-Phishing, also gezielte Betrugsversuche per E-Mail, um an Zugangsdaten zu kommen, und Credential Harvesting, das trickreiche Abgreifen von Zugangsdaten. Bei all diesen Gruppen war ein weiteres durchgängiges Thema der Missbrauch von schlecht umgesetzten IT- und Sicherheitsrichtlinien. Es gibt jedoch relativ einfache Richtlinien, die bei der Verhinderung der böswilligen Aktionen dieser gegnerischen Gruppen hätten helfen können. Hierzu zählen das Aktivieren der Multi-Faktor-Authentifizierung (MFA) in der gesamten Organisation, die korrekte Segmentierung von Netzwerken, die Einschränkung makrofähiger Dokumente und das Sperren von Netzwerkaktivitäten für unbekannte Domains.

Weitere Informationen

Link zu den IOCs auf GitHub

Weiterführende Infos finden Sie hier

USA-Iran Konflikt

Daten sichern

Zurück

Diesen Beitrag teilen
oben