Das Sicherheitsunternehmen Cylance hat auf eine iranische Hackerguppe hingewiesen (PDF), die in den letzten zwei Jahren gegen mehr als 50 Ziele in 16 Ländern vorgegangen ist. Insbesondere Fluglinien und Rüstungsbetriebe standen in ihrem Fokus.
In einem Fall gelang es „Operation Cleaver“, Zugang zu Sicherheitssystemen eines Flughafens zu erhalten. Bei anderen Aktionen kamen sie an Paypal-Daten oder an Zugänge zu Industrie-Kontrollsystemen. Sie waren in den USA und Europa aktiv, aber auch in Katar, China und Südkorea. In Deutschland soll mindestens ein Unternehmen aus der Telekommunikationsbranche angegriffen worden sein – welches und mit welchem Erfolg, sagen die Forscher nicht.
Die Gruppe verwendet eher klassische Angriffstechniken: Sie setzt auf bekannte Schwachstellen und Phishing. Zutritt zu einem Zielnetzwerk bekamen sie zumeist über SQL-Injection-Angriffe, in manchen Fällen verschickten sie angebliche Jobangebote von Rüstungsfirmen an ihre Opfer. War ein erster Rechner infiziert, begannen sie, sich im Netzwerk auszubreiten. Dabei erstellten sie etwa Passwortlisten, die üblicherweise per anonymem FTP an einen Server geschickt wurden. In wenigstens einem Fall wurde eine Datei aber als Anhang einer scheinbaren Viagra-Werbung versandt, um die Spur zu verwischen.
Cylance schätzt, dass Operation Cleaver im Lauf der letzten beiden Jahre mehr als 8 GByte höchst geheimer Daten erbeuten konnte, darunter 80.000 in Firmen gesammelte und ausgeschmuggelte Dateien. Es hat die Kampagne über inzwischen aufgegebene Kommandoserver verfolgt. Um der Security-Community bei der Entdeckung weiterer möglicherweise kompromittierter Systeme zu helfen, legt es eine Reihe von Fundstücken und Dokumenten vor.
Fest steht, dass alle im Zusammenhang mit Operation Cleaver aufgetauchten Hacker-Namen persisch sind. Außerdem kamen im Iran registrierte Domains und dortige Infrastruktur zum Einsatz. Von den Hackern verwendete Werkzeuge warnen, wenn eine IP-Adresse in den Iran verfolgbar ist. Der Aufwand und die Ausrüstung übertreffen das für eine Einzelperson oder eine kleine Gruppe mögliche deutlich.
Von diesen Indizien ausgehend vermutet Cylance, dass es sich um ein staatlich unterstütztes Projekt handelt, das Vergeltung für Stuxnet, Duqu und Flame übt – drei ursprünglich gegen den Iran gerichtete Schadprogramme, die nach heutigem Wissensstand wohl von Geheimdiensten in den USA und Israel stammen. Eine Reihe von Opfern in Südkorea lässt zudem daran denken, dass der Iran 2012 ein technisches Austausch- und Partnerschaftsprogramm mit Nordkorea geschlossen hat.
Sollte dies zutreffen, wäre der Iran besser für Cyberangriffe gerüstet, als viele glauben. Im Februar hatte allerdings schon das Wall Street Journal von einem iranischen Angriff auf Netze der US-Marine berichtet.
Der Iran erlaubt seinen Bürgern nur unter strengen Auflagen Internetzugriff. Gerade wurde ein iranischer Blogger zu Tode verurteilt, weil er den Propheten Mohammed beleidigte. Parallel wirbt das Militär aber laut Cylance an Universitäten um Nachwuchs für seine Cyberstreitkräfte.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Project Cleaver: Iranische Hacker greifen Fluglinien an
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.