Project Cleaver: Iranische Hacker greifen Fluglinien an

Das Sicherheitsunternehmen Cylance hat auf eine iranische Hackerguppe hingewiesen (PDF), die in den letzten zwei Jahren gegen mehr als 50 Ziele in 16 Ländern vorgegangen ist. Insbesondere Fluglinien und Rüstungsbetriebe standen in ihrem Fokus.

In einem Fall gelang es „Operation Cleaver“, Zugang zu Sicherheitssystemen eines Flughafens zu erhalten. Bei anderen Aktionen kamen sie an Paypal-Daten oder an Zugänge zu Industrie-Kontrollsystemen. Sie waren in den USA und Europa aktiv, aber auch in Katar, China und Südkorea. In Deutschland soll mindestens ein Unternehmen aus der Telekommunikationsbranche angegriffen worden sein – welches und mit welchem Erfolg, sagen die Forscher nicht.

Die Gruppe verwendet eher klassische Angriffstechniken: Sie setzt auf bekannte Schwachstellen und Phishing. Zutritt zu einem Zielnetzwerk bekamen sie zumeist über SQL-Injection-Angriffe, in manchen Fällen verschickten sie angebliche Jobangebote von Rüstungsfirmen an ihre Opfer. War ein erster Rechner infiziert, begannen sie, sich im Netzwerk auszubreiten. Dabei erstellten sie etwa Passwortlisten, die üblicherweise per anonymem FTP an einen Server geschickt wurden. In wenigstens einem Fall wurde eine Datei aber als Anhang einer scheinbaren Viagra-Werbung versandt, um die Spur zu verwischen.

Cylance schätzt, dass Operation Cleaver im Lauf der letzten beiden Jahre mehr als 8 GByte höchst geheimer Daten erbeuten konnte, darunter 80.000 in Firmen gesammelte und ausgeschmuggelte Dateien. Es hat die Kampagne über inzwischen aufgegebene Kommandoserver verfolgt. Um der Security-Community bei der Entdeckung weiterer möglicherweise kompromittierter Systeme zu helfen, legt es eine Reihe von Fundstücken und Dokumenten vor.

Fest steht, dass alle im Zusammenhang mit Operation Cleaver aufgetauchten Hacker-Namen persisch sind. Außerdem kamen im Iran registrierte Domains und dortige Infrastruktur zum Einsatz. Von den Hackern verwendete Werkzeuge warnen, wenn eine IP-Adresse in den Iran verfolgbar ist. Der Aufwand und die Ausrüstung übertreffen das für eine Einzelperson oder eine kleine Gruppe mögliche deutlich.

Von diesen Indizien ausgehend vermutet Cylance, dass es sich um ein staatlich unterstütztes Projekt handelt, das Vergeltung für Stuxnet, Duqu und Flame übt – drei ursprünglich gegen den Iran gerichtete Schadprogramme, die nach heutigem Wissensstand wohl von Geheimdiensten in den USA und Israel stammen. Eine Reihe von Opfern in Südkorea lässt zudem daran denken, dass der Iran 2012 ein technisches Austausch- und Partnerschaftsprogramm mit Nordkorea geschlossen hat.

Sollte dies zutreffen, wäre der Iran besser für Cyberangriffe gerüstet, als viele glauben. Im Februar hatte allerdings schon das Wall Street Journal von einem iranischen Angriff auf Netze der US-Marine berichtet.

Der Iran erlaubt seinen Bürgern nur unter strengen Auflagen Internetzugriff. Gerade wurde ein iranischer Blogger zu Tode verurteilt, weil er den Propheten Mohammed beleidigte. Parallel wirbt das Militär aber laut Cylance an Universitäten um Nachwuchs für seine Cyberstreitkräfte.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

24 Minuten ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

40 Minuten ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

8 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

24 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago