Project Cleaver: Iranische Hacker greifen Fluglinien an

Das Sicherheitsunternehmen Cylance hat auf eine iranische Hackerguppe hingewiesen (PDF), die in den letzten zwei Jahren gegen mehr als 50 Ziele in 16 Ländern vorgegangen ist. Insbesondere Fluglinien und Rüstungsbetriebe standen in ihrem Fokus.

In einem Fall gelang es „Operation Cleaver“, Zugang zu Sicherheitssystemen eines Flughafens zu erhalten. Bei anderen Aktionen kamen sie an Paypal-Daten oder an Zugänge zu Industrie-Kontrollsystemen. Sie waren in den USA und Europa aktiv, aber auch in Katar, China und Südkorea. In Deutschland soll mindestens ein Unternehmen aus der Telekommunikationsbranche angegriffen worden sein – welches und mit welchem Erfolg, sagen die Forscher nicht.

Die Gruppe verwendet eher klassische Angriffstechniken: Sie setzt auf bekannte Schwachstellen und Phishing. Zutritt zu einem Zielnetzwerk bekamen sie zumeist über SQL-Injection-Angriffe, in manchen Fällen verschickten sie angebliche Jobangebote von Rüstungsfirmen an ihre Opfer. War ein erster Rechner infiziert, begannen sie, sich im Netzwerk auszubreiten. Dabei erstellten sie etwa Passwortlisten, die üblicherweise per anonymem FTP an einen Server geschickt wurden. In wenigstens einem Fall wurde eine Datei aber als Anhang einer scheinbaren Viagra-Werbung versandt, um die Spur zu verwischen.

Cylance schätzt, dass Operation Cleaver im Lauf der letzten beiden Jahre mehr als 8 GByte höchst geheimer Daten erbeuten konnte, darunter 80.000 in Firmen gesammelte und ausgeschmuggelte Dateien. Es hat die Kampagne über inzwischen aufgegebene Kommandoserver verfolgt. Um der Security-Community bei der Entdeckung weiterer möglicherweise kompromittierter Systeme zu helfen, legt es eine Reihe von Fundstücken und Dokumenten vor.

Fest steht, dass alle im Zusammenhang mit Operation Cleaver aufgetauchten Hacker-Namen persisch sind. Außerdem kamen im Iran registrierte Domains und dortige Infrastruktur zum Einsatz. Von den Hackern verwendete Werkzeuge warnen, wenn eine IP-Adresse in den Iran verfolgbar ist. Der Aufwand und die Ausrüstung übertreffen das für eine Einzelperson oder eine kleine Gruppe mögliche deutlich.

Von diesen Indizien ausgehend vermutet Cylance, dass es sich um ein staatlich unterstütztes Projekt handelt, das Vergeltung für Stuxnet, Duqu und Flame übt – drei ursprünglich gegen den Iran gerichtete Schadprogramme, die nach heutigem Wissensstand wohl von Geheimdiensten in den USA und Israel stammen. Eine Reihe von Opfern in Südkorea lässt zudem daran denken, dass der Iran 2012 ein technisches Austausch- und Partnerschaftsprogramm mit Nordkorea geschlossen hat.

Sollte dies zutreffen, wäre der Iran besser für Cyberangriffe gerüstet, als viele glauben. Im Februar hatte allerdings schon das Wall Street Journal von einem iranischen Angriff auf Netze der US-Marine berichtet.

Der Iran erlaubt seinen Bürgern nur unter strengen Auflagen Internetzugriff. Gerade wurde ein iranischer Blogger zu Tode verurteilt, weil er den Propheten Mohammed beleidigte. Parallel wirbt das Militär aber laut Cylance an Universitäten um Nachwuchs für seine Cyberstreitkräfte.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago