Hacker mit Verbindungen zum Iran nehmen europäische Energiekonzerne ins Visier

Forscher der Cybersicherheitsanbieter Recorded Future und Insikt Group haben eine Hacking-Kampagne aufgedeckt, die sich offenbar gegen den Energiesektor in Europa richtet. Ziel ist es, vertrauliche Informationen zu sammeln. Die Hintermänner sollen Verbindungen zum Iran haben.

In einem Blogeintrag beschreiben sie den Angriff auf einen nicht näher genannten Vertreter der Energiewirtschaft. Dabei kam die Open-Source-Malware PupyRAT zum Einsatz, die Windows, Linux, macOS und Android infiltrieren kann. Hacker erhalten unter Umständen Zugriff auf die Systeme ihrer Opfer, um Daten wie Nutzernamen, Passwörter und andere Informationen aus dem gesamten Netzwerk zu stehlen.

Obwohl es sich um Open-Source-Software handelt, wird PupyRAT vor allem mit Hacking-Aktivitäten in Verbindung gebracht, die von der iranischen Regierung unterstützt werden. Dazu gehören auch Kampagnen einer als APT33 bezeichneten Gruppe, die schon früher gegen den Energiesektor vorgegangen ist.

Die neue Malware soll im Zeitraum zwischen November 2019 und Anfang Januar 2020 zum Einsatz gekommen sein. Die Kampagne begann also noch vor der Eskalation der Streitigkeiten zwischen den USA und Iran.

Wie genau die Hacker die fragliche Organisation infiziert haben, konnte bisher noch nicht ermittelt werden. Die Forscher gehen aber davon aus, dass die Malware per Spear-Phishing eingeschleust wurde. Aufgefallen ist der Angriff bei der Analyse von Netzwerk-Traffic mit einem Befehlsserver im Internet, der schon früher von PupyRAT genutzt wurde.

„Nach unserer Einschätzung auf der Grundlage des beobachteten Verkehrs war dies wahrscheinlich eine Aufklärungsmission“, sagte Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future. „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“

Das betroffene Unternehmen wurde von Recorded Future über den Angriff informiert. Mithilfe des Sicherheitsanbieters wurde der Angriff zudem beendet.

Recorded Future rät Unternehmen im Energiesektor, alle Zugänge zum Netzwerk mit einer Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten zudem komplex sein und nicht für mehrere Systeme benutzt werden. Auch eine Überwachung von Anmeldeversuchen können Hinweise auf verdächtige Aktivitäten liefern. Hacker versuchten oft, sich per Brute-Force-Angriff Zugang zu verschaffen, was an mehreren Anmeldeversuchen von einer IP-Adresse mit unterschiedlichen Konten zu erkennen sei.