Iranische Hacker attackieren Netzwerke

Eine mutmaßlich vom iranischen Geheimdienst geförderte Hacking-Gruppe wurde dabei entdeckt, als sie Zugang zu kompromittierten Unternehmensnetzwerken auf einem geheimen Hacking-Forum verkaufte, so die Cyber-Sicherheitsfirma Crowdstrike.

Das Unternehmen identifizierte die Gruppe unter dem Codenamen Pioneer Kitten, auch als Fox Kitten oder Parisite bekannt. Die Gruppe, die nach Ansicht von Crowdstrike ein Auftragnehmer des iranischen Regimes ist, hat sich 2019 und 2020 über Schwachstellen in Virtual Private Networks (VPNs) und Netzwerkausrüstung in Unternehmensnetzwerke einzuhacken:

Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510)

Fortinet VPN-Server mit FortiOS (CVE-2018-13379)

Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579)

Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781)

F5 Networks BIG-IP-Load Balancer (CVE-2020-5902)

Einem Bericht der Cyber-Sicherheitsfirma Dragos zufolge hat die Gruppe unter Ausnutzung der oben genannten Schwachstellen in Netzwerkgeräte eingedrungen, Hintertüren gepflanzt und dann Zugang zu anderen iranischen Hacker-Gruppen wie APT33 (Shamoon), Oilrig (APT34) oder Chafer gewährt.

Diese anderen Gruppen erweitern die Bruchstelle, den Pioneer Kitten durch laterales Bewegen über ein Netzwerk mit fortschrittlicherer Malware und Exploits erlangen konnte, um dann sensible Informationen zu durchsuchen und zu stehlen, die wahrscheinlich für die iranische Regierung von Interesse sind.

Im Bericht von Crowdstrike heißt es jedoch, dass Pioneer Kitten seit mindestens Juli 2020 auch dabei beobachtet wurde, wie es in Hacker-Foren Zugang zu einigen dieser kompromittierten Netzwerke verkauft hat.

Crowdstrike glaubt, dass die Gruppe lediglich versucht, ihre Einnahmequellen zu diversifizieren und Netzwerke zu monetarisieren, die für die iranischen Geheimdienste keinen geheimdienstlichen Wert haben. Heute sind die größten Kunden der Erstzugangsvermittler (wie Pioneer Kitten) in der Regel Lösegeld-Banden, die mit Ransomware arbeiten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

8 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

9 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

12 Stunden ago