Iranische Hacker attackieren Netzwerke

Eine mutmaßlich vom iranischen Geheimdienst geförderte Hacking-Gruppe wurde dabei entdeckt, als sie Zugang zu kompromittierten Unternehmensnetzwerken auf einem geheimen Hacking-Forum verkaufte, so die Cyber-Sicherheitsfirma Crowdstrike.

Das Unternehmen identifizierte die Gruppe unter dem Codenamen Pioneer Kitten, auch als Fox Kitten oder Parisite bekannt. Die Gruppe, die nach Ansicht von Crowdstrike ein Auftragnehmer des iranischen Regimes ist, hat sich 2019 und 2020 über Schwachstellen in Virtual Private Networks (VPNs) und Netzwerkausrüstung in Unternehmensnetzwerke einzuhacken:

Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510)

Fortinet VPN-Server mit FortiOS (CVE-2018-13379)

Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579)

Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781)

F5 Networks BIG-IP-Load Balancer (CVE-2020-5902)

Einem Bericht der Cyber-Sicherheitsfirma Dragos zufolge hat die Gruppe unter Ausnutzung der oben genannten Schwachstellen in Netzwerkgeräte eingedrungen, Hintertüren gepflanzt und dann Zugang zu anderen iranischen Hacker-Gruppen wie APT33 (Shamoon), Oilrig (APT34) oder Chafer gewährt.

Diese anderen Gruppen erweitern die Bruchstelle, den Pioneer Kitten durch laterales Bewegen über ein Netzwerk mit fortschrittlicherer Malware und Exploits erlangen konnte, um dann sensible Informationen zu durchsuchen und zu stehlen, die wahrscheinlich für die iranische Regierung von Interesse sind.

Im Bericht von Crowdstrike heißt es jedoch, dass Pioneer Kitten seit mindestens Juli 2020 auch dabei beobachtet wurde, wie es in Hacker-Foren Zugang zu einigen dieser kompromittierten Netzwerke verkauft hat.

Crowdstrike glaubt, dass die Gruppe lediglich versucht, ihre Einnahmequellen zu diversifizieren und Netzwerke zu monetarisieren, die für die iranischen Geheimdienste keinen geheimdienstlichen Wert haben. Heute sind die größten Kunden der Erstzugangsvermittler (wie Pioneer Kitten) in der Regel Lösegeld-Banden, die mit Ransomware arbeiten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago