Iran mit verbundenen Hackergruppen hat nach den letzten Raketenangriffen der USA und Israel ihre Cyberaktivitäten verstärkt. Sie führen digitale Scans, Spionageoperationen und Distributed Denial-of-Service (DDoS)-Angriffe im gesamten Nahen Osten durch.

Forscher berichten, dass die meisten der bisher bestätigten Aktivitäten auf Israel und die Länder des Persischen Golfs abzielen, jedoch sollten auch US-Organisationen auf mögliche Angriffe vorbereitet sein.

Iran untersucht mobile Apps und APIs vor den Angriffen

Laut der mobilen Anwendungssicherheitsfirma Approov haben iranische Hacker Anfang Februar begonnen, fortschrittlichere Erkundungsangriffe durchzuführen. Diese Angriffe konzentrierten sich auf APIs und mobile Apps, die in der Regierungskommunikation der Region verwendet werden.

Es scheint, dass diese Aktivitäten am 27. Februar zum Stillstand kamen. Experten vermuten, dass diese Unterbrechung mit den Internetausfällen innerhalb Irans zu Beginn des Konflikts zusammenhängen könnte.

JP Castellanos, Direktor für Bedrohungsaufklärung bei Binary Defense, erklärte, dass iranische Gruppen Malware in Systeme implantieren, bevor offene militärische Operationen beginnen. Dies ist eine gängige Taktik, bei der Angreifer ihre Werkzeuge heimlich im Voraus positionieren, um später verheerendere Angriffe starten zu können.

Iranische Hacker starten DDoS-, Ransomware- und Desinformationskampagnen

Forscher bei Check Point haben Verstöße gesehen, die mit einer Gruppe namens Cotton Sandstorm (auch bekannt als Haywire Kitten) in Verbindung stehen. Diese Gruppe wird mit den Iranischen Revolutionsgarden (IRGC) in Verbindung gebracht.

Laut dem Bericht hat diese Gruppe ein Informationsdiebstahl-Tool namens WezRat in Phishing-E-Mails verwendet, die wie dringende Software-Updates aussahen. In einigen Fällen folgten nach diesen Kampagnen Ransomware-Angriffe auf israelische Ziele.

Analysten bemerkten auch, dass frühere Online-Identitäten wieder aufgetaucht sind und behaupteten, industrielle Kontrollsysteme in Israel, Jordanien, der Türkei, Polen und den Golfstaaten gehackt zu haben. Experten sagen, dass viele dieser öffentlichen Behauptungen übertrieben oder Teil umfassenderer Desinformationsbemühungen sind.

„Iran hat historisch versucht, echte Verstöße mit übertriebenen oder erfundenen Behauptungen zu vermischen, um den psychologischen Effekt zu verstärken“, sagt ein Analyst.

US-Organisationen könnten das nächste Ziel sein

Bislang gab es während dieser letzten Welle von Aktivitäten keinen öffentlich bestätigten Angriff auf US-Organisationen. Forscher glauben jedoch, dass solche Angriffe wahrscheinlich sind.

Die am stärksten gefährdeten Sektoren sind:

  • Verteidigungsauftragnehmer und Regierungsanbieter
  • Organisationen, die mit Israel Geschäfte machen oder Infrastruktur teilen
  • Kritische Infrastrukturanbieter wie Energie- oder Wasserversorger
  • Unternehmen, die israelische industrielle Technologien nutzen

In der Vergangenheit haben iranische Hacker Wassersysteme und andere operationale Technologien in den USA ins Visier genommen. Sie verwendeten häufig Standardpasswörter und spezielle Malware. Obwohl diese früheren Angriffe nur begrenzte physische Schäden verursachten, zeigten sie, dass Angreifer Zugang zu sensiblen Systemen erlangen konnten.

Eine langanhaltende iranische Cyberkampagne

Experten stellen fest, dass die aktuelle Situation wie eine langfristige Cyberkampagne aussieht, die Spionage, Unterbrechungen, Ransomware-ähnliche Angriffe und Informationskriege miteinander vermischt.

Sie erwarten eine Zunahme von Fehlinformationen in sozialen Medien durch Bots. Die Menschen sollten mit dramatischeren Behauptungen über Sabotage und Schäden an der Infrastruktur rechnen; viele davon werden wahrscheinlich nicht wahr sein.

Sicherheitsfirmen empfehlen Organisationen, Folgendes zu tun:

  • Kritische Systeme schnell zu aktualisieren
  • Benutzerzugriffe zu überprüfen und nicht genutzte oder Standardkonten zu entfernen
  • Dritte und Lieferkettenrisiken genau zu überwachen
  • Das Bewusstsein der Mitarbeiter für Phishing zu schärfen

Forscher akzeptieren im Allgemeinen, dass Cyberoperationen zusammen mit physischen Konflikten fortgesetzt werden. Sie warnen, dass Organisationen in den USA, Israel und den Golfstaaten das Risiko dringend als real und nicht theoretisch bewerten sollten.