Cyberangriffe mit Verbindungen zum Iran: Palo Alto Networks veröffentlicht „Threat Brief“

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: Palo Alto Networks
Veröffentlicht von SecuPedia-Redaktion am 13. Januar 2020.

München/Wien/Zürich, 13.10.2020 - Palo Alto Networks, sieht angesichts der erhöhten Spannungen im Nahen Osten, eine wachsende Gefahr weiterer Cyberangriffe, die vom Iran oder damit verbundenen Gruppen ausgehen. Unit 42, die Forschungsabteilung des Anbieters von Cybersicherheitslösungen, hat nun eine Übersicht zu den bisherigen Cyberangriffsaktivitäten, deren Ursprung auf Akteure im Iran zurückführen ist, veröffentlicht. Dieser „Threat Brief“ enthält den Angaben zufolge eine Zusammenfassung bisheriger Angriffskampagnen. Aktivitäten, die seit den Ereignissen vom 3. Januar 2020 aufgetreten sind, seien darin nicht enthalten.

Palo Alto Networks erläutert: "In Expertenkreisen wird vermutet, dass der Iran seit 2010 sehr aktiv an Cyberangriffsoperationen auf der ganzen Welt teilnimmt. Eine Reihe von Gruppen und Kampagnen wurden seitens der Cybersicherheitsbranche bereits benannt und veröffentlicht. Die Aktivitäten, die dem Iran als staatlicher Akteur zugeschrieben werden, stützen sich auf taktische Beweise über die Zielrichtung und mögliche Motivationen. Zu den derzeit aktiven Gruppen oder Kampagnen, die von der Sicherheitsbranche dem Iran zugeordnet werden, zählen:

  • OilRig (alias APT34/Helix Kitten)
  • MagicHound (alias APT35/Newscaster/Cobalt Gypsy)
  • APT33 (alias Refined Kitten/Elfin)
  • DarkHydrus
  • Shamoon
  • MuddyWater (alias Static Kitten)

Es scheint zwei unterschiedliche Motivationen für diese Gruppen zu geben: Spionage und Zerstörung. Die Mehrzahl der beobachteten Angriffskampagnen war mit Spionage verbunden. Die Akteure suchten dabei offenbar Zugang zu einer Zielorganisation oder zu sensiblen Daten. Eine geringere Anzahl von hochgradig fokussierten, zerstörerischen Angriffen wurde im Laufe der Zeit beobachtet, beginnend mit dem ursprünglichen Angriff von Shamoon im Jahr 2012, mit weiteren Iterationen Jahre später, und in jüngster Zeit mit StoneDrill und ZeroCleare.

Insgesamt haben sich die Cyberangriffe, die dem Iran zugeschrieben werden, im letzten Jahrzehnt als überaus hartnäckig und anhaltend erwiesen. Der Zielradius für diese Gruppen erstreckte sich über den gesamten Globus und über alle wichtigen Branchen. Obwohl es in naher Zukunft zu vermeintlichen Vergeltungsmaßnahmen kommen kann, stehen selbst diese Maßnahmen höchstwahrscheinlich in Zusammenhang mit ohnehin bereits laufenden Angriffskampagnen und Operationen.

Die verschiedenen Gruppen wenden oft sehr ähnliche Taktiken und Techniken an, um ihre Angriffe durchzuführen, wie etwa den massiven Einsatz von Speer-Phishing, also gezielte Betrugsversuche per E-Mail, um an Zugangsdaten zu kommen, und Credential Harvesting, das trickreiche Abgreifen von Zugangsdaten. Diese Aktivitäten waren im letzten Jahrzehnt hartnäckig, und es ist zu erwarten, dass sie angesichts der jüngsten geopolitischen Ereignissen weitergeführt oder zunehmen werden. Bei all diesen Gruppen war ein weiteres durchgängiges Thema der Missbrauch von schlecht umgesetzten IT- und Sicherheitsrichtlinien. Es gibt jedoch relativ einfache Richtlinien, die bei der Verhinderung der böswilligen Aktionen dieser gegnerischen Gruppen hätten helfen können. Hierzu zählen das Aktivieren der Multi-Faktor-Authentifizierung (MFA) in der gesamten Organisation, die korrekte Segmentierung von Netzwerken, die Einschränkung makrofähiger Dokumente und das Sperren von Netzwerkaktivitäten für unbekannte Domains.

Unit 42 hat die IOCs (Indicators of Compromise) der in diesem Bericht referenzierten Gruppen konsolidiert und in ihrem GitHub-Repository gespeichert. Dieser Datensatz sollte nicht als umfassend für alle potenziellen Cyberangriffsoperationen, die dem Iran zugeschrieben werden, angesehen werden und kann ohne Vorankündigung geändert werden."

 Link zu den IOCs auf GitHub

 Weitere Informationen unter: https://unit42.paloaltonetworks.com/threat-brief-iranian-linked-cyber-operations/   
 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer