>
Research (Insikt)

Die Geschichte von Ashiyane: Irans erstes Sicherheitsforum

Veröffentlicht: 16. Januar 2019
Von: Insikt Group

insikt-group-logo-updated.png

Hinweis zum Umfang: Recorded Future hat die Entwicklung des Ashiyane Forums untersucht, dem ersten und größten Sicherheitsforum im Iran. Zu den Quellen dieser Recherche zählen die Recorded FutureⓇ-Plattform, direkte Forumsinteraktionen, Open-Source-Recherchen und Interviews mit einem ehemaligen iranischen Hacker, der behauptet, über Kenntnisse aus erster Hand über die iranischen Sicherheitsforen zu verfügen.

Dieser Bericht dürfte vor allem für Organisationen von Interesse sein, die die sich rasch verändernden kriminellen und staatlich geförderten Cyberbedrohungen aus dem Iran verstehen möchten, um ihre Organisationen besser schützen zu können.

Executive Summary

In einem früheren Bericht hat die Insikt Group die Beziehungen zwischen der iranischen Regierung, den für offensive Cyberoperationen eingesetzten Auftragnehmern und den Vertrauensgemeinschaften dokumentiert, die mit den iranischen Sicherheitsforen beginnen. Dieser Bericht untersucht ausführlicher die historischen Verbindungen zwischen dem wichtigsten Sicherheitsforum des Iran, dem Ashiyane Forum, und der iranischen Regierung. Recorded Future beobachtete Forenbeiträge von über 20.000 Mitgliedern des Ashiyane-Forums und stellte nach der Schließung des Ashiyane-Forums im August 2018 einen Trend zur Migration iranischer Hacker fest.

Wichtige Urteile

  • Das Ashiyane Forum, einst das wichtigste Sicherheitsforum im Iran, wurde von einem der wichtigsten Sicherheitsauftragnehmer des Iran mit bekannten Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC) geleitet und ist seit August 2018 geschlossen, ohne Anzeichen einer Wiedereröffnung.

  • Wir gehen mit mittlerer Sicherheit davon aus, dass das Ashiyane Forum und sein Gründer, das Ashiyane Digital Security Team, für iranische Auftragnehmer wichtige Quellen bei der Identifizierung von Talenten und dem Austausch von Informationen über erfolgreiche Angriffswerkzeuge und -taktiken waren.

  • Der Gründer des Ashiyane Digital Security Teams, Behrooz Kamalian, hat enge Verbindungen zur iranischen Regierung und versucht derzeit, nach seiner kurzen Haftstrafe neue Unternehmen aufzubauen.

  • Recorded Future geht mit mäßiger Sicherheit davon aus, dass ein kleiner Prozentsatz der Benutzer des Ashiyane-Forums seit der Schließung des Ashiyane-Forums damit begonnen hat, in eines von zwei unterschiedlichen persischen Foren zu wechseln, wobei es kaum eine Überschneidung bei den Mitgliedern der beiden neuen Foren gibt.

    Hintergrund

    Recorded Future hatte bereits im Juni 2015 und Mai 2018 über die Cyberfähigkeiten der Islamischen Republik Iran berichtet und dabei die Cyberstärke des Landes, seinen Kampf gegen Saudi-Arabien um die Vorherrschaft in der Region sowie seine Bereitschaft, in beiden Fällen Angriffskampagnen gegen Saudi-Arabien zu führen, beschrieben. Zumindest seit 2009 reagiert der Iran auf regionale Provokationen und internationale Sanktionen regelmäßig mit offensiven Cyberoperationen. Hauptziele solcher Angriffe waren Saudi-Arabien, Israel und westliche Organisationen sowie asiatische Petrochemie- und Luftfahrtunternehmen . Die Komplexität dieser Angriffe reichte von der Entführung sozialer Medien und der Verunstaltung von Websites bis hin zu äußerst zerstörerischen Kampagnen wie dem Angriff auf Saudi Aramco und hochentwickelten Spionagekampagnen gegen Ziele im Westen, im Nahen Osten und in Asien.

    Recorded Future hat außerdem bereits zuvor berichtet , dass viele vom iranischen Staat geförderte Operationen Vertragspartner einsetzen und dass die Vertragspartner der iranischen Regierung gezwungen sind, in geschlossenen Trust-Communitys zu forschen, um gute Cyber-Talente zu finden und zu halten. Im Folgenden finden Sie einen Bericht über die Entstehung und Entwicklung der iranischen Online-Sicherheits-Community sowie die Rolle, die das Ashiyane-Forum in dieser Geschichte spielte.

    Einer Quelle der Insikt Group zufolge gründeten iranische Jugendliche im Jahr 2002 Hacker-Webforen und IRC (Internet Relay Chat-Kanäle (Online-Clubs)) zum Informationsaustausch. In diesen Foren war es häufig so, dass die Mitglieder die Websites konkurrierender Hacker verunstalteten, um sich unter ihren Kollegen Ansehen zu verschaffen. Zu den frühen Foren gehörten (unter anderem) simorgh-ev.com und ashiyane.com. Das Ziel des Betriebs dieser Foren war nicht der finanzielle Gewinn. Vielmehr tauschten die Forumsmitglieder aus Spaß anstößige Tricks aus und führten Verunstaltungen durch. Innerhalb von zwei Jahren begannen jedoch die Entstellungsversuche iranischer Websites, Botschaften mit ideologischen und religiösen Untertönen aufzunehmen. Einer Quelle der Insikt Group zufolge kam es gegen Ende 2007 zu einer kleinen und kurzen Online-Scharmützel zwischen saudischen Foren, die auf den Wahhabismus (die vorherrschende Religion in Saudi-Arabien) zugeschnitten waren, und iranischen Foren.

    Die iranische Regierung begann, diese Entstellung zu bemerken und übersetzte die Cyber-Aktivitäten in formelle Propaganda – iranische Jugendliche nahmen sich der schiitischen Sache an. Einer Quelle bei der Insikt Group zufolge ging die Bekanntheit mit so etwas wie dem Etikett „Iranische Verteidiger“ einher, und iranische Hacker hatten ein neues Motiv, sich an der Entstellung ausländischer Websites zu beteiligen.

    Mehrere Datenpunkte deuten darauf hin, dass iranische Sicherheitsforen bei der Personalbesetzung und dem Wissensaustausch mit iranischen Auftragnehmern eine Rolle spielen. So behauptet etwa eine Quelle der Insikt Group, der iranische Administrator des Simorgh-Forums habe familiäre Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC), einem Zweig der iranischen Streitkräfte, der an Cyberoperationen beteiligt ist. Besonders verdächtig ist, dass der in der APT33-Malware gefundene Handle Xman_1365_x auch als aktives Mitglied im Ashiyane-Forum gefunden wurde, dem größten und bekanntesten Hacker-Forum im Iran. Dieses Forum wird von einem iranischen Sicherheitsunternehmen geleitet, das nachweislich Verbindungen zu Operationen der IRGC hat. Aufgrund der Verbindung zwischen dem Ashiyane Forum und seinem gleichnamigen Auftragnehmer, einem Forumsmitglied mit Beziehungen zu APT33, sowie den Verbindungen des Auftragnehmers zur iranischen Regierung gehen wir mit mittlerer Sicherheit davon aus, dass das Ashiyane Forum Personal und Wissensaustausch für vom iranischen Staat gesponserte Auftragnehmer bereitgestellt hat.

    Geschichte des Ashiyane Forums und seines Gründers

    Archivierten Webseitendaten zufolge begann das Ashiyane Forum Anfang 2003 zunächst als Abschnitt der ursprünglichen Website des Ashiyane Digital Security Teams, ashiyane.com. Das Forum wurde 2006 um eine eigene Website, ashiyane.org, erweitert. Ashiyane.org enthielt Abschnitte für allgemeine Fragen, Tool-Sharing, Defacements, Schulungen und Neuigkeiten. Viele dieser ursprünglichen Abschnitte blieben bestehen, als das Forum expandierte und zu einem der größten Hackerforen im Iran wurde. Im August 2018 wurde das Ashiyane Forum geschlossen.

    ashiyane-forum-history-1-1.png

    Banner für Ashiyane im Jahr 2006.

    ashiyane-forum-history-2-1.png

    Banner für das Ashiyane-Forum mit der Ankündigung, dass es das „erste Sicherheitsforum im Iran“ sei.

    Ashiyane Forum wurde vom Ashiyane Digital Security Team betrieben, einem „ Gray Hat-Netzwerksicherheitsunternehmen. Das im Jahr 2002 gegründete Ashiyane Digital Security Team hatte ursprünglich das Ziel, iranische Benutzer und Netzwerkadministratoren durch das Auffinden von Schwachstellen in Computernetzwerken über Sicherheit zu unterrichten. Die Mitglieder ihrer Gruppe verunstalten noch immer Websites, um Aufmerksamkeit zu erregen: 2014 wurden Handles des Ashiyane Digital Security Teams auf verunstalteten Websites thailändischer und indischer Regierungsorganisationen sowie auf Websites gefunden, die auf italienischen IPs gehostet wurden.

    Das Ashiyane Digital Security Team hat Hunderte von Websites israelischer und US-amerikanischer Regierungsorganisationen angegriffen, darunter den Mossad und die NASA, angeblich weil diese Ayatollah Khomeini gegenüber keinen Respekt zeigten. Als sunnitisch-arabische Hacker einen großen Server lahmlegten, auf dem die meisten schiitischen religiösen Websites im Iran gehostet wurden, reagierte das Ashiyane Forum, indem es 300 arabische Websites lahmlegte, indem es fünf der großen Server der Hacker angriff. Das Justizministerium und andere Branchenmitglieder identifizierten Mitglieder des Ashiyane Digital Security Teams, die an Operationen im Auftrag der IRGC beteiligt waren.

    Behrooz Kamalian, bekannt als „Vater des iranischen Hackings“, ist CEO und Gründer des Ashiyane Digital Security Team. Behrooz wird von den Iranern wegen seiner Bereitschaft, sein Wissen mit jüngeren Hackern zu teilen, sehr geschätzt . Behrooz ist auch bei vielen iranischen Schauspielern und Schauspielerinnen beliebt, die behaupten, er habe dabei geholfen, ihren Instagram-Zugang zu schützen, insbesondere indem er ihnen half, die Kontrolle über zuvor kompromittierte Konten zurückzuerlangen. Auf die Frage nach einer möglichen Beteiligung des Ashiyane Digital Security Teams an vom iranischen Staat geförderten Projekten erklärte Behrouz, dass das Ashiyane Forum zwar unabhängig und spontan operiere, jedoch bei der Beratung und Verbesserung der Sicherheit mit dem iranischen Militärapparat zusammenarbeite und „ immer im Rahmen der Ziele des Staates operiert“ habe.

    ashiyane-forum-history-3-1.png

    Behrooz Kamalians Instagram-Profil.

    Die berüchtigtsten Web-Verunstaltungen des Ashiyane-Forums drehen sich um den historischen Iran-Saudi-Konflikt. Ende 2008, als saudische Wahhabitengruppen auf die Verunstaltung iranischer Websites reagierten, indem sie diese selbst verunstalteten, besuchte Behrooz Kamalian den bekannten Geistlichen Ayatollah Naser Makarem Shirazi. Im Anschluss an dieses Treffen forderte der Geistliche die iranischen Hackergruppen öffentlich zur Zurückhaltung auf und forderte sie auf, weitere Angriffe auf wahhabitische Websites einzustellen. Die Verunstaltungen hörten jedoch nicht auf; das Hin und Her wurde auf zone-h.org festgehalten. eine Website, die Website-Verunstaltungen aufzeichnet. Am 9. Oktober 2008 wurde Delta Security (ein Spin-off des Ashiyane Forums) von bAd Hack3r kompromittiert , einem Akteur, der nach eigenen Angaben bereits viele iranische Websites verunstaltet hat.

    Die Quelle der Insikt Group behauptet, dass wahhabitische Akteure bei einer bestimmten Operation Spearphishing-Kampagnen mit einer durch Hintertüren geschützten Version von Putty (einer kostenlosen Remote-Konnektivitätsanwendung für Windows) von kompromittierten E-Mail-Servern des Ashiyane-Forums aus durchgeführt hätten. Die XP-Group, eine mutmaßliche wahhabitische Gruppe, begann gezielt Websites iranischer Geistlicher anzugreifen und mit vulgären Bildern zu verunstalten. Als Vergeltung wurde anschließend die Website der XP-Group verunstaltet . Für Außenstehende war es schwierig zu erkennen, welche Seite zunächst die Eskalation vorangetrieben hatte. Ein Mitglied des Ashiyane-Forums teilte der Quelle der Insikt Group mit, dass Kamalian die XP-Group gegründet habe und die Domäne besitze. Wenn dies stimmt, hat sich die XP-Group als Wahhabiten ausgegeben, war aber im Besitz von Kamalian und wurde von ihm geleitet. Ashiyane Forum und XP-Group waren im Wesentlichen ein und dasselbe, und Kamalian hatte seinen eigenen religiös motivierten Cyberkonflikt konstruiert. Recorded Future konnte eine sekundäre Validierung dieser Behauptungen nicht bestätigen.

    Im Jahr 2009 erließ die Regierung als Reaktion auf die iranische Grüne Bewegung, in deren Verlauf iranische Regierungsseiten wie khamenei.com angegriffen wurden, eine Direktive, alle iranischen Hackerseiten auf eine schwarze Liste zu setzen. Das Ashiyane-Forum war eines der wenigen verbliebenen Hackerforen und einer Quelle der Insikt Group zufolge spekulierte die iranische Hacker-Community, dass Kamalian im Wesentlichen einen Alleinlieferanten-Deal mit der iranischen Regierung abgeschlossen habe. Das Ashiyane Forum hat sich zum wichtigsten Forum für die neue Generation iranischer Hacker entwickelt.

    Nach dem Höhepunkt der Grünen Bewegung gerieten die von der Regierung geförderten offensiven Cyberkampagnen ins Stocken. Im Jahr 2010 befiel der Stuxnet-Wurm erfolgreich die Urananreicherungsanlagen des Iran und die IRGC, die Ayatollah Khamenei unterstellt war, erkannte die Notwendigkeit schneller offensiver Cyber-Kompetenz. Als wichtigste mit staatlichen Interessen verbundene Hackergruppe waren Behrooz und das Ashiyane Forum in einer guten Position, um zu helfen. Ein Mitglied des Ashiyane Digital Security Teams beteiligte sich im Dezember 2011 an einer von der IRGC angeführten Distributed-Denial-of-Service-Kampagne (DDoS) gegen US-Finanzinstitute, die über 176 Tage dauerte. Darüber hinaus wurde Kamalians Status bei der IRGC weiter gefestigt, nachdem er 2011 auf einer Sanktionsliste der EU erschien.

    Bedrohungsanalyse: Ashiyane-Forum-Inhalte

    Als eines der wenigen iranischen Hackerforen, das von einem Sicherheitsunternehmen organisiert wurde, das offensichtlich mit den Cyber-Kräften des iranischen Nationalstaats zusammenarbeitete, konnte das Ashiyane Forum eine kumulierte Mitgliederzahl von etwa 20.000 aktiven Benutzern verzeichnen. Durch das Sammeln und Analysieren von Ashiyane-Forum-Threads der letzten 12 Jahre hat Recorded Future allgemeine Trends innerhalb des Forums ermittelt. Der Großteil der im Ashiyane-Forum geposteten Inhalte konzentrierte sich auf die Ausnutzung des Internets. Cross-Site-Scripting, DDoS-Angriffe, SQL und andere browserbasierte Code-Injektionen waren seit der Gründung des Forums die Hauptthemen. Darüber hinaus waren Android-Exploits in den vergangenen vier Jahren durchweg ein beliebtes Thema, was möglicherweise auf die stetig steigende Anzahl mobiler Geräte in der Region zurückzuführen ist, die von 26,72 Prozent des gesamten Gerätemarktanteils im Januar 2014 auf 37,85 Prozent im April 2015 anstieg.

    ashiyane-forum-history-4-1.png

    Ein Beitrag im Ashiyane-Forum mit der Bitte um Unterstützung bei der Bereitstellung von AndroRAT. (Quelle: Aufgezeichnete Zukunft)

    Zu den meistbeworbenen Tools im Jahr 2015 zählten Android-Remote-Access-Trojaner (RATs) wie AndroRAT und Dendroid RAT sowie Citroni Ransomware. Im Jahr 2016 verlagerte sich der Inhalt der Foren auf Exploits für Unterhaltungselektronik und Android-Geräte sowie Exploits für Internetprotokolle. Die Android-Malware DroidJack, der PC-Trojaner njRAT und die USB-Malware PoisonTap erfreuten sich großer Beliebtheit, ebenso wie Fragen zu DDoS- und SQL-Injection-Angriffen. Im Jahr 2017 waren zwar ähnliche Themen wie in den Jahren 2015 und 2016 beliebt, viele Beiträge drehten sich jedoch um Linux-Produkte und Enterprise Content Management sowie Android-Geräte. Da das Ashiyane Forum eines der bekanntesten Hackerforen im Iran war, stellen diese Beiträge wahrscheinlich einen stetigen Strom neuer, weniger erfahrener Mitglieder dar, die sich im Forum registrieren und ähnliche Fragen zu einfachen Web-Sicherheitslücken in neueren Webbrowsern und Technologien stellen.

    ashiyane-forum-history-5-1.png

    Visualisierung der Top-3-Cybertrends des Ashiyane-Forums in den letzten Jahren.

    Nach Ansicht der Insikt Group gab es im Ashiyane-Forum auch eine ganze Reihe erfahrener Hacker und Forenveteranen, was sich an der Geschwindigkeit zeigte, mit der neue, hochentwickelte Schwachstellen unter den Forenmitgliedern ausgetauscht wurden. Beispielsweise wurden ein Proof of Concept für CVE-2015-0313, eine Use-after-free (UAF)-Sicherheitslücke in Adobe Flash, sowie ein ähnlicher Post für CVE-2015-0311, eine Remote Code Execution (RCE)-Sicherheitslücke in Adobe Flash, nur Monate nachdem die Sicherheitslücken auf NVD aufgezeichnet wurden , geteilt. Und als das CIA-Hacking-Tool OutlawCountry am 29. Juni 2017 auf WikiLeaks veröffentlicht wurde, wurde das Tool bereits fünf Tage später von den Mitgliedern des Ashiyane-Forums geteilt und diskutiert.

    ashiyane-forum-history-6-1.png

    Anzeigen im Ashiyane-Forum seit 2015. (Quelle: Aufgezeichnete Zukunft)

    Die Schließung des Ashiyane-Forums und die Migration iranischer Hacker

    Am 12. März 2018 erklärte der offizielle Kanal des Ashiyane Digital Security Teams, ein iranisches Gericht habe ihnen angeordnet, alle ihre Aktivitäten bis auf Weiteres einzustellen. Während in der Ankündigung kein Grund für die Schließung genannt wurde, bestätigten Quellen im Iran, dass Ashiyane Forum Glücksspiel-Websites betrieb, was aufgrund der damit verbundenen Strafen, darunter lebenslange Haft oder Tod, gefährlich ist. Ashiyane Forum wurde bereits 2013 mit Glücksspiel in Verbindung gebracht, als ein Teil der Datenbank von Ashiyane Forum online durchsickerte. Einer Quelle der Insikt Group zufolge war der für den Datenbank-Support des Ashiyane-Forums verwendete Benutzername mit der Erstellung mehrerer Pokerseiten verbunden, die im Iran unter dem Namen „persianpoker“ operieren.

    ashiyane-forum-history-7-1.png

    ashiyane-forum-history-8-1.png

    Pastebin eines Ashiyane-Forum-Dumps aus dem Jahr 2013, korreliert mit DNS-Einträgen für persianpoker[.]asia.

    Laut Daten von Recorded Future ging das Ashiyane Forum am 5. August 2018 offline. Forumsmitglieder verbreiteten Gerüchte, dass die Site gehackt oder gewaltsam geschlossen worden sei. Am 31. Oktober 2018 twitterte ein iranischer Hosting-Spezialist: „Ich habe mir in letzter Zeit Sorgen gemacht. Ich weiß nicht, wer jetzt das Sagen hätte, da Behrooz nicht mehr da ist.“ Aus der Quelle der Insikt Group und aus Beiträgen im Ashiyane-Forum zwischen Mitte April und Juli 2018 geht hervor, dass Behrooz festgenommen worden sei. Anfang November wurde Behrooz jedoch aus dem Gefängnis entlassen und veröffentlichte am 8. November 2018 ein Instagram-Video , in dem sich ein iranischer Schauspieler bei Behrooz dafür bedankte, dass er nach der Kompromittierung seines Instagram-Kontos wieder Zugriff auf dieses erhalten hatte. Instagram-Nutzer haben zu Behrooz‘ neueren Beiträgen Kommentare hinterlassen und nach der Schließung des Ashiyane-Forums gefragt, doch Recorded Future hat keine Reaktion Behrooz‘ auf diese Beiträge beobachtet.

    Online-Poker ist ein lukratives, aber auch gefährliches Geschäft. Einer Quelle der Insikt Group zufolge gibt es im Iran über 3.000 Glücksspiel-Websites, die nur kurzzeitig existieren und täglich gesperrt werden. Obwohl die Insikt Group keine sekundäre Bestätigung der Statistiken selbst finden konnte, kann sie bestätigen, dass der Betrieb von Glücksspielunternehmen im Iran oder einem anderen islamischen Land aufgrund der harten Strafen eine gefährliche Handlung ist. Statt eine lebenslange Haftstrafe oder die Todesstrafe zu erhalten, konnte Behrooz das Gefängnis bereits nach wenigen Monaten verlassen, möglicherweise aufgrund seiner bestehenden Beziehungen zur iranischen Regierung und der IRGC. Sollte dies der Fall sein, könnte Behrooz' mildes Urteil darauf schließen lassen, dass seine Rolle in der heimischen Hacker-Community für die iranische Regierung von großer Bedeutung ist. Das Ashiyane Forum ist jedoch weiterhin offline und Behrooz hat sich als Hacker neu erfunden, der Prominenten in den sozialen Medien hilft. Es gibt keine Hinweise darauf, dass Behrooz in Zukunft versuchen wird, das Ashiyane Digital Security Team und Forum neu zu gründen.

    ashiyane-forum-history-9-1.png

    ashiyane-forum-history-10-1.png

    Twitter-Reaktionen auf die Abschaltung des Ashiyane Digital Security Teams.

    Migrationsaktivität der Ashiyane-Forumsmitglieder

    Da Ashiyane Forum eines der größten und bekanntesten Foren der iranischen Hacker-Community war, wird die Schließung dazu führen, dass Hacker sich nach neuen Communities umsehen, die dieselben thematischen Diskussionen und Interaktionen bieten, oder sich zunehmend auf andere, bereits etablierte – wenn auch weniger beliebte – Foren verlassen.

    Recorded Future hat Beiträge von über 20.000 Mitgliedern des Ashiyane-Forums von 2014 bis 2018 überprüft. Von den 18.060 Benutzern, die vor der Schließung des Ashiyane-Forums aktiv waren, hatten nur vier Prozent Spitznamen, die in anderen persischen, arabischen, russischen oder englischen Foren exakt übereinstimmten. Von diesen exakten Übereinstimmungen stachen zwei besonders hervor: VBIran.ir und das Persian Tools Forum. Die folgende Grafik zeigt die Anzahl exakter Übereinstimmungen mit Ashiyane-Forum-Benutzernamen in anderen Foren, getrennt nach dem Datum ihres ersten Posts. Recorded Future hat versucht, festzustellen, ob die Mehrheit der Benutzernamen vor der Ankündigung der Kanalschließung des Ashiyane Digital Security Teams im März 2018 (während des Zeitraums zwischen der Ankündigung und der Schließung des Forums) oder nach der Schließung des Ashiyane-Forums am 5. August 2018 erstellt wurde.

    ashiyane-forum-history-11-1.png

    Foren mit Überschneidungen in der Mitgliedschaft im Ashiyane-Forum. (Quelle: Aufgezeichnete Zukunft)

    Mit 237 exakten Übereinstimmungen bei Benutzernamen im Ashiyane-Forum hatte VBIran.ir insgesamt die meisten gemeinsamen Benutzer, und die meisten Benutzer hatten bereits vor der Ankündigung einer Schließung des Ashiyane-Forums Beiträge im VBIran.ir-Forum gepostet. Im Persian Tools-Forum hingegen gab es vor der Ankündigung des Ashiyane-Forums keine gemeinsamen Benutzernamen – alle 85 Benutzer hatten sich entweder während oder nach der Sperrfrist registriert. Zwar gab es auf CyberForum.ru auch eine große Zahl von Benutzernamenübereinstimmungen für das Ashiyane-Forum, die Mehrzahl dieser Übereinstimmungen waren jedoch aufgrund häufig verwendeter Benutzernamen Fehlalarme.

    Nach dem Entfernen wahrscheinlicher Falschmeldungen und der Suche nach gemeinsamen Entitäten kam Recorded Future zu dem Schluss, dass Benutzernamen mit exakten Übereinstimmungen mit Mitgliedern des Ashiyane-Forums ungefähr sieben Prozent der gesamten Mitgliederschaft auf VBIran.ir ausmachen – jedes 14. Mitglied ist also ein ehemaliges Mitglied des Ashiyane-Forums. Genaue Übereinstimmungen mit Benutzernamen im Ashiyane-Forum machen mittlerweile auch 3,5 Prozent der Gesamtmitgliedschaft im Persian Tools-Forum aus (im März 2018 waren es noch null Prozent). Interessanterweise gab es zwischen den Benutzernamen des Ashiyane-Forums nahezu keine Überschneidungen. Dies legt die Vermutung nahe, dass sich die Hacker, die nach der Schließung des Ashiyane-Forums in andere Foren abgewandert waren, in zwei Fraktionen aufgespalten haben.

    ashiyane-forum-history-12-2.png

    Aufschlüsselung der Mitgliedschaft bei möglichen Migrationen zum Ashiyane-Forum. (Quelle: Aufgezeichnete Zukunft)

    VBIran.ir und Persian Tools Forum

    Obwohl beide Foren etwa ein Zehntel der Mitgliederzahl des Ashiyane-Forums ausmachen, weisen sie einige Gemeinsamkeiten mit dem Ashiyane-Forum auf. Beide Foren enthalten, ähnlich dem Ashiyane-Forum, hauptsächlich Farsi-Beiträge und bieten recht große Foren für offensive, taktische Diskussionen. Allerdings unterscheiden sich das Persian Tools-Forum und VBIran.ir erheblich hinsichtlich Inhalt und Schwerpunkt. Die meisten Beiträge im Persian Tools-Forum sind entweder Verkaufsbeiträge oder Beiträge mit Bezug zum Iran, Hacking, Elektronik oder sogar Fußball. Die Forenorganisation im Persian Tools-Forum scheint der des Ashiyane-Forums zu ähneln, bevor das Ashiyane-Forum von der Website des Ashiyane Digital Security Teams abgespalten wurde.

    Während es auf der Forum-Website von Persian Tools einen Abschnitt mit Unterabschnitten zu verschiedenen Formen des Hackens gibt, bietet das Forum von Persian Tools auch den Verkauf von SSL-Zertifikaten, Hosting-Dienste und sogar Website-Design an. VBIran.ir scheint sich auch an ein allgemeineres Publikum zu richten. Die Beiträge von VBIran.ir sind hauptsächlich diskussions- oder tutorialbasiert und behandeln Themen sowohl zum Hacken als auch zur Softwareentwicklung. Darüber hinaus bietet VBIran.ir keine speziellen Dienste wie das Persian Tools-Forum an, sondern verkauft stattdessen verschiedene Plugins für die Webentwicklung. Dies ist ein möglicher Grund dafür, warum es zwischen den Mitgliedern des Ashiyane-Forums nur geringe Überschneidungen gab.

    Ausblick

    Das Ashiyane Digital Security Team, der Administrator eines der größten und bekanntesten Foren der iranischen Hacker-Community, hat die Gründe für die Schließung des Ashiyane-Forums nicht bekannt gegeben und Fragen zu seiner möglichen Wiedereröffnung ignoriert. Das Forum ist wahrscheinlich auf unbestimmte Zeit offline. Es scheint keinen klaren Ersatz für das Ashiyane-Forum zu geben, obwohl kleinere Foren neue Mitglieder anziehen.

    Unserer Einschätzung nach sollten Unternehmen mit Geschäftsbeziehungen zum Iran, in Saudi-Arabien tätige Firmen sowie alle Energie- und Verteidigungsorganisationen die Entwicklungen dieser neueren Foren verfolgen. Iranische Bauunternehmer, die sich bislang primär auf das Ashiyane Forum als Community verlassen haben, werden weiterhin nach Alternativen suchen.

    Wir gehen außerdem davon aus, dass es sich lohnt, Behrooz Kamalian im Hinblick auf die zuvor beschriebenen Organisationen im Auge zu behalten, da er Beziehungen zur iranischen Regierung pflegt und den Ruf hat, einer der führenden Hacker des Iran zu sein.

  • Verwandt