>
Research (Insikt)

Trotz interner Machtkämpfe und Instabilität hält der Iran an seiner aggressiven Struktur für Cyberoperationen fest

Veröffentlicht: 9. April 2020
Von: Insikt Group®
Insikt Group

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future führt derzeit Untersuchungen zu den Organisationen durch, die am iranischen Cyberprogramm beteiligt sind. Dieser Bericht soll einen besseren Einblick in die wichtigsten militärischen und geheimdienstlichen Stellen geben, die am offensiven Cyber-Programm des Iran beteiligt sind. Obwohl zu den offensiven Cyberfähigkeiten auch Angriffe im Inland gehören, haben wir jene Organisationen untersucht, die erklärte internationale Missionen haben. Aufgrund der Geheimniskrämerei mancher Organisationen und dem Mangel an überprüfbaren Informationen haben wir konkurrierende Hypothesen einbezogen, um den analytischen Branchenstandards zu entsprechen.

Für die Zwecke dieser Untersuchung untersuchten wir das Korps der Islamischen Revolutionsgarde (IRGC), einschließlich der Basij, sowie das Ministerium für Nachrichtendienst und Sicherheit (MOIS) und das Ministerium für Verteidigung und Streitkräftelogistik (MODAFL). Obwohl der Bericht auf Verbindungen zwischen einer ausgewählten Anzahl von Advanced Persistent Threat (APT)-Gruppen und bestimmten Geheimdiensten hinweist, können wir diese aufgrund von Informationslücken zu den einzelnen Gruppen nicht eindeutig bestimmten Behörden zuordnen.

Zu den Quellen unserer Recherchen zählen in erster Linie Informationen aus der Recorded Future ® -Plattform, Branchenstudien von unter anderem Symantec, FireEye, ClearSky und PaloAlto sowie Open-Source-Nachrichtenberichte.

Executive Summary

Während das iranische Cyberprogramm weiterhin im Mittelpunkt der asymmetrischen Fähigkeiten Teherans steht, ist sein Geheimdienstapparat von verschiedenen Funktionsstörungen und scheinbar destabilisierenden Eigenschaften geprägt. Insbesondere die Politisierung der verschiedenen Geheimdienste und die daraus resultierenden internen Fehden haben Berichten zufolge während der verschiedenen Sicherheitskrisen der Islamischen Republik zu einer Polarisierung der Offiziersriege geführt. Diese Krisen traten an die Öffentlichkeit und fungierten als Katalysatoren für Insider-Bedrohungen, senkten die Moral der Geheimdienste und führten zu einer Zunahme von Leaks. Der Wettbewerb zwischen den Geheimdienstgruppen soll auch zu direkten Sabotageakten zwischen den Behörden geführt haben.

Im Zuge der internen politischen Machtkämpfe haben bestimmte Organisationen eine erhebliche Ausweitung ihrer Sicherheitsbefugnisse erfahren. Dazu gehört zweifellos auch der Einsatz offensiver Hacking-Taktiken, -Techniken und -Verfahren (TTPs), um ihre Eingriffe und den Zugriff auf die Opfer voranzutreiben. An erster Stelle steht hier das Korps der Islamischen Revolutionsgarde – Geheimdienstorganisation (IRGC-IO). Der Aufgabenbereich der Organisation hat sich im letzten Jahrzehnt erheblich erweitert, und zwar in einem solchen Ausmaß, dass sie in der Lage ist, in direktem Widerspruch zu den Geheimdiensteinschätzungen und Empfehlungen des Geheimdienstes der Islamischen Republik, des Ministeriums für Nachrichtendienste und Sicherheit (MOIS), zu agieren.

Dies ist der dritte Bericht von Recorded Future über das iranische Cyberprogramm. Im Januar 2019 berichteten wir über Ashiyane, das bekannteste Hackerforum des Iran, und im März 2019 veröffentlichten wir einen Bericht über die Cyberabwehrstruktur des Iran und die damit verbundenen Organisationen.

Wichtige Urteile

  • Unserer Einschätzung nach besteht zwar eine Unterscheidung zwischen iranischen Behörden, die interne und externe Operationen durchführen, doch erschweren die undefinierten (und sich teilweise überschneidenden) Sicherheitsmissionen der einzelnen Geheimdienste die Bemühungen zur Zuordnung cyberbezogener Vorfälle wahrscheinlich.
  • Wir gehen davon aus, dass das Potenzial zur Desinformation durch iranische und außerregionale Akteure aufgrund der Volatilität der Geheimdienste und der sich überschneidenden Zuständigkeiten weiterhin hoch bleiben wird.
  • Aufgrund der Komplexität des iranischen Geheimdienstes, der zahlreichen Lecks in der Vergangenheit und der Politisierung des Systems gehen wir davon aus, dass die Sicherheitslage im Iran weiterhin instabil bleibt.
  • Aggressive, ideologisch motivierte Cyberangriffe tragen die Merkmale der IRGC und insbesondere ihres Kommandos für Auslandseinsätze, der Quds-Brigaden. Wir gehen davon aus, dass die Organisation im Rahmen der asymmetrischen Reaktionsfähigkeit des Iran koordinierte Zerstörungsoperationen durchgeführt hat.
  • Wir gehen davon aus, dass tertiäre akademische Institutionen wie die Imam-Hossein-Universität das iranische Cyberprogramm mit hoher Wahrscheinlichkeit auch weiterhin unterstützen und die Fähigkeiten der mit dem Regime verbündeten Akteure stärken werden.
  • Wir gehen davon aus, dass im Iran ansässige spezialisierte Vertragsgruppen wahrscheinlich verschiedene Regierungs- und Militäreinrichtungen beliefern. Je nach Bedrohung und Gelegenheit übernehmen Vertragsgruppen wahrscheinlich auch agenturspezifische Aufgaben.

Hintergrund

Die von Irans Geheimdiensten und dem Militär geführten Cyber-Operationen werden von einer Reihe von Faktoren beeinflusst: der komplexen Natur des Geheimdienstes, sich überschneidenden Missionsbereichen, den Entscheidungen und Interessen des Obersten Führers Ali Khamenei, dem Einfluss militärischer Organisationen wie der Islamischen Revolutionsgarde (IRGC) und internen politischen Konflikten.

Der iranische Geheimdienst

Nach Angaben der iranischen Nachrichtenagentur Fars ist der iranische Geheimdienstapparat seit der Islamischen Revolution von 1979 gewachsen und umfasst heute mindestens 16 separate Einrichtungen , die nachrichtendienstliche Aktivitäten durchführen. Der Fars-Bericht hob auch die Rolle des Rates für Geheimdienstkoordination (Shorai-e Hamohangi Etelaat) hervor, der angeblich als Hauptmechanismus zur Vereinigung aller Geheimdienste fungiert, um die Bemühungen gegen eine Reihe nationaler und internationaler Sicherheitsbedrohungen zu koordinieren.

Die iranischen Geheimdienste sind entweder Bestandteile der IRGC oder gehören, wie das Ministerium für Nachrichtendienste und Sicherheit (MOIS), zu verschiedenen Teilen der gewählten iranischen Regierung. Diese Organisationen sind jedoch alle den Anordnungen des Obersten Führers Khamenei untergeordnet; bei einigen, etwa dem Korps der Islamischen Revolutionsgarde – Geheimdienstorganisation (IRGC-IO), wird davon ausgegangen, dass sie die Interessen Khameneis direkter verfolgen als andere. Der MOIS, der gegenwärtig von Mahmoud Alavi geleitet wird, leitet offiziell die Geheimdienstmission des MOIS in Abstimmung mit den Prioritäten der gewählten Regierung.

Zu den Merkmalen des iranischen Geheimdienstes zählen eine Überschneidung von Aufgaben, Zielanforderungen und operativen Verantwortlichkeiten, die in manchen Fällen zu einem Wettbewerb um oder einer Konvergenz von Geheimdienst- und Militärressourcen führen. Wie weiter unten erläutert, wird beispielsweise die Bekämpfung der Subversion im Inland Berichten zufolge nicht nur vom MOIS, sondern auch von der IRGC-IO sowie anderen Behörden wie der iranischen Cyber-Polizei (FATA) durchgeführt.

Aus internationaler Sicht wird sowohl vom MOIS als auch von der IRGC berichtet, dass sie unabhängige Geheimdienstoperationen durchführen und auch bei Operationen gegen Bedrohungen der nationalen Sicherheit zusammenarbeiten. Solche Überschneidungen erschweren in bestimmten Fällen die kinetischen und Cyber-Zuordnungsbemühungen. Andere Geheimdienstoperationen, wie jene, die in einer Anklageschrift des US-Justizministeriums vom Februar 2019 gegen verschiedene iranische Cyber- Agenten zitiert werden, legen nahe, dass die Ressourcen zwischen den Behörden geteilt werden und die Agenten vermutlich mehr als nur einer mit den iranischen Sicherheitsdiensten verbundenen Stelle ihre Dienste anbieten.

Überlappende Cyber-Missionen

Die Zuordnung von Cyber-Kampagnen und -Vorfällen offenbart in vielen Fällen die plausiblen strategischen und taktischen Interessen von zwei, wenn nicht mehr Geheimdiensten der Islamischen Republik. Das MOIS und die IRGC bleiben die wichtigsten Organisationen, da sich ihre Geheimdienst- und Sicherheitsmissionen überschneiden. APT-Gruppen reagieren auch auf die Aufgabenanforderungen beider Organisationen und, wie wir weiter unten hervorheben, auf bestimmte Untergruppen. Während die technische Zuordnung durch Recorded Future und die Branche insgesamt erfolgt, wird die Zuordnung von APTs zu bestimmten Organisationen ohne Zugriff auf Informationen zur Zusammensetzung von APT-Gruppen, einschließlich des Personals und der Zugehörigkeit zu ihren Netzwerken, komplexer. Für die Zuordnung ist die Zusammenführung mehrerer technischer, organisatorischer und persönlicher Verhaltensdatensätze erforderlich, um eine präzisere Zuordnung zu ermöglichen.

Wie für andere Länder auch sind strategische und taktische Informationen für die iranischen Behörden von entscheidender Bedeutung. Politische, militärische und wirtschaftliche Informationen sind ein wesentlicher Antrieb für internationale Cyber-Spionageoperationen, auch gegen Amtsträger verschiedener westlicher und nahöstlicher Regierungen. Solche Operationen fanden in der Vergangenheit immer dann statt, wenn die Spannungen zwischen Teheran und der internationalen Gemeinschaft erhöht waren. Innerhalb dieses internationalen Einsatzgebiets unterstützen verschiedene Gruppen von Bedrohungsakteuren weiterhin nicht nur die Forderungen des MOIS und der IRGC, sondern auch die einer Reihe von staatlichen Akteuren und akademischen Institutionen, darunter Forschungs- und Entwicklungsorganisationen des Verteidigungs- und Streitkräftelogistikministeriums (MODAFL).

Aus öffentlichen Berichten geht hervor, dass bekannte iranische Bedrohungsakteure auch Operationen gegen Staaten im Nahen Osten durchgeführt haben, wobei sie im Rahmen umfassender Angriffsoperationen auf Computernetzwerke mitunter koordiniert vorgingen und gemeinsam mit anderen gegen bestimmte Ziele vorgingen. Zuletzt kam es hierzu etwa beim Einsatz der zerstörerischen Schadsoftware ZeroCleare gegen Bahrain. Allerdings sind destruktive Angriffe zumindest seit August 2012 Teil der asymmetrischen Reaktion und Angriffsfähigkeit des Iran. Mitte Dezember 2018 geriet der italienische Petrochemie-Riese SAIPEM vermutlich von pro-iranischen Regierungsakteuren unter Einsatz einer aktualisierten Variante der Schadsoftware Shamoon(2) (Disttrack) ins Visier. Der Angriff vom Dezember 2018 wurde kurz darauf von Verunstaltungen im hacktivistischen Stil und Informationsoperationen in den sozialen Medien begleitet, die von Organisationen durchgeführt wurden, die behaupteten, die Yemen Cyber Army zu vertreten, ein Kollektiv, das die Interessen der Houthi-Bewegung (Ansar Allah) unterstützt und mit ihr verbündet ist. Die gemeinsamen Anstrengungen unterstreichen das Potenzial für eine Missionskoordination und gemeinsame Ressourcen bei Angriffsbemühungen potenziell diversifizierter Bedrohungsakteurgruppen.

Aufgezeichnete zukünftige Abfrage

Aufgezeichnete Future-Abfrage zu einigen Social-Media-Operationen der jemenitischen Cyber-Armee.

Bilder für soziale Medien

Auf den Bildern, die die Social-Media-Aktivitäten der Yemen Cyber Army begleiteten, waren unter anderem SAIPEM und andere Unternehmen aufgeführt.

Im Inland bekämpfen die Geheimdienste und Sicherheitsbehörden, darunter auch die FATA, ein breites Spektrum an regimefeindlichen politischen Bewegungen, Milizen und extremistischen Bewegungen. Es wurde beobachtet, dass die staatlichen Sicherheitsdienste kinetische und Cyber-Operationen gegen religiöse Minderheiten sowie gegen kurdische, ahwazi-arabische und belutschische ethnische Separatisten durchführten. So führte beispielsweise die von Check Point als Domestic Kitten bezeichnete Bedrohungsakteurgruppe Berichten zufolge eine umfangreiche Cyberüberwachungskampagne durch, die sich speziell gegen Dissidenten, extremistische Gruppen und ethnische Minderheiten innerhalb und außerhalb des Iran richtete. Berichten zufolge richtete sich die Gruppe bei ihren Angriffen vor allem gegen Farsi-, Arabisch-, Türkisch- und Kurdisch sprechende Ziele und nutzte Social Engineering, um ihre Opfer zum Herunterladen schädlicher mobiler Anwendungen zu verleiten.

Auch im Falle der FATA ging man über seinen angeblichen gesetzlichen Auftrag, Cyberkriminalität zu bekämpfen, hinaus und zielte auf iranische Blogger wie Sattar Beheshti ab. Wir stellen fest, dass sich die Definition eines Cyberkriminellen im operativen Bereich der iranischen Cyberkriminalität und insbesondere im iranischen Computerkriminalitätsgesetz praktisch dahingehend entwickelt hat, dass auch politische Aktivisten darunter fallen, die dabei erwischt werden, regimefeindliches Material zu verbreiten oder an Online-Protesten teilzunehmen. Branchenuntersuchungen haben zahlreiche Fälle detailliert beschrieben , in denen politische Aktivisten auf der Grundlage des Computerkriminalitätsgesetzes festgenommen und inhaftiert wurden. Zudem wurde dieser Gesetzgebung die Flexibilität verliehen, die es den Strafverfolgungsbehörden ermöglicht, sie nach eigenem Ermessen anzuwenden. Daher stehen die Operationen der FATA höchstwahrscheinlich mit dem rigorosen Vorgehen der Regierung gegen Blogger und Aktivisten in Verbindung, das nach den Aufständen der Grünen Bewegung im Jahr 2009 zum Einsatz kam. Sie dürften sich aber auf die innere Sicherheit beschränken.

Auch die Operationen des Iran gegen Dissidenten kennen keine nationalen Grenzen, denn iranische Cybergruppen wie APT35 (Charming Kitten), die vorwiegend der IRGC zu Diensten war, und Flying Kitten haben beide eine Vorliebe dafür gezeigt, die iranische Diaspora in ganz Europa und Nordamerika ins Visier zu nehmen.

Auch militärrelevante Technologien, darunter Software, haben weiterhin höchste Priorität für ein System, das behauptet, autark zu sein und bestrebt ist, seine eigene Rüstungsindustrie aufzubauen und zu exportieren. Wie wir später in diesem Bericht noch näher ausführen werden, gelten Organisationen wie das Verteidigungsministerium (MODAFL) als führende Interessenvertreter und Nutznießer von Computernetzwerkoperationen mit dem Schwerpunkt militärischer Rüstungstechnologie.

Iranische Geheimdienstlecks

Der iranische Geheimdienst, insbesondere das MOIS, war regelmäßig von Lecks betroffen. Im Laufe ihrer Geschichte war die Organisation mehrfach von Enthüllungen schwerwiegender Natur betroffen, die die Enttarnung hochrangiger Mitglieder des Systems und seiner internationalen Operationen drohten. Zu den bedeutsamsten Fällen zählen die „ Kettenmorde“, die „ Iran Cables“ und – in geringerem Maße – verschiedene unbestätigte Cyber-Leaks im Zusammenhang mit regierungsfeindlichen Operationen. Politische Missstände haben zu massiven Informationslecks gegen Geheimdienste geführt. Sie schildern Übergriffe gegen Geheimdienstkollegen und die iranische Gesellschaft, Korruption und Vertuschungen oder, wie die jüngsten Iran-Depeschen nahelegen, die Missachtung der nachrichtendienstlichen und militärischen Vorherrschaft und Vorgehensweisen der IRGC-Quds-Brigaden im Irak durch das MOIS.

Zu den regierungsfeindlichen Cyberoperationen kam es überwiegend in den Jahren nach den Aufständen der Grünen Bewegung im Jahr 2009, und sie wurden von selbsternannten, anonymen regierungsfeindlichen Kollektiven wie Anonymous Iran durchgeführt. Ziel dieser Gruppen war es, die Cyberangriffe Teherans gegen die Zivilbevölkerung und internationale Ziele aufzudecken. In der Folge wurden angeblich vertrauliche Dokumente, Cyberprojekte, Korruption in der iranischen Regierung und internationale Operationen gegen Länder im Nahen Osten aufgedeckt. Der jüngste Anstieg regierungsfeindlicher Cyberoperationen begann gegen Ende 2017 und dauerte bis zum Zeitpunkt der Abfassung dieses Artikels an. Berichten zufolge führten verschiedene Gruppen wie Tapandegan, Lab Dookhtegan und das Aahack Security Team Eindringversuche gegen Regierungs- und Militäranlagen an.

Mutmaßliche Desinformationsversuche

Bei unseren Untersuchungen zu iranischer Desinformation stoßen wir weiterhin auf plausible Fälle von Irreführung. Zum Zeitpunkt der Abfassung dieses Artikels gehen wir daher davon aus, dass das Potenzial für Desinformation durch iranische Akteure auch in Zukunft hoch bleiben wird. Dieser Trend wird noch verstärkt durch Lecks und die Möglichkeit, dass Akteure außerhalb der Region die durchgesickerten Daten manipulieren oder die Kategorisierung und Zuordnung der Daten verschlechtern, um ihre Interessen gegenüber westlichen Cybersicherheitsorganisationen durchzusetzen. Zu Letzterem gehört beispielsweise die Verwendung bereits vorhandener C2s, um die eigenen Operationen eines Bedrohungsakteurs außerhalb der Region zu verschleiern.

Seit Ende 2017 und während des gesamten Jahres 2019 haben selbsternannte iranische Dissidentengruppen umfassende Anstrengungen unternommen, um die Operationen des iranischen Geheimdienstes und Militärs im Iran und im gesamten Nahen Osten aufzudecken. Zu diesen Bemühungen gehörten Gruppen wie Lab Dookhtegan, die „Green Leakers“ (Afshagaran-e Sabz), „Black Box“ (Resaneh Khabari Jabeh Siah) und „Hidden Reality“ (Vaghiyate Penhaan). Letzterer berichtete über die Aktivitäten eines mutmaßlichen Auftragnehmers, des Rana Institute, auf die wir weiter unten näher eingehen. Zum Zeitpunkt der Abfassung dieses Artikels hat die Insikt Group noch nicht alle Informationen und Missionen, die diese Gruppen angeblich gegen die Islamische Republik verfolgen, umfassend bestätigt. Während diese Organisationen vorgeben, gegen Teheran vorzugehen, und umfangreiche Informationen über eine APT-Gruppe sowie den iranischen Geheimdienst verbreitet haben, halten wir es auch für möglich, dass eine oder mehrere dieser Gruppen mit dem Ziel gegründet wurden, Desinformation zu verbreiten.

Kaspersky Labs veröffentlichte im August und Dezember 2019 zwei Berichte, die möglicherweise russische Bedrohungsakteure mit dem Leck im Rana-Institut in Verbindung bringen. Auf Grundlage einer Analyse des durchgesickerten Materials, der Infrastruktur und der dedizierten Website kamen die Berichte zu dem Schluss, dass hinter dem Link Bedrohungsakteure mit Verbindungen zur Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) stecken. Zum Zeitpunkt der Erstellung dieses Artikels kann Recorded Future die Gültigkeit dieser Einschätzung jedoch nicht bestätigen.

In einem anderen Fall berichtete Recorded Future über den mutmaßlichen Tod von Mohammad Hussein Tajik, einem hochrangigen Mitglied des iranischen Cyberprogramms. Dieser Fall wurde im Rahmen einer Berichterstattung über die iranische Hackerhierarchie und die Desinformationsbemühungen im Zusammenhang mit der Festnahme des Dissidenten Ruhollah Zam durch die IRGC-IO thematisiert. Zum Zeitpunkt der Abfassung dieses Artikels konnten die an Dissidenten wie Zam weitergegebenen Informationen über das iranische Cyberprogramm nicht bestätigt werden. Zam war wiederholt Ziel von Angriffen wegen Rufschädigung und wurde vom iranischen Geheimdienst als Opfer seiner Geheimdienstoperationen entlarvt. Wir gehen davon aus, dass diese Aktivitäten mutmaßlich unternommen wurden, um Zam zu erniedrigen, und dass in seine Quellen und Methoden Vertrauen gesetzt wurde. Zams Berichterstattung über Tajik belastete den Iran mit internationalen Cyber-Operationen gegen die USA, Saudi-Arabien und die Türkei und brachte ihn auch mit einer operativen Einrichtung, dem Khaybar Center, in Verbindung, von wo aus diese Angriffe angeblich gestartet wurden. Den Angaben von Zam zufolge funktioniert diese Einrichtung wie ein Fusionszentrum, in dem sich Mitglieder des wichtigsten iranischen Geheimdienstes aufhalten.

Während aus dem Iran stammende Desinformationsbemühungen weiterhin eine glaubwürdige Bedrohung darstellen, gehen wir davon aus, dass auch Akteure außerhalb der Region versuchen könnten, die Erkennungs- und Zuordnungsbemühungen in die falsche Richtung zu lenken, indem sie sich als iranische APT-Gruppen ausgeben. Wir gehen davon aus, dass dies die Verwendung einer Serverinfrastruktur (C2) umfassen könnte, die zuvor mit iranischen Bedrohungsakteuren wie APT33, APT35 und MuddyWater in Verbindung stand. Wir haben dies als mögliches Szenario in unserem Operation Gamework- Bericht vom Dezember 2019 hervorgehoben, der Überschneidungen von C2 und Malware mit dem russischen APT BlueAlpha aufdeckte.

Politisierung des Geheimdienstes

Angesichts der zahlreichen Lecks im iranischen Geheimdienstapparat sowie Phasen zunehmender Politisierung und Fraktionsbildung gehen wir davon aus, dass die Sicherheitslage im Iran weiterhin instabil bleibt.

Open-Source-Berichte in persischer Sprache zeigen, dass es im iranischen MOIS zu einer zunehmenden Spaltung gekommen ist, was die Fähigkeit des Geheimdienstes, seinen Wirkungsbereich zu wahren, wahrscheinlich beeinträchtigt hat. Öffentliche Berichte deuten außerdem darauf hin, dass auf mehreren Ebenen des Geheimdienstes interne politische Machenschaften im Spiel sind, die den Chef der IRGC-IO Hossein Taeb gegen den ehemaligen MOIS-Führer Heydar Moslehi und verschiedene Politiker aufbringen, darunter den ehemaligen Präsidenten Mahmoud Ahmadinejad (2005-2013) und Sadeq Larijani. Der Führer der IRGC-IO soll Geheimdienstoperationen gegen iranische politische Gruppen unterstützt haben, die über kompromittierendes Beweismaterial gegen die IRGC verfügten, das insbesondere Fälle von Korruption aufzeigte.

Unter dem ehemaligen Präsidenten Mohammad Khatami (1997-2005) soll es beim MOIS zu einer Auslese von Hardliner-Offizieren und -Anhängern gekommen sein, was letztlich dazu führte, dass sich die Agentur von ihren aggressiven internationalen Operationen zurückzog und sich abschwächte.1 Zwischen 1997 und 1998 soll der Oberste Führer Khamenei die Geheimdienstmission der IRGC zu der eines Direktorats erhoben haben. Von diesem Zeitpunkt an begann die Geheimdienstdirektion der IRGC, ähnliche Aufgaben wie das MOIS zu erfüllen, was unserer Ansicht nach zu den sich überschneidenden Bemühungen bei der Bekämpfung von Bedrohungen der nationalen Sicherheit beitrug.

Unter dem ehemaligen Präsidenten Ahmadinedschad kam es nach den Aufständen von 2009 Berichten zufolge zu weiteren Instabilitäten im MOIS, als die IRGC Säuberungen unter MOIS-Offizieren durchführte. Öffentliche Berichte schildern auch, wie Ahmadinedschad versuchte, mithilfe des MOIS Kompromittierungsmaterials gegen seine politischen Rivalen anzuhäufen . Die Absicht der Hardliner, den iranischen Reformismus unter Führung Chatamis und seines Vorgängers Rafsandschani rückgängig zu machen, wurde in einer frühen Erklärung mit dem Titel „Die neue Ära und unsere Verantwortung“ (dowlat-e jadid va masooliat-haye ma) treffend zum Ausdruck gebracht. Die Erklärung wurde von führenden Mitgliedern der iranischen Hardliner- und IRGC-freundlichen Ansar Hisbollah verfasst. Die Erklärung enthielt eine Warnung und forderte die erste Regierung Ahmadinedschads dazu auf, ein weiteres Abdriften des MOIS in Richtung der Veränderungen aus der Khatami-Ära zu verhindern und vermutlich auch einen iranischen Geheimdienst zu schaffen, der weniger geneigt ist, ideologisch motivierte internationale Operationen durchzuführen.

Ähnliche Fälle von Politisierung hat das MOIS unter dem derzeitigen Präsidenten Hassan Rohani (2013-heute) erlebt. Dem iranischen Geheimdienstminister Mahmoud Alavi wurden mangelnde Geheimdienst- und Sicherheitsqualifikationen vorgeworfen. In der Folge wurde er zur Zielscheibe politisch motivierter Angriffe, die von Hardlinern angezettelt wurden. Ähnlich wie die Präsidentschaft Khatamis begann Rohani seine Amtszeit mit einem reformorientierten Programm, das unter anderem eine Mäßigung des MOIS und eine stärkere Überführung in die Verantwortung des IS vorsah. Aus Berichten der BBC geht hervor, dass Rohani die Agentur in Fällen der Korruptionsbekämpfung eingesetzt hat, wodurch sie noch stärker in den politischen Kampf verstrickt wurde, die IRGC und ihre Unterstützer aus der Kontrolle über Bereiche der iranischen Wirtschaft zu verdrängen.

Einem Bericht der BBC zufolge wurde das MOIS bei mindestens drei verschiedenen Gelegenheiten durch die parallelen Aktivitäten und den Einfluss der IRGC-IO ausmanövriert und seine Entscheidungen zurückgewiesen. Dazu gehörten Berichten zufolge die Festnahme der Leiter pro-reformistischer Telegram-Kanäle, die Festnahme von Mitgliedern von Rohanis Verhandlungsteam für den Gemeinsamen umfassenden Aktionsplan (JCPOA) wegen Spionagevorwürfen und die Festnahme von Umweltaktivisten. Unter Rohani soll das MOIS im Bereich der nationalen Sicherheit, insbesondere in den Bereichen Spionageabwehr und Bekämpfung inländischer Subversion, weiterhin Machtbefugnisse an die IRGC-IO verloren haben.

Auswirkungen auf den iranischen Cyber-Kader

Die zunehmende Spaltung innerhalb des iranischen Geheimdienstes dürfte sich auch auf die Cyber-Streitkräfte des Iran ausgewirkt haben. Nach Einschätzung der Insikt Group sind die direkten Folgen dieser politischen Machtkämpfe wahrscheinlich auch auf die iranischen Cyber-Betreiber durchgesickert, die bislang öffentlich die eine oder andere Seite (MOIS oder IRGC) unterstützen.

So haben beispielsweise Gespräche in den sozialen Medien die Meinungsverschiedenheiten und Sticheleien zwischen im Iran ansässigen Cyber-Operatoren ans Licht gebracht, die die IRGC unterstützen, wie etwa Armin Rad (auch bekannt als „Ayoub Tightiz“) und Mohammad Jorjandi, der Rad und seine Unterstützerbasis oft kritisiert hat.2 Darüber hinaus gehen die Hackerangriffe und Datenlecks im Zusammenhang mit dem Labor Dookhtegan laut Jorjandi, der zum Zeitpunkt des Schreibens dieses Artikels in den USA ansässig sein soll, angeblich auf die Konkurrenz zwischen dem MOIS und der IRGC zurück, wobei letztere absichtlich Informationen über das MOIS durchsickern ließ, um seinem Ruf und Ansehen zu schaden.

Obwohl wir Jorjandis Aussagen nicht bestätigen können, waren unter den angeblichen Zielen des MOIS, wie sie von Lab Dookhtegan dargestellt werden, auch Mitglieder von APT34, wie beispielsweise Yashar Shahinzadeh. Unsere Beobachtungen von Shahinzadehs Social-Media-Gesprächen lassen darauf schließen, dass er Partei gegen pro-IRGC-Regime-Hacker wie Rad ergriffen und versucht hat, Mitgliedern der gewählten Regierung zu helfen, insbesondere dem Minister für Informations- und Kommunikationstechnologie, Mohammad Javad Jahromi. Der Schwerpunkt dieser Unterstützung lag hauptsächlich auf der Erkennung anfälliger Regierungsdatenbanken.

Ausblick

Die iranischen Cyber-Akteure sind in einer einzigartigen Position, um weiterhin Zuweisungsversuche abzuwehren, vor allem aufgrund der steigenden Zahl von Akteuren, die die verschiedenen iranischen Geheimdienstzentren beliefern. Ob IRGC-IO, Quds Force, MODAFL oder MOIS – diese Einheiten stehen weiterhin an der Spitze der iranischen Cyberfähigkeiten und sind in der Lage, internationale Angriffe anzuführen. Öffentliche Informationen deuten zudem darauf hin, dass diese Organisationen zur Verfolgung ihrer Geheimdienstziele auf eine Gemeinschaft von Vertragspartnern zurückgreifen. Wir gehen davon aus, dass dies auch in Zukunft ein wesentliches Merkmal des iranischen Cyber-Ökosystems bleiben wird.

Da der Iran über besser ausgebildete Cyber-Kader, wirksamere Werkzeuge und robustere operative Sicherheitsmaßnahmen verfügt – darunter auch die Fähigkeit zur Produktion und Verbreitung von Desinformation –, werden die iranischen Cyber-Operationen voraussichtlich auch künftig rasch die Länder des Nahen Ostens und die internationale Gemeinschaft als Ganzes ins Visier nehmen. Zudem werden die iranischen Sicherheitsdienste höchstwahrscheinlich auch weiterhin die iranische Diaspora und ethnische Minderheiten ins Visier nehmen, die beide eine Bedrohung für die wahrgenommene innere Stabilität Teherans darstellen.

Gegenmaßnahmen

  • Interessierte Stakeholder sollten strukturierte Analysetechniken wie Red-Hat-Analyse und Täuschungserkennung nutzen, um präzisere Zuordnungsversuche zu ermöglichen und gleichzeitig Desinformationsversuche von Cyber-Gegnern einzudämmen.
  • Bleiben Sie über die politischen Entwicklungen im Iran auf dem Laufenden, um Aktivitäten zu beobachten, die sich auf die Geheimdienstlandschaft auswirken (wie etwa Korruptionsskandale, Machtkämpfe, Festnahmen von Journalisten und Aktivisten, Umbesetzungen an der Spitze von Geheimdienstgruppen, Einsatz ausländischer Technologien, Verbot der Nutzung sozialer Medien usw.).
  • In der persischsprachigen Berichterstattung über Dissidenten wird regelmäßig über Aktivitäten im Zusammenhang mit dem harten Vorgehen gegen Minderheitengruppen, Demonstranten und der Festnahme von Ausländern und Personen mit doppelter Staatsangehörigkeit berichtet. Diese Quellen geben im Allgemeinen auch Aufschluss über die an den Festnahmen beteiligten Geheimdienste und Militärorganisationen und ihre angeblichen Motive.
  • Iranische Cyber-Betreiber pflegen auf Instagram und Telegram eine relativ öffentliche Präsenz. Diese öffentlichen Quellen können Einblick in die organisatorische Entwicklung, die Ausbildung, politische Erkenntnisse und ihr operatives Netzwerk geben.
  • Um Desinformationsbemühungen vorzubeugen und abzuschwächen, empfehlen wir, iranische Cyber-Entwicklungen aus sozialen Medien und öffentlich zugänglichen Messaging-Plattformen zu überprüfen und zu bestätigen.
  • Durch die Kampagnenverfolgung iranischer APT-Gruppen lassen sich nicht nur Erkenntnisse über die TTPs gewinnen, sondern auch über die Viktimologie, was wiederum zu einem besseren Verständnis der organisatorischen Interessen beiträgt.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Fußnoten

1S. Chubin, Wither Iran?: Reform, Innenpolitik und nationale Sicherheit, New York, Oxford University Press, 2002, S. 91.

2https[:]//www.tabnak[.]ir/fa/news/816849

Verwandt