Mit dem Iran verbundener Bedrohungsakteur Die Aktivitäten des MABNA-Instituts im Jahr 2020

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Der Bericht soll Einblicke in die Kampagnenaktivitäten des mit dem Iran verbundenen MABNA-Instituts geben, über die die Insikt Group im gesamten Jahr 2020 sowie die breitere Cyber-Forschungsgemeinschaft berichtet hat. Der Bericht dürfte vor allem für wissenschaftliche Organisationen, akademische Einrichtungen und Softwaregruppen von Nutzen sein, die den akademischen Sektor bedienen. Dieser Bericht dürfte für Blue-Team-Verteidiger von Interesse sein, die sich um die Sicherung der Netzwerke akademischer und wissenschaftlicher Organisationen bemühen, sowie für CTI-Gruppen, die Cyberaktivitäten im Zusammenhang mit dem Iran erforschen. Es wird auf die Recorded Future ® -Plattform, die Bedrohungsforschung der Insikt Group sowie auf die von Proofpoint, RiskIQ und Malwarebytes verwiesen. Zu den für diese Analyse verwendeten Datenquellen gehören die Recorded Future ® Platform, Farsight DNSDB, DomainTools und andere gängige Open-Source-Tools und -Techniken.

Executive Summary

Das MABNA Institute, ein Bedrohungsakteur, der vom US-Justizministerium mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran in Verbindung gebracht wird, setzte im Jahr 2020 seine weltweiten Operationen gegen Institutionen des Hochschul- und Forschungssektors fort und verwendete dabei ähnliche Taktiken, Techniken und Verfahren (TTPs) wie in den Vorjahren. Seine Operationen waren geprägt von groß angelegtem Phishing und Diebstahl von Anmeldeinformationen.

Während des gesamten Jahres 2020 nutzten das MABNA-Institut bzw. im Verdacht stehende operative Cluster, die mit dem Akteur in Verbindung stehen, weiterhin Infrastruktur innerhalb und außerhalb des Iran, darunter Domänenregistrierung und Hosting-Dienste. Insbesondere ergaben unsere Untersuchungen keine neuen Hinweise darauf, dass der Bedrohungsakteur in seinen Kampagnen Schadsoftware einsetzt. Dies lässt weiterhin darauf schließen, dass der Bedrohungsakteur zwar fest entschlossen ist, seinen Diebstahl von Zugangsdaten international durchzuführen und die Zugangsdaten im Iran an forschungsorientierte Organisationen zu verkaufen, er jedoch wahrscheinlich keinen praktischen Nutzen darin sieht, in den Netzwerken der Opfer persistent zu bleiben. Dies schließt jedoch nicht aus, dass andere mit dem MABNA-Institut verbundene Elemente in verschiedenen Sektoren mithilfe von Malware eindringen. 

Die Untersuchungen der Insikt Group haben darüber hinaus Hinweise darauf zutage gefördert, dass Gruppen, die keine nachweisbare Verbindung zum MABNA-Institut haben, wahrscheinlich an nahezu identischen Aktivitäten teilnehmen. Dies deutet auf einen Schwarzmarkt hin, der interessierten Käufern illegalen Zugang zu Universitäten und Bibliotheken auf der ganzen Welt verschafft. 

Der Bedrohungsakteur hat das gesamte Jahr 2020 über ein erhöhtes operatives Tempo beibehalten, und es ist sehr wahrscheinlich, dass dieses Tempo auch 2021 anhält und sich, ähnlich wie in der Vergangenheit, bis in das persische Neujahrsjahr 1400 (März 2021 bis März 2022) fortsetzt, wobei die erneute Bekämpfung akademischer und wissenschaftlicher Organisationen weiterhin oberste Priorität hat.

Wichtige Urteile

• Die aufgezeichnete Analyse des zukünftigen Netzwerkverkehrs von Februar bis März 2021 enthüllte die Netzwerkkommunikation zwischen den Portalen des MABNA-Instituts und akademischen Einrichtungen in Spanien und der Schweiz.
• Angesichts der Nachfrage nach Zugang zu Forschungsergebnissen und Informationen im Iran und der damit verbundenen internationalen Sanktionen wird der illegale Markt für gestohlene Zugangsdaten höchstwahrscheinlich auch in Zukunft die Geschäftstätigkeit des MABNA-Instituts bestimmen. 
• Internationale tertiäre akademische Einrichtungen aus Nordamerika, Großbritannien, Europa, dem Nahen Osten, Afrika, Asien und der Asien-Pazifik-Region wurden von der Insikt Group als Ziele für mutmaßliche Aktivitäten des MABNA-Instituts identifiziert. Dieses Merkmal der Viktimologie wird sich voraussichtlich auch in Zukunft fortsetzen.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.