Iranische Cyber-Reaktion auf den Tod des IRGC-Chefs würde wahrscheinlich gemeldete TTPs und früheren Zugriff nutzen
Die Insikt Group ® von Recorded Future überprüfte verfügbare Informationen, um die Wahrscheinlichkeit einer iranischen Reaktion auf die Tötung von Qassem Suleimani zu analysieren. Dieser Bericht dient als Zusammenstellung wahrscheinlicher Taktiken, Werkzeuge und Gruppen, die an einem cyberbasierten Vergeltungsschlag beteiligt sind.
Dieser Bericht dürfte insbesondere für Organisationen von Interesse sein, die befürchten, ins Visier einer vom iranischen Staat gesponserten Gruppe geraten zu sein – insbesondere im Zuge der gestiegenen Spannungen am Persischen Golf – sowie für jene, die die geopolitischen Ereignisse im Nahen Osten verfolgen.
Die Insikt Group wird Updates bereitstellen, sobald neue Erkenntnisse zu diesen Vorfällen auftauchen oder damit in Zusammenhang stehende Cyber-Bedrohungsaktivitäten erkannt werden. Unter diesen Links finden Sie zusätzliche Hintergrundinformationen dazu, wie der Iran staatlich gelenkte Cyberoperationen durchführt , und zur Geschichte einiger staatlich geförderter und patriotischer Hacker. Zu den Quellen zählen Informationen, die auf der Recorded Future ® -Plattform und anderen offenen Quellen aufgetaucht sind.
Executive Summary
In den frühen Morgenstunden des 3. Januar wurden der iranische Präsident Qassem Suleimani, Chef der Quds-Brigaden der Islamischen Revolutionsgarde (IRGC-QF), der irakische Präsident Abu Mahdi al-Muhandis, stellvertretender Chef der Volksmobilisierungskräfte (PMF), und mehrere weitere Personen bei einem US-Raketenangriff in der Nähe des internationalen Flughafens von Bagdad getötet. Wir gehen davon aus, dass insbesondere die Tode Soleimanis und al-Muhandis höchstwahrscheinlich eine Reaktion des Iran und seiner Verbündeten provozieren werden. Dazu könnte es eine Reihe asymmetrischer Vergeltungsmaßnahmen iranischer Streitkräfte und der mit ihnen verbündeten Milizen gegen die USA und ihre Partnerregierungen sowie gegen die Geschäftsinteressen in der Region, im Nahen Osten, gehören.
Wichtige Urteile
- Wir erwarten eine maßvolle, aber direkte Reaktion des Iran. Wir gehen davon aus, dass dies teilweise dazu dienen soll, das iranische Regime zu schützen, das zutiefst daran interessiert ist, an der Macht zu bleiben und davor zurückschreckt, sich auf eine direkte militärische Konfrontation mit den USA einzulassen. Auch wenn wir von Seiten des herrschenden Regimes eine gemäßigte Reaktion erwarten, gehen wir davon aus, dass die iranischen Stellvertreter in der Region mit noch aggressiveren Vergeltungsschlägen reagieren werden.
- Der Iran verfügt über äußerst leistungsfähige Cyber-Operationskräfte und wir gehen davon aus, dass die wahrscheinlichsten Ziele von Cyber-Attacken weiterhin die Vereinigten Staaten und ihre Partnerregierungen sowie deren militärische und kommerzielle Interessen im Nahen Osten sind.
- Auf Grundlage unserer Beobachtungen des Gerede unter den hacktivistischen Kräften (die wir als regimefreundlich, aber nicht von der Regierung gelenkt definieren) gehen wir davon aus, dass die Angriffe sich wahrscheinlich gegen weichere Ziele wie unzureichend geschützte Websites, Server und Datenbanken häufen werden.
- Jüngst dokumentierte Fälle, in denen vom russischen Staat gesponserte Gruppen die iranische Infrastruktur gekapert und für Cyberoperationen genutzt haben , könnten bei Opfern, die versuchen, die Cyberaktivitäten zuzuordnen, zu noch größerer Unsicherheit und Verwirrung führen. Heute ist weniger klar, ob die Operationen, bei denen bekannte und verfolgte iranische Cyber-Infrastruktur zum Einsatz kommt, tatsächlich von der iranischen Regierung durchgeführt und gelenkt werden. Dies erhöht die Gefahr einer Fehlzuschreibung und irrtümlichen Eskalation, da wir nicht wissen, in welchem Ausmaß Russland die iranische Cyber-Infrastruktur kompromittiert hat.
Hintergrund
Am späten Abend des 2. Januar 2020 ET wurde in Presseberichten bekannt, dass es in der Nähe des irakischen internationalen Flughafens von Bagdad zu einem US-Raketenangriff gekommen sei. Bei dem Luftangriff wurden mehrere Menschen getötet, darunter Qassem Suleimani, der Kommandeur der Quds-Brigaden der iranischen Islamischen Revolutionsgarde (IRGC-QF), und Abu Mahdi al-Muhandis, der stellvertretende Kommandeur der irakischen Miliz „Popular Mobilization Forces“ (PMF). Unter den Berichten zufolge waren mehrere andere PMF-Vertreter, darunter Mohammed Ridha Jabri, der PR-Chef der Gruppe. Eine Erklärung des US- Verteidigungsministeriums sowie Presseberichte iranischer Regierungsstellen bestätigten den Angriff und gaben an, dass Soleimani das Ziel des Angriffs gewesen sei.
Bedrohungsanalyse
Nach Einschätzung der Insikt Group wird insbesondere der Tod Soleimanis wahrscheinlich eine Reaktion der iranischen Regierung provozieren. Dazu gehören mehrere Szenarien asymmetrischer Vergeltungsmaßnahmen iranischer Militäreinheiten, Stellvertreter oder verbündeter Milizen gegen die US-Regierung und Wirtschaftsinteressen im Nahen Osten sowie gegen regionale Partner der USA wie Saudi-Arabien, die Vereinigten Arabischen Emirate (VAE) und Israel.
Zum Zeitpunkt des Verfassens dieses Artikels konnte Recorded Future beobachten, dass die iranische Militär-, Diplomaten- und Politikführung einhellig davon ausgeht, dass es zu einem Vergeltungsangriff kommen wird. Allerdings enthielten diese Aussagen keine Einzelheiten darüber, wann, wie und wo eine Reaktion erfolgen werde. Der oberste Führer des Iran, Ali Khamenei, erklärte am 3. Januar 2020, dass denjenigen, die den Angriff auf Soleimani angeführt hatten, eine „harte Rache“ bevorstehe, und rief eine dreitägige Staatstrauer zum Gedenken an den gefallenen Befehlshaber der IRGC-QF aus. Am 5. Januar erklärte der militärische Berater des Obersten Führers des Iran, Generalmajor Hossein Dehghan, dass die Reaktion des Iran „mit Sicherheit militärischer Natur“ sein und sich gegen amerikanische „Militärstandorte“ richten werde.
Das Bedürfnis nach Vergeltung erkennen
In den vergangenen Jahren genoss General Soleimani Berichten zufolge im Inland breite Unterstützung. Dies lag zum Teil daran, dass man glaubte, er sei für die Strategien verantwortlich, die das Land vor Terroranschlägen und Bedrohungen durch die Terrormiliz „Islamischer Staat“ (IS) schützten. Mehrere Berichte deuten darauf hin, dass Soleimanis Tod zu deutlichen Rufen nach Vergeltungsmaßnahmen geführt hat, was in der jüngeren iranischen Militärgeschichte unüblich ist, außer in Fällen extremer Gewalttaten gegen Regierungsangehörige oder iranisches Militärpersonal. Beispiele hierfür sind der IS-Angriff auf das iranische Parlament im Juni 2017 und die Enthauptung des IRGC-Offiziers Mohsen Hojaji durch den IS im August 2017. Ersteres führte zu einem Angriff mit ballistischen Raketen auf den IS, während der IRGC-Offizier Hojaji zu einer Symbolfigur im Kampf gegen den IS wurde. Damals war Soleimani neben zahlreichen anderen hochrangigen IRGC-Funktionären der Anführer der Reaktion auf Hojajis Tod.
Ein historisches Beispiel, das unserer Meinung nach den eher kalkulierten Ansatz zeigt, den der Iran als Reaktion auf Soleimanis Tod wahrscheinlich verfolgen wird, war die Ermordung iranischer Diplomaten durch die afghanischen Taliban im Jahr 1998. Im Jahr 1998 wurden fast ein Dutzend iranische Diplomaten von den afghanischen Taliban getötet. Dieser Vorfall führte zu einem Aufschrei der Bevölkerung gegen die Taliban-Gruppe und zur Mobilisierung von etwa 200.000 iranischen Soldaten. Untersuchungen der RAND Corporation zeigten, dass die iranische Regierung im Umgang mit der Afghanistan- Krise einen pragmatischen Entscheidungsprozess verfolgte. Trotz des Interesses der Hardliner der IRGC und radikaler politischer Fronten, militärisch gegen ihren ideologischen Erzfeind vorzugehen, entschied sich der Oberste Führer Khamenei stattdessen für eine Reaktion „ohne Kriegsrisiko“. In ähnlicher Weise behauptete IRGC-General Hossein Dehgan, ein hochrangiger Berater Khameneis, am 5. Januar 2020, dass der Iran auf die Tötung Soleimanis militärisch reagieren werde, jedoch keinen Krieg anstreben werde.
Die Insikt Group geht davon aus, dass der Iran wahrscheinlich eine maßvolle asymmetrische Reaktion anstreben wird, da sie die Notwendigkeit ausbalanciert, den Druck von Soleimanis Tod auszugleichen, ohne das Potenzial für ein direktes militärisches Engagement mit den USA weiter zu schüren.
Beispiele für aktuelle asymmetrische Vergeltungsangriffe
Zu den mutmaßlichen Vergeltungsmaßnahmen des Iran oder der vom Iran unterstützten Kräfte zählen unter anderem:
- Im gesamten Jahr 2019 wurde die IRGC-QF verdächtigt, hinter dem Raketenangriff auf die saudischen Ölanlagen in Abqaiq und Khurais sowie hinter der Beschlagnahme und Entführung des schwedischen Öltankers Stena Impero zu stecken.
- Dem Iran wird vorgeworfen, seinen Einfluss auf schiitische Gruppen zu missbrauchen, um an Orten, wie etwa Bahrain, die als fruchtbarer Boden für sektiererische und regierungsfeindliche Aktivitäten gelten, zu Aufständen anzustiften. Diese Art der Einflussnahme dürfte der Grund für die gewalttätigen Proteste gewesen sein, die zwischen dem 31. Dezember 2019 und dem 2. Januar 2020 vor der US-Botschaft im Irak stattfanden. Berichten zufolge wurden diese Proteste von Anhängern der Kata'ib Hizballah durchgeführt, einer vom Iran unterstützten Stellvertretertruppe unter Führung von al-Muhandis.
- Dem Iran wird außerdem vorgeworfen, Sabotageakte gegen die regionale Öl- und Gasinfrastruktur zu unterstützen. Im gesamten Jahr 2019 wurde der Iran laut Berichten mit koordinierten Angriffen auf die Öl- und Gasinfrastruktur Saudi-Arabiens zusammen mit den Huthi-Rebellen (Ansar Allah), den Verbündeten im Jemen, in Verbindung gebracht. In Bahrain unterstützt der Iran angeblich eine ganze Reihe schiitischer Milizengruppen und wurde im November 2017 mit einem Aufsehen erregenden Angriff auf die bahrainische Öl- und Gasinfrastruktur in Verbindung gebracht.
Der Iran verfügt über eine Reihe äußerst leistungsfähiger Teams zur Steuerung von Computernetzwerken, die an Gegenmaßnahmen gegen die USA, regionale Partner und westliche Interessen beteiligt sein könnten. Recorded Future geht davon aus, dass durch Spionageoperationen erlangte Zugriffe diese Vergeltungsmaßnahmen höchstwahrscheinlich erleichtern werden. Besonders hervorzuheben ist, dass iranische Teams bei früheren Eskalationen zerstörerische Cyberfähigkeiten eingesetzt haben, was unserer Einschätzung nach sowohl die Bereitschaft als auch die Fähigkeit zeigt, solche Schadsoftware auch in ähnlichen Situationen einzusetzen. Es ist außerdem bekannt, dass iranische Akteure Webshells, Password Spraying und eine Kombination aus maßgeschneiderter und handelsüblicher Schadsoftware bevorzugen, um sich Zugriff auf Zielumgebungen zu verschaffen. Auch wenn in früheren Cyber-Reaktionsszenarien zerstörerische Schadsoftware zum Einsatz kam, ist der Tod von General Soleimani bei einem US-Luftangriff eine einzigartige Situation und bringt erhebliche Unsicherheit in unsere Einschätzungen darüber, welche Cyber-Fähigkeiten der Iran vermutlich gegen welche regionalen Interessen der USA und seiner Partner einsetzen wird.
Im Juni 2019 beobachtete Recorded Future APT33-Malware-Aktivitäten, die auf die US-Industrie, kritische Infrastrukturen und Regierungsbehörden abzielten. Kurz darauf erklärte US-Präsident Donald Trump am 22. Juni, dass die Regierung angesichts der erhöhten Spannungen am Persischen Golf Cyberangriffe gegen iranische Raketensysteme eingesetzt habe. Dem Iran wurde außerdem vorgeworfen , auf einem japanischen Öltanker im Golf Haftminen platziert zu haben, was zu weiteren Spannungen in der Region führte. Damals, im Juni 2019, meldete die US-amerikanische Cybersecurity and Infrastructure Security Agency einen Anstieg der Zahl der mit dem Iran in Verbindung stehenden Akteure, die Wiper-Malware auf ihren Zielen einsetzen. Der technische Direktor des Threat Operations Center der NSA erklärte jedoch, dass die iranischen Akteure ihre normalen Geheimdienstoperationen fortsetzten, deren Schwerpunkt auf Spionage und nicht auf Zerstörung liege.
Früherer Zugriff und Tools können die Reaktion auf Cyberangriffe beeinträchtigen
Recorded Future geht davon aus, dass die US-Industrie, kritische Infrastrukturen und Regierungsbehörden in dieser Zeit erhöhter Spannungen auch weiterhin von iranischen Bedrohungsakteuren ins Visier genommen werden. Obwohl wir davon ausgehen, dass iranische Akteure auch weiterhin staatliche, militärische und kommerzielle Einrichtungen der USA für Cyber-Spionagezwecke ins Visier nehmen werden, sind Organisationen in der Region des Persischen Golfs am stärksten von zerstörerischen Cyber-Attacken bedroht. Darüber hinaus gehen wir davon aus, dass die iranischen Akteure APT33, APT34 (auch bekannt als OilRig) oder MUDDYWATER bei ihren Cyberspionage-Operationen wahrscheinlich auch Verbündete und Partner der USA im Nahen Osten ins Visier nehmen werden. Wir gehen davon aus, dass es auch weiterhin zu einer Mischung aus kundenspezifischen und Standardtools kommen wird, und empfehlen Unternehmen, insbesondere auf verdächtiges Verhalten auf Powershell- und WMIC-Basis zu achten.
- MUDDYWATER-Akteure haben politisch motivierte Spearfishing-Angriffe und Makros oder gestohlene Anmeldeinformationen genutzt, um Schadsoftware zu verbreiten und Informationen zu stehlen. MUDDYWATER basiert in hohem Maße auf einer Powershell-basierten Hintertür namens POWERSTATS. MUDDYWATER nutzt kompromittierte Domänen von Drittanbietern, die als Proxys zur Verteilung von POWERSTATS und für Befehls- und Kontrollzwecke (C2) verwendet werden.
- APT33 ist eine der aktivsten Gruppen, die derzeit im Nahen Osten operieren. Sie hat die Fähigkeit unter Beweis gestellt, ihre Taktiken kontinuierlich zu überarbeiten und eine Vielzahl von Werkzeugen und Techniken einzusetzen, um ihre Opfer zu kompromittieren. Der Akteur verwendet in seinem benutzerdefinierten Malware-Toolkit eine breite Palette von Tools, darunter POWERTON, und verlässt sich außerdem in hohem Maße auf Open-Source-Remote-Access-Trojaner (RATs), darunter njRAT, Powershell Empire, Nanocore und PupyRAT.
- APT39 nutzte vor allem die Trojaner-Familien Chafer und Remexi und zielte auf den Telekommunikationssektor ab. Darüber hinaus zielte er auch auf die Reisebranche und unterstützende IT-Unternehmen ab. Wir gehen davon aus, dass der Schwerpunkt der Gruppe auf Telekommunikation und Reisen auf ein Interesse an der Überwachung bestimmter Personen und der Erfassung firmeneigener Daten oder Kundendaten für kommerzielle oder betriebliche Zwecke hindeutet, die strategischen Erfordernissen im Zusammenhang mit nationalen Prioritäten dienen. Forscher von FireEye haben festgestellt, dass die Operationen von APT39 hinsichtlich Angriffsmuster, Infrastruktur und Zeitpunkt im Nahen Osten denen von APT34 (OilRig) ähneln. Genauer gesagt weisen sowohl APT39 als auch APT34 dieselben Methoden zur Verbreitung der Malware auf, haben dieselbe Infrastruktur-Nomenklatur und es gibt Überschneidungen bei der Zielausrichtung.
- Die Dookhtegan-Leaks von Lab zeigten die kundenspezifischen Tools von APT34: PoisonFrog, Glimpse, Hypershell, HighShell, Fox Panel und Webmask. Das PoisonFrog-Implantat ist ein Powershell-basierter Downloader, der eine VBS-Hintertür öffnet. Bewertungen von Chronicle und Palo Alto zeigen, dass es sich bei PoisonFrog um die BONDUPDATER-Hintertür handelt, die zuvor von FireEye, Booz Allen und Unit 42 von Palo Alto analysiert wurde. Webmask ist wahrscheinlich Teil der von Cisco Talos aufgedeckten DNS-Hijacking-Kampagne DNSpionage.
Wir gehen davon aus, dass vorherige Aktivitäten zur Erfassung von Anmeldeinformationen durch APT33, APT34 und APT35 dazu genutzt werden könnten, einen ersten Zugriff auf die Zielumgebungen zu erlangen. Zu den bemerkenswerten jüngsten Ereignissen zählen:
- Im Oktober 2019 interessierte sich APT33 Berichten zufolge besonders für Anbieter von Hardware und Software für industrielle Steuerungssysteme (ICS) in den USA und weltweit und führte eine gezielte Password-Spraying-Kampagne gegen diese Organisationen durch. Die Angreifer nahmen typischerweise 50.000 bis 70.000 Organisationen gleichzeitig ins Visier und wählten für ihren Versuch, bei jeder Organisation Zugriff zu erhalten, eine kleine Anzahl von Anmeldeinformationen aus. Zwischen Oktober und November 2019 wurde die Reichweite dieser Angriffe deutlich eingeschränkt. Als APT33 angeblich nur etwa 2.000 Organisationen pro Monat angriff , versuchte es mit verschiedenen Passwortkombinationen bei 18 bis 20 Konten in jeder Organisation – eine Steigerung um 900 %. Befehle, die beim Password-Spraying und bei On-Host-Aktivitäten verwendet werden, finden Sie in diesem GitHub.
- In ähnlicher Weise stellte FireEye fest, dass APT34 in einer gezielten Spearphishing-Kampagne die Anmeldeinformationen stehlenden Malware-Familien LONGWATCH, VALUEVAULT und TONEDEAF verwendete. Ziel dieser Malware-Familien war vor allem, die Anmeldeinformationen gezielter Einzelpersonen zu erbeuten. Die Akteure verwendeten LinkedIn-Nachrichten mit bösartigen Links, um die Opfer zum Herunterladen eines legitimen Datenblatts zu verleiten, das VBA-Makros zum Herunterladen der Malware-Familien verwendete.
- Auch Daten, die APT35 (Newscaster, PHOSPHORUS) durch das Sammeln von Anmeldeinformationen über Watering-Hole-Angriffe, Phishing-E-Mails und gefälschte Social-Media-Profile gesammelt hat, können genutzt werden. Am 4. Oktober 2019 gab Microsoft bekannt, dass APT35 in den 30 Tagen zwischen August und September 2019 2.700 Versuche unternahm, in einen US-Präsidentschaftswahlkampf einzudringen (der später als Trump-Kampagne identifiziert wurde). Darüber hinaus griff APT35 auch aktuelle und ehemalige US-Regierungsbeamte, politische Journalisten und „prominente“ im iranischen Ausland lebende Personen an. Die Gruppe hatte es auf 241 E-Mail-Konten abgesehen und konnte erfolgreich vier Konten kompromittieren, die weder mit US-Regierungsbeamten noch mit der Kampagne in Verbindung standen.
- Frühere Zugriffe oder durch DNS-Hijacking-Aktivitäten von SeaTurtle und dem DNSpionage-/APT34- Cluster gewonnene Informationen könnten ebenfalls die weitere Informationsbeschaffung erleichtern.
Zerstörerische Malware
APT33 und APT34 wurden mit zerstörerischen Malware-Angriffen auf den Öl- und Gassektor in Verbindung gebracht, wobei Shamoon, DEADWOOD und ZeroCleare zum Einsatz kamen.
- Während einer Präsentation auf der CYBERWARCON-Konferenz in Arlington, VA, Ende 2019 diskutierten Microsoft-Analysten, dass APT33 im Juni 2019 eine zerstörerische Malware-Familie namens DEADWOOD auf einem VPN-Server in Saudi-Arabien abgeladen hatte. Recorded Future kann keinen Einblick in die von Microsoft beschriebene Malware-Familie geben. Allerdings wurde am 22. Juni 2019 eine auf VirusTotal hochgeladene Datei als Wiper gekennzeichnet; später wurde sie vom Benutzer „THOR Scanner“ als im Nahen Osten verwendeter Wiper gekennzeichnet. Es ist wahrscheinlich, dass es sich bei dieser Datei (857ef30bf15ea3da9b94092da78ef0fc) um den betreffenden Wiper handelt.
- APT33 setzte 2012 die zerstörerische Schadsoftware Shamoon ein und steht im Verdacht, gemeinsam mit anderen APT-Gruppen mit Verbindung zum Iran an der Operation im Dezember 2018 gegen den italienischen Petrochemieauftragnehmer SAIPEM beteiligt gewesen zu sein.
- Anfang Dezember 2019 veröffentlichten die X-Force Incident Response and Intelligence Services (IRIS) von IBM ihre Entdeckung der Wiper-Malware ZeroCleare, die auf den Energie- und Industriesektor im Nahen Osten abzielte. Laut IBM IRIS war APT34 (OilRig) wahrscheinlich an der Bereitstellung von ZeroCleare beteiligt. Während ihrer Entdeckungsbemühungen stellten die Forscher von IBM IRIS fest, dass ZeroCleare gemeinsame Merkmale mit der Shamoon-Malware aufweist. Insbesondere überschreibt die ZeroCleare-Malware den Master Boot Record (MBR) sowie die Festplattenpartitionen auf Windows-Rechnern.
- Die Analyse eines aktuellen Samples mit dem Namen „Dustman“ offenbarte Ähnlichkeiten mit ZeroCleare und enthielt anti-saudische Botschaften. Es verwendete denselben Raw-Disk-Treiber. Allerdings waren bei dem Sample alle erforderlichen Tools in einer einzigen ausführbaren Datei gebündelt. Das Sample enthielt anti-saudische Botschaften und einen anti-saudischen Mutex („Nieder mit Bin Salman“).
Nationalistischer und regimefreundlicher Hacktivismus
Wir gehen davon aus, dass sich das iranische Regime Zeit lassen wird, über eine Reaktion auf die Tötung von General Soleimani nachzudenken. Im krassen Gegensatz dazu werden regimefreundliche (aber nicht von der Regierung gelenkte) Cyber-Akteure wahrscheinlich auch weiterhin ihre disruptiven Aktivitäten durchführen. Recorded Future ist sich der Aktivitäten von Hacktivisten bewusst, die innerhalb weniger Stunden nach Bekanntwerden der Nachricht von Suleimanis Tod stattfanden und sich unter anderem gegen US-Regierungsinstitutionen richteten. Darüber hinaus beobachteten wir auch die Verbreitung von Desinformationen unter den Anhängern der IRGC. Aufgrund unserer Beobachtungen des Gerede unter Hacktivisten gehen wir davon aus, dass die Angriffe sich wahrscheinlich gegen weichere Ziele wie unzureichend geschützte Websites, Server und Datenbanken verstärken werden.
Es ist durchaus möglich, dass Akteure unter dem Deckmantel krimineller Aktivitäten SamSam- Ransomware oder ähnliche Kampagnen einsetzen. Zwar liegen keine Hinweise darauf vor, dass die beiden Akteure mit der iranischen Regierung in Verbindung standen, doch ist Teheran zweifellos über diese Operationen und ihre Instrumente im Bilde.
Ausblick
Wir gehen davon aus, dass der Iran auf die Tötung von General Qassem Suleimani reagieren wird, indem er aggressiver auf Cyberangriffe setzt als auf kinetische Angriffe, die wahrscheinlich die Form von Spionage oder Sabotage annehmen werden.
Diese Cyber-Reaktion – wahrscheinlich eine von mehreren möglichen asymmetrischen Gegenmaßnahmen – könnte direkt von iranischen Geheimdienst- oder Militärgruppen, von deren Auftragnehmern oder von anderen Stellvertretern durchgeführt werden. Hintergrund für diese Maßnahmen dürften bereits erfolgte Zugriffe und Erkenntnisse aus Spionageaktionen sein. Es dürfte sich als schwierig erweisen, diese Eindringlinge zuzuordnen und sie von anderen opportunistischen Eindringlingen zu unterscheiden.
Darüber hinaus haben die jüngsten dokumentierten Fälle, in denen vom russischen Staat gesponserte Gruppen die iranische Infrastruktur gekapert und für Cyberoperationen genutzt haben , für weitere Unsicherheit bei der Verfolgung und Zuordnung iranischer Spionage- oder Zerstörungstätigkeiten gesorgt. Wir gehen davon aus, dass durch diese Entführung der Infrastruktur und die erhöhte Unsicherheit das Risiko steigt, dass ein Vorfall falsch zugeordnet und fälschlicherweise als Eskalation interpretiert wird. Im Nahen Osten verfolgen nicht nur die USA und ihre Partner sowie der Iran und seine Stellvertreter Interessen. Sollte durch als iranische Operationen getarnte russische Operationen noch mehr Unsicherheit entstehen, könnte dies im Gefolge eines Cyberangriffs zu einer Atmosphäre des Chaos und der Verwirrung beitragen. Dies erhöht die Gefahr einer Fehlzuschreibung und irrtümlichen Eskalation, da wir nicht wissen, in welchem Ausmaß Russland die iranische Cyber-Infrastruktur kompromittiert hat.
Vorgeschlagene Gegenmaßnahmen
- APT33 bevorzugt weiterhin dynamisches DNS-Hosting (DDNS). Mit dem Weaponized Domains Security Control Feed von Recorded Future lassen sich diese Domänen identifizieren und blockieren.
- Recorded Future erkennt und protokolliert proaktiv bösartige Serverkonfigurationen im Command and Control Security Control Feed.
- Recorded Future empfiehlt Organisationen, auf aufeinanderfolgende Anmeldeversuche von derselben IP-Adresse bei verschiedenen Konten zu achten. Diese Art von Aktivität ist schwieriger zu erkennen als herkömmliche Brute-Force-Angriffe, hilft jedoch dabei, Unternehmen vor einer beliebten Taktik von APT33 zu schützen.
- Die Einführung der Multi-Faktor-Authentifizierung hat sich für viele Unternehmen, die in der Vergangenheit in großem Umfang von Credential-Stuffing- und Password-Spraying-Angriffen betroffen waren, als äußerst effektive Methode zur Risikominderung erwiesen.
- Überwachen Sie kriminelle Untergrund-Communitys auf die Verfügbarkeit neuer Konfigurationsdateien, die auf Ihr Unternehmen abzielen, beschaffen Sie sich diese Dateien und analysieren Sie sie gründlich, um weitere Angriffsindikatoren zu finden.
- Endbenutzer können das Risiko, Opfer von Password Spraying zu werden, verringern, indem sie einen Passwort-Manager verwenden und für jedes Online-Konto ein individuelles, sicheres Passwort festlegen.
- Durch Social-Engineering-Schulungen für Unternehmensmitarbeiter können die Gefahren für das Unternehmen verringert werden, die durch die Offenlegung von Informationen entstehen, die zum Durchführen von Password-Spraying und anderen Angriffen verwendet werden.
- Eine Protokollanalyse (durch ein IDS) kann dabei helfen, erfolglose Anmeldeversuche über mehrere Benutzerkonten hinweg zu identifizieren. Durch Querverweise auf Protokolldaten können Vorfälle im Zusammenhang mit häufigen Aussperrungen, nicht genehmigten Fernzugriffsversuchen, zeitlichen Überlappungen von Angriffen über mehrere Benutzerkonten hinweg und dem Abgleich eindeutiger Informationen zu Webbrowser-Agenten mithilfe von Fingerabdrücken erkannt werden.
Verwandt