Social Engineering bleibt das wichtigste Mittel iranischer APTs

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht behandelt Fälle und Methoden des Social Engineering im Iran. Es richtet sich an alle, die einen Angriff iranischer Akteure auf ihr Personal und ihre Organisation besser verstehen, sich darauf vorbereiten und ihm zuvorkommen möchten, und kommt auf den Iran spezialisierten Analysten zugute, die Themen im Zusammenhang mit iranischem Social Engineering erforschen, um deren typische Ziele, Organisationen und Absichten zu verstehen. Zu den Quellen zählen unter anderem die Recorded Future ® -Plattform und Branchenberichte von Microsoft, Proofpoint, ClearSky, FireEye, Mandiant und CitizenLab.

Executive Summary

Seit 2010 stützen sich pro-iranische Regierungs-Cyberangriffe bei ihren Cyberangriffen auf Social Engineering als Teil ihres Lebenszyklus. Diese Angriffe werden entweder durch Spearphishing-Angriffe oder direkter durch Eins-zu-Eins-Konfrontationen ausgeführt. Iranische Akteure haben es auf Mitglieder ausländischer Regierungen, Militärs und Unternehmen sowie auf politische Dissidenten abgesehen. Bei ihren Operationen scheinen viele der untersuchten „Einflussprinzipien“ zum Einsatz zu kommen und sie überschneiden sich mit Rekrutierungspraktiken der Human Intelligence (HUMINT), die beide Einfluss auf die Methoden des Social Engineering haben.

Untersuchungen zu den strategischen und taktischen Ansätzen der iranischen Regierung im offensiven und defensiven „weichen Krieg“ legen zudem nahe, dass Social Engineering ein unverzichtbares Element der Cyber-Fähigkeiten der Regierung ist, auf das sie sich seit mindestens einem Jahrzehnt verlässt. Teheran betrachtet die Fähigkeit einer ausländischen Macht, einen inneren Aufruhr zu schüren, als ebenso gefährlich wie einen militärischen Angriff auf sein Territorium. Ebenso verfügt das Land über die Fähigkeit, auf internationaler Ebene soziale Unruhen zu schüren und damit seine vermeintlichen Feinde anzugreifen. Durch das Verstehen und Analysieren fremder Gesellschaften, Sprachen, Kulturen und politischer Systeme war Teheran in der Lage, Social Engineering auf eine Weise einzusetzen, die mit den Methoden russischer Bedrohungsgruppen vergleichbar ist. 

Groß angelegte Social-Engineering-Kampagnen wurden überwiegend von APT35, Tortoiseshell und APT34 sowie den dazugehörigen Untergruppen durchgeführt. Zwar stehen ihre Operationen denen anderer Advanced Persistent Threat Groups (APTs) in nichts nach, doch weisen diese drei mit dem Iran in Verbindung stehenden Gruppen erhebliche Überschneidungen bei der Vorgehensweise auf, mit der sie ihre Opfer angreifen. Dazu gehören der Einsatz charismatischer Sockenpuppen, die Verlockung potenzieller Jobchancen, die Anwerbung durch Journalisten und die Tarnung als Think-Tank-Experten auf der Suche nach Meinungen. Dies sind nur einige der Identitäten, die diese drei iranischen APTs weiterhin verwenden, seit im Jahr 2014 die erste große Enthüllung über iranisches Social Engineering – Operation Newscaster – öffentlich bekannt wurde. 

Wichtige Urteile

• Der Einsatz von Social Engineering ist ein zentraler Bestandteil der Vorgehensweise iranischer APTs bei Cyber-Spionage und Informationsoperationen. Iranische APTs werden ihre Methoden weiterhin modifizieren und beispielsweise Phishing, Spoofing, Smishing und andere Techniken einsetzen, um ihre Opfer ins Visier zu nehmen.
• Mehrere iranische Bedrohungsaktivitätsgruppen nutzen Social Engineering. APT35, APT34 und Tortoiseshell gehören nach wie vor zu den ersten und aggressivsten Anwendern von Social Engineering zur Unterstützung ihrer Eindringversuche oder des Diebstahls von Anmeldeinformationen. Wir gehen davon aus, dass diese Gruppen auch in Zukunft ihre Angriffe mithilfe von Social-Engineering-Techniken durchführen werden.
• Die Muster der iranischen Social-Engineering-Angriffe lassen darauf schließen, dass sie darauf abzielen, die Ziele auf mehrere Plattformen zu lenken. Dadurch wird die Angriffsfläche vergrößert, da E-Mail, soziale Medien und Chat-Messenger als Angriffsvektoren genutzt werden. Schädliche Dokumente und Anwendungen werden weiterhin über Eins-zu-Eins-Sockenpuppen-Interaktionen mit ihren Zielen verbreitet.
• Bei den verschiedenen gemeldeten Social-Engineering-Angriffen im Iran werden ähnliche Vorgehensweisen verfolgt, darunter Rekrutierungsangebote, Angebote zur Anwerbung von Zielpersonen für journalistische Zwecke oder politische Analysen, romantische Verlobungen und angeblicher Aktivismus gegen die Regierung. 
• Der Einsatz von Fremdsprachen sowie Kenntnisse über fremde Gesellschaften und Kulturen werden bei gezielten Social-Engineering-Angriffen auch weiterhin eine zentrale Rolle spielen. Iranische APTs verbessern ihre Kenntnisse wichtiger Sprachen wie Englisch und wichtiger europäischer, nahöstlicher und südasiatischer Sprachen.

Hintergrund

Der Anstieg des iranischen Social Engineering lässt sich auf iranische Hackerforen zurückführen. Viele dieser Foren enthalten Unterthemen zu den Techniken, die erforderlich sind, um ahnungslose Opfer ins Visier zu nehmen. Zu den frühesten Beispielen gehört das „Simorgh Security Team“, das als eines der ersten Teams Social Engineering von anderen Hacking-Disziplinen abgrenzte. Mitglieder dieser Gruppe behaupteten, ein Social Engineer müsse überzeugend und wortgewandt sein und über ausgeprägte analytische Fähigkeiten sowie Kenntnisse zur Informationsbeschaffung verfügen.

Social Engineering, ein Bestandteil der defensiven und offensiven Cyberfähigkeiten des Iran, der in der regierungsfreundlichen iranischen Cyberdoktrin verankert ist, lässt sich auf institutionalisierte Ideologien wie den „ weichen Krieg“ (جنگ نرم) zurückführen. Das Konzept des sanften Krieges wurde bereits 2010 geprägt und zielt darauf ab, Subversion oder politische, religiöse, wirtschaftliche und kulturelle Ideale zu bekämpfen, die zur Destabilisierung und zum Untergang der Islamischen Republik führen könnten. Diese Ziele werden wahrscheinlich durch Netzwerke vertrauenswürdiger Experten erreicht, die tief in den iranischen Militär- und Geheimdienstorganisationen verwurzelt sind. 

So erkannte etwa der Kommandeur des Korps der Islamischen Revolutionsgarde (IRGC) in der Provinz Kerman (Sarullah-Korps) die Rolle der repatriierten iranischen „Eliten“ bei der Bekämpfung feindlicher Einflussnahme und Desinformationskampagnen an und bezeichnete sie als Schlüssel im Kampf gegen „den unverhältnismäßigen sanften Krieg und die psychologischen Operationen (PSYOPS) des Feindes“. Mit „Eliten“ sind in diesem Zusammenhang hochgebildete Iraner gemeint, die dem Regime nahestehen und denen aufgetragen wurde, im Ausland nach Ausbildungsmöglichkeiten und Arbeitsmöglichkeiten zu suchen.

Die IRGC und ihre Hilfstruppe, die Basij, sowie das Ministerium für Nachrichtendienste und Sicherheit (MOIS) haben ihre Rolle vor Ort im Kampf gegen den sanften Krieg seit 2010 gefestigt. Sie haben mehrere Operationsbasen eingerichtet, die zumindest dem Namen nach dem sanften Krieg gewidmet sind, wie etwa die soziale und kulturelle Basis Baqiatallah al-Azam (قرارگاه بقیةالله الاعظم). An der Spitze der Baqiatallah-Basis steht derzeit der ehemalige Kommandeur der IRGC, General Mohammad Ali Jafari, der im November 2021 diesbezüglich behauptete, dass die Feinde der Islamischen Republik darauf abzielten, diese zu zerstören und dass „sanfte, kulturelle und mediale Kriege“ schwerer zu führen seien als ein kinetischer Krieg. 

Open-Source- Analysen haben auf die Wahrnehmung strategischer Bedrohungen durch Teheran in diesem Bereich hingewiesen. Der Iran betrachtete Social-Media-Plattformen bereits 2010 als „Elemente einer Bedrohung durch den Cyberkrieg … insbesondere in der Art und Weise, wie im Internet Gerüchte verbreitet werden, um im eigenen Land Zwietracht zu säen“. Zuvor hatte der Iran im Zuge der Grünen Bewegung im Jahr 2009 selbst Drohungen gegen das Establishment ausgesprochen. Der Iran hat bewiesen, dass er gemeinsam mit den anderen vier großen verfeindeten Nationen (Russland, China und in geringerem Maße Nordkorea) dieselbe Drohkulisse strategisch gegen seine Gegner einsetzen kann, darunter auch gegen die US-Regierung.

In operativer Hinsicht legt der iranische Social Engineering großen Wert auf die Verwendung fremder Sprachen und Kulturen, um Angriffs- und Verteidigungskampagnen gegen inländische Feinde durchzuführen. Dazu zählen antirevolutionäre Fronten wie die Volksmudschahedin (MEK) und der Nationale Widerstandsrat Iran (NCRI) sowie Länder, die der Iran als seine Gegner ansieht: die USA, Großbritannien, Israel und Saudi-Arabien. Regierungsfreundliche Akteure kennen sich in feindseligen Gesellschaften und Kulturen gut genug aus, um sie nachzuahmen. Diese Fähigkeit manifestiert sich – ob erfolgreich oder nicht – in Informationsoperationen, psychologischen Operationen und Cyberangriffen.

Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.