SchwachstellenHackerangriffeIoT-Sicherheit

Iranische Hacker greifen US-Infrastruktur an: Neue Welle von PLC-Attacken

Iranische Hacker greifen US-Infrastruktur an: Neue Welle von PLC-Attacken
Zusammenfassung

Iranische Hackergruppen führen derzeit koordinierte Cyberanschläge auf kritische Infrastrukturen in den USA durch und nutzen dabei gezielte Angriffe auf internetexponierte Steuerungsgeräte wie speicherprogrammierbare Steuerungen (SPS). US-amerikanische Sicherheitsbehörden wie das FBI und nationale Geheimdienste warnen vor dieser Kampagne, die als Reaktion auf den Konflikt zwischen dem Iran, den USA und Israel eskaliert. Die Angreifer infiltrieren gezielt Rockwell Automation und Allen-Bradley PLCs in Regierungseinrichtungen, Wasser- und Abwassersystemen sowie im Energiesektor, manipulieren Projektdateien und beeinträchtigen die Funktionsfähigkeit der Systeme erheblich. Auch deutsche Unternehmen und Behörden sollten diese Entwicklung ernst nehmen: Mit ihren fortschrittlichen Technologien in Automatisierung und Infrastrukturmanagement sind deutsche Firmen sowie kritische Infrastrukturen wie Energieversorger und Wasserwerke potenziell attraktive Ziele. Die zunehmend verfeinerten Techniken iranischer Akteure – einschließlich der Nutzung von Kryptowährungsblockchains für Command-and-Control und der Integration kommerzieller krimineller Tools – erfordern verstärkte Cybersicherheitsmaßnahmen und internationale Wachsamkeit in Deutschland.

Das FBI und weitere US-Sicherheitsbehörden warnen vor einer koordinierten Angriffskampagne, die das Potenzial hat, kritische Infrastrukturen massiv zu beeinträchtigen. Die iranischen Akteure nutzen eine dreistufige Attackmethodik: Sie exploitieren Internet-erreichbare PLCs, etablieren Remote-Access-Kanäle und manipulieren dann die Steuerungssysteme von innen heraus.

Die bevorzugte Methode der Angreifer ist dabei bemerkenswert: Sie nutzen leased Infrastructure und Rockwell Automation’s Studio 5000 Logix Designer Software, um sich mit den Zielgeräten zu verbinden. Nach erfolgreicher Infiltration deployen sie Dropbear, eine SSH-Software, um dauerhaften Remote-Zugriff über Port 22 zu ermöglichen. Dies erlaubt ihnen, Projektdateien zu extrahieren und kritische Daten auf HMI- und SCADA-Displays zu manipulieren.

Historisch ist dies keine neue Taktik: Bereits 2023 attackierte die Gruppe Cyber Av3ngers (auch als Hydro Kitten bekannt) Unitronics-PLCs und kompromittierte dabei mindestens 75 Geräte in der pennsylvanischen Wasserversorgung. Die aktuelle Kampagne zeigt jedoch ein deutlich aggressiveres Vorgehen mit breiterer geografischer Streuung.

Besonders bemerkenswert ist die organisatorische Struktur hinter diesen Angriffen: Sicherheitsforscher identifizieren ein “koordiniertes Cyber-Ökosystem”, das vom iranischen Geheimdienst (MOIS) gesteuert wird. Gruppen wie “Homeland Justice”, “Karma” und “Handala Hack” funktionieren demnach nicht als unabhängige Hacktivist-Gruppen, sondern als Operationsfassaden einer einzigen, zentral kontrollierten Struktur. Sie nutzen öffentliche Telegram-Kanäle gleichzeitig für Propaganda und Command-and-Control-Operationen.

Besonders problematisch: Iranische Akteure wie MuddyWater integrieren nun russische Malware-as-a-Service-Plattformen in ihre Operationen. Das JavaScript-basierte Malware ChainShell arbeitet dabei über Smart Contracts auf der Ethereum-Blockchain, um C2-Server zu lokalisieren. Parallel wird die Botnet-Malware Tsundere eingesetzt.

Zur Abwehr empfehlen die Behörden: PLCs sollten niemals direkt dem Internet ausgesetzt sein, Multi-Faktor-Authentifizierung ist essentiell, und Firewalls müssen den Netzwerkzugriff streng kontrollieren. Deutsche Organisationen sollten ihre OT-Netzwerke dringend überprüfen, besonders wenn sie Rockwell-Systeme betreiben.

Ähnliche Artikel