Nach dem US-israelischen Luftangriff auf Iran reagieren pro-iranische Hacker mit einer koordinierten Cyberangriffskampagne. DDoS-Attacken, Infrastrukturangriffe und Datenbeschlagnahmen richten sich gegen Israel, die USA und verbündete Länder.
Die Auswirkungen des US-israelischen Militärangriffs auf den Iran sind bereits im Cyberspace zu spüren. Sicherheitsforscher dokumentieren eine massive Antwort durch verschiedene pro-iranische und pro-russische Hackergruppen, die mit verteilten Denial-of-Service-Attacken (DDoS), Angriffen auf kritische Infrastruktur und Netzwerkeinbrüchen zu enormem physischem, reputationärem und finanziellem Schaden anstreben.
Nachdem die USA und Israel am Samstag eine Militäraktion in Iran durchführten und dabei den obersten Anführer Ayatollah Ali Khamenei sowie weitere Regierungsbeamte töteten, reagierte der Iran mit militärischen und Cyberoperationen. Im digitalen Raum verfügt das Land über deutlich mehr Einflussmöglichkeiten als auf dem Schlachtfeld.
US-Behörden rechnen mit einer erheblichen Cyberangriffsantwort durch die zahlreichen pro-iranischen Hackergruppen, die bereits in Cyberespionage und Cybersabotage aktiv sind. Diese stammen aus dem Umfeld der Iranischen Revolutionsgarden (IRGC) und des Ministeriums für Nachrichtendienste und Sicherheit (MOIS), ergänzt durch Hacktivist-Gruppen mit pro-iranischer Gesinnung.
Forschungsteams von Check Point, Flashpoint, Palo Alto Networks Unit 42 und Cisco Talos dokumentieren bereits eine Koordination pro-iranischer und pro-russischer Akteure unter der Kampagne “#OpIsrael”. Diese konzentriert sich auf kritische Infrastruktur und Datenabzug. Verschiedene Hacktivist-Gruppen haben zusätzlich Einzelziele angegriffen, um gegen die Militäraktion zu protestieren und wirtschaftliche Verluste des Iran auszugleichen.
Laut einem Bericht von Flashpoint hat die IRGC die Energiebranche ins Visier genommen. Ziele waren die Aramco-Anlage Ras Tanura in Saudi-Arabien und ein Amazon-Web-Services-Rechenzentrum in den Vereinigten Arabischen Emiraten – beide Länder beherbergen US-Militärbasen. Iran scheint darauf abzuzielen, durch Cyberoperationen maximalen wirtschaftlichen Schaden und Infrastrukturstörungen weltweit zu verursachen – eine Reaktion auf militärische Verluste und ein Zeichen für “schwerwiegende wirtschaftliche Kriegsführung mit erhöhtem Risiko für die globale Energieversorgung”, wie Flashpoint analysiert.
Check Point Research identifiziert ein breites Spektrum von Operationszielen: Spionage zur Geheimdienstgewinnung, Störungs- und Zerstörungsaktivitäten einschließlich DDoS-Attacken, Pseudoransomware und Data-Wiper-Malware zur Kostenaufzwingung, sowie Informationsoperationen, die destruktive Aktivitäten mit koordinierter Online-Verstärkung verbinden. Die Forscher erwarten eine Intensivierung und Verbreiterung der Angriffe auf die USA und verbündete Länder.
Die Cotton-Sandstorm-Gruppe (auch bekannt als Emennet Pasargad, IRGC-nahestehend) belebte ihre alte Cyberidentität Altoufan Team wieder, die über ein Jahr inaktiv war. Die Gruppe zielt jetzt auf neue Ziele in Bahrain ab, wo sich US-Militärbasen befinden.
Die FAD-Team (Irans Resistance Hub) führte globale SQL-Injection-Kampagnen durch und exfiltrierte persönliche Daten von US Air Force-Gruppen sowie Bildungseinrichtungen in Frankreich, Indien und Vietnam. Die Gruppe beanspruchte zudem Kontrolle über Netzwerk-Überwachungs-Dashboards in Mekka, Medina und Saudi-Arabien, deaktivierte die Bahrain News Agency und startete DDoS-Angriffe gegen Gasco und Qatar Radio.
Die Hacktivist-Persona Handala Hack, mit Verbindungen zum iranischen MOIS, kombiniert Datenabzug mit Cyberoperationen gegen Israels politische und Verteidigungsinfrastruktur. Die Gruppe beanspruchte die Kompromittierung eines israelischen Energieexplorationsunternehmens und des Treibstoffsystems Jordaniens.
Das pro-iranische Kollektiv Cyber Islamic Resistance koordiniert mehrere Hacktivist-Teams und startete synchronisierte DDoS-Attacken, Datenlöschoperationen und Website-Verunstaltungen gegen israelische und westliche Infrastruktur. Bisher beanspruchte die Gruppe die Kompromittierung eines israelischen Drohnenabwehr- und Erkennungssystems sowie israelischer Zahlungsinfrastruktur.
Auch pro-palästinensische Gruppen wie Dark Storm Team und pro-russische Hacktivist-Gruppen wie die Cardinal-Gruppe und NoName057(16) führen koordinierte Cyberoperationen durch. NoName057(16) arbeitet in einer Partnerschaft mit der Cyber Islamic Resistance und startete DDoS-Angriffe gegen den israelischen Rüstungskonzern Elbit Systems sowie Kommunalverwaltungen.
Sicherheitsforscher warnen: Organisationen, Infrastrukturbetreiber und Einzelpersonen werden in den kommenden Wochen und Monaten beide Formen von Angriffen – physisch und digital – zu spüren bekommen. Check Point empfiehlt maximale Sicherheitsprotokolle und Vorbereitung auf hybride physisch-zu-cyber-Angriffe, mit Fokus auf sichere Drittpartner und Kundenverbindungen im Nahosten mit Netzwerkanbindungen zu US-Unternehmen.
Allgemein sollten alle Organisationen solide Sicherheitspraktiken umsetzen: Multifaktor-Authentifizierung aktivieren, Vorsicht bei verdächtigen Links und Dokumenten walten lassen und umfassende Überwachung zur schnellen Reaktion auf entstehende Probleme implementieren.
Quelle: Dark Reading