HackerangriffeCyberkriminalitätSchwachstellen

Iranische Regierung hinter LA-Metro-Cyberangriff: Sicherheitsforscher enthüllen staatliche Verbindungen

Von CyberDeutsch Redaktion
Iranische Regierung hinter LA-Metro-Cyberangriff: Sicherheitsforscher enthüllen staatliche Verbindungen
Zusammenfassung

Die Los Angeles County Metropolitan Transportation Authority (LA Metro) wurde im März Opfer eines massiven Cyberangriffs, der zunächst von der Hackergruppe „Ababil of Minab" für sich beansprucht wurde. Forensische Analysen der israelischen Cybersicherheitsfirma Gambit haben jedoch gezeigt, dass die Angreifer Infrastruktur nutzten, die eindeutig mit der iranischen Regierung verbunden ist – speziell mit der iranischen Geheimpolizei und einer Gruppe namens Black Shadow. Der Angriff führte zu erheblichen Beeinträchtigungen des Verwaltungsbetriebs bei LA Metro und resultierte in der Exfiltration von über einem Terabyte Daten sowie der Löschung von Hunderten Terabyte an Informationen. Besonders besorgniserregend ist, dass die Angreifer Zugriff auf kritische Systeme hatten, einschließlich Operationstechnik-Systemen zur Eisenbahnüberwachung. Für Deutschland und europäische Länder ist dieser Fall relevant, da er zeigt, wie staatliche Akteure infrastrukturkritische Systeme über verdeckte Hacktivist-Gruppen angreifen. Deutsche Verkehrsbetriebe, Behörden und kritische Infrastruktur-Betreiber müssen ihre Abwehrmechanismen verstärken, um sich vor ähnlichen geostrategisch motivierten Cyberangriffen zu schützen.

Die israelische Cybersicherheitsfirma Gambit hat in ihrer Analyse überzeugend nachgewiesen, dass hinter Ababil of Minab keine eigenständige Hackergruppe steckt, sondern dass die Operationen mit Black Shadow verknüpft sind – einer Gruppe, die das israelische National Cyber Directorate bereits dem iranischen Geheimdienst (Ministry of Intelligence and Security) zugeordnet hat.

Der Angriff auf die Los Angeles County Metropolitan Transportation Authority (LACMTA) wurde Mitte März entdeckt. Die Hacker infiltrierten hunderte von Servern, löschten Hunderte Terabyte an Daten und exfiltrierten mehr als ein Terabyte Dateien. Die Auswirkungen waren erheblich: LA Metro musste alle betroffenen Server vor deren Wiederinbetriebnahme auf Kompromittierungszeichen überprüfen. Dankbar war immerhin, dass Schienen- und Busverkehr nicht unmittelbar beeinträchtigt wurden.

Die Tiefe des Zugriffs ist bemerkenswert. Die Angreifer demonstrierten Zugang zu Kern-Virtualisierungsmanagement-Plattformen, Microsoft IIS Web-Servern mit internen und öffentlichen Assets sowie zu Operational Technology (OT)-Systemen zur Zugüberwachung. Dies unterstreicht die kritische Verwundbarkeit von Transportsystemen gegenüber hochqualifizierten staatlichen Akteuren.

Gamebits Forensik-Analyse verband die Operationen mit Infrastruktur und Aktivitätsmustern von Black Shadow. Dies ist nicht das erste Opfer dieser Kampagne: Die Forscher dokumentierten Angriffe gegen Organisationen in den USA, Israel, Saudi-Arabien und der Türkei. Die Ziele umfassten israelische Medienunternehmen, Bildungsinstitutionen, türkische Versicherungsmakler sowie Websites aus Restaurant-, Kultur-, Digital-Service- und Nachrichtensektoren.

Für deutsche Organisationen liegt die Botschaft klar: Staatlich unterstützte Cyberangreifer operieren global und zielgerichtet. Kritische Infrastruktur – Verkehr, Energie, Telekommunikation – steht im Fokus. Das BSI empfiehlt verstärkte Netzwerksegmentierung, kontinuierliche Überwachung und Incident-Response-Planung. Unternehmen sollten zudem ihre Supply-Chain-Sicherheit überprüfen, da solche Angreifer oft über Zulieferer eindringen.

Die Verbindung zwischen vermeintlichen Hacktivisten und staatlichen Akteuren zeigt auch die Notwendigkeit für Behörden und Unternehmen, Cyberangriffe nicht isoliert zu betrachten, sondern in geopolitischen Kontexten. Europa und Deutschland müssen ihre Cyber-Resilienz weiter stärken und internationale Zusammenarbeit zur Attribution und Abschreckung intensivieren.

Ähnliche Artikel