HackerangriffeSchwachstellenCyberkriminalität

Iranische Geheimdienste hinter Hack des LA-Verkehrssystems – Warnung für deutsche Infrastruktur

Von CyberDeutsch Redaktion
Iranische Geheimdienste hinter Hack des LA-Verkehrssystems – Warnung für deutsche Infrastruktur
Zusammenfassung

Der iranische Geheimdienst steht hinter einem großangelegten Cyberangriff auf das öffentliche Verkehrssystem von Los Angeles, wie Sicherheitsforscher der israelischen Firma Gambit Security nachgewiesen haben. Die Hacker gaben sich als unabhängige Aktivisten aus, waren aber tatsächlich für Irans Ministerium für Geheimdienste tätig. Im März dieses Jahres drangen sie in das System der Los Angeles County Metropolitan Transportation Authority ein, exfiltrierten sensible Daten und zerstörten kritische Infrastruktur gezielt. Die Angreifer nutzten dabei eine bemerkenswert effektive Methode: Sie löschten Datenbanken, virtuelle Maschinen und Speichervolumen sowohl automatisiert als auch durch manuelle Eingriffe, um eine Wiederherstellung unmöglich zu machen. Neben den amerikanischen Zielen trafen die Angriffe auch Organisationen in Israel, der Türkei und Saudi-Arabien. Der Fall ist besonders besorgniserregend, weil er zeigt, wie schnell und skaliertbar staatliche Hacker heute destruktive Kampagnen durchführen können. Für deutsche Unternehmen und Infrastrukturanbieter bedeutet dies eine erhöhte Bedrohung: Kritische Systeme im Verkehr, Energie und Telekommunikation könnten ähnliche Ziele sein, zumal der Irans technische Fähigkeiten kontinuierlich verbessert werden.

Die israelische Sicherheitsfirma Gambit Security präsentierte am Dienstag Forschungsergebnisse, die die Hacktivist-Gruppe „Ababil of Minab” direkt mit dem iranischen Geheimdienst MOIS verbinden. Die Gruppe hatte den Angriff auf das LACMTA-Verkehrssystem selbst gestanden und behauptete, Daten exfiltriert und die Infrastruktur zerstört zu haben. Gambit-Forscher identifizierten forensische Hinweise, die „Ababil of Minab” mit früheren Iran-gestützten Hackerangriffen verknüpfen – Anschläge, die Israels National Cyber Directorate bereits dem iranischen Geheimdienst zugeordnet hat.

Das besonders Bemerkenswerte: Die neuen Taktiken. Die Angreifer wenden ein Playbook an, das mehrere Schichten durchdringt – Virtualisierung, Speicherinfrastruktur und Backup-Systeme. Sie löschen nicht nur Daten, sondern sabotieren auch die Wiederherstellungsmöglichkeiten durch automatisierte Scripts und manuelle Eingriffe. Ein Sicherheitsexperte hätte früher diese Kompetenzen benötigt; heute kollabiert die erforderliche Expertise parallel zur wachsenden Verfügbarkeit künstlicher Intelligenz.

Die Forscher identifizierten mehrere weitere Opfer: eine israelische Medienorganisation, eine israelische Universität, ein türkisches Versicherungsmaklerhaus, Institutionen in Saudi-Arabien sowie Websites aus Restaurant-, Kultur-, Digital-Service- und Nachrichtenbranche. Das Ausmaß der Kampagne ist damit erheblich größer als initial bekannt.

Dies ist nicht das erste Mal, dass MOIS-gestützte Gruppen als unabhängige Aktivisten auftreten. Nach dem Cyberangriff auf den Medizingeräte-Hersteller Stryker im März beanspruchte eine Gruppe namens „Handala” die Verantwortung. Das US-Justizministerium und Experten bestätigten später: Handala wird von MOIS finanziert und gesteuert. Der Stryker-Angriff lähmte das Unternehmen durch Löschung von Mitarbeiterdaten und Systemen.

Für deutsche Sicherheitsverantwortliche sind diese Erkenntnisse ein Weckruf. Die Kombination aus staatlicher Akteur-Tätigung, strategischer Zerstörung kritischer Infrastruktur und absichtlicher Verschleierung der Verantwortlichkeit entspricht einem neuen Eskalationsmuster. Das BSI sollte deutsche Betreiber kritischer Infrastruktur warnen und Richtlinien zur Sicherung von Virtualisierungs- und Backup-Systemen aktualisieren. Die Bundesregierung ist aufgefordert, derartige Operationen intensiver zu überwachen und im diplomatischen Kontext zu adressieren.

Ähnliche Artikel