MalwareHackerangriffeCyberkriminalität

FBI warnt vor iranischen Handala-Hackern: Telegram als Waffe im Cyberkrieg

FBI warnt vor iranischen Handala-Hackern: Telegram als Waffe im Cyberkrieg
Zusammenfassung

Das FBI warnt vor einer neuen Bedrohungswelle: Iranische Hacker, die der iranischen Geheimdienstbehörde MOIS nahestehen, nutzen Telegram als Kommando- und Kontrollzentrum für Malware-Angriffe. Die sogenannte Handala-Hackergruppe und die iranische Homeland Justice-Gruppe, verbunden mit der Revolutionsgarde IRGC, visieren Journalisten, iranische Regimekritiker und oppositionelle Gruppen weltweit ins Visier. Ihre Methode ist bemerkenswert simpel, aber wirksam: Social Engineering wird genutzt, um Windows-Malware auf den Geräten der Opfer einzuschleusen, die anschließend Bildschirmfotos und Dateien abgreifen. Das FBI beschlagnahmte daraufhin vier Domains, auf denen die Gruppen ihre erbeuteten Daten veröffentlichten. Besondere Aufmerksamkeit erregte ein Angriff auf den US-amerikanischen Medizintechnik-Konzern Stryker, bei dem etwa 80.000 Geräte sabotiert wurden. Für deutsche Nutzer, Unternehmen und Behörden ist diese Warnung hochrelevant: Die Taktiken iranischer Akteure unterscheiden sich nicht nach Geografie, und die Nutzung von Telegram als C2-Infrastruktur unterläuft viele herkömmliche Sicherheitstools. Besonders Organisationen mit kritischer Infrastruktur und Regierungseinrichtungen sollten ihre Sicherheitsvorkehrungen überprüfen.

Das FBI hat in einer am Freitag veröffentlichten Blitzwarnung detailliert vor der Bedrohung durch iranische Cyberkriminelle gewarnt. Die Operationen zielen darauf ab, sensible Daten zu sammeln, Sicherheitsverletzungen hervorzurufen und den Ruf der Ziele zu beschädigen. Die Behörde betont, dass die Veröffentlichung dieser Informationen dazu dient, das Bewusstsein für iranische Cyber-Aktivitäten zu schärfen und Abwehrmaßnahmen bereitzustellen.

Zum Zeitpunkt der Warnung hatte das FBI bereits vier Domains beschlagnahmt, die als Plattformen für Datenlecks dienten: handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org und karmabelow80[.]org. Diese Websites wurden von Handala, Homeland Justice und einer dritten Bedrohungsgruppe namens Karma Below genutzt, um gestohlene Daten aus Angriffen auf Ziele in den USA und weltweit zu veröffentlichen.

Ein besonders prominentes Opfer war der Medizintechnik-Konzern Stryker. Die Angreifer verschafften sich Zugang durch einen kompromittierten Windows-Domain-Administrator-Account und erstellten anschließend ein neues Global-Administrator-Konto. Damit konnten sie etwa 80.000 Geräte — einschließlich privater Computer und mobiler Geräte von Mitarbeitern — per Microsoft-Intune-Befehl komplett zurücksetzen.

Die Warnung steht im Kontext einer wachsenden Eskalation iranischer Cyber-Operationen. Parallel warnte das FBI auch vor russischen Geheimdienstakteuren, die Signal- und WhatsApp-Nutzer durch Phishing-Kampagnen ins Visier nehmen. Diese Angriffe zielten auf Personen mit hohem Geheimdienst-Wert: Regierungsbeamte, Militärs, Politiker und Journalisten.

Für deutsche Organisationen und Privatpersonen ergibt sich aus diesen Warnungen eine wichtige Lehre: Messaging-Plattformen sollten nicht als sichere Kanäle für sensible Kommunikation betrachtet werden, und Social-Engineering-Taktiken werden kontinuierlich verfeinert. Unternehmen sollten ihre Administrator-Konten besonders schützen, Multi-Faktor-Authentifizierung erzwingen und Mitarbeiter geschult werden, um verdächtige Kontaktversuche zu erkennen.

Ähnliche Artikel