Nach Angaben des FBI nutzen die iranischen Hacker Social Engineering, um Windows-Malware auf den Geräten ihrer Opfer zu platzieren. Ist ein Rechner kompromittiert, können die Angreifer Screenshots und Dateien abgreifen. Das Ergebnis sei laut Behörde Informationsbeschaffung, Datenlecks und Rufschädigung der betroffenen Personen und Organisationen gewesen.

“Aufgrund des angespannten geopolitischen Klimas im Nahen Osten und des aktuellen Konflikts hebt das FBI diese MOIS-Cyberaktivität hervor”, erklärte die Behörde. Man veröffentliche die Informationen, um das Bewusstsein für böswillige iranische Cyberaktivitäten zu schärfen und Strategien zur Risikominderung bereitzustellen.

Die Warnung erschien einen Tag, nachdem das FBI vier Domains beschlagnahmt hatte: handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org und karmabelow80[.]org. Die über diese Clearnet-Domains erreichbaren Websites wurden von den Gruppen Handala und Homeland Justice sowie von einem dritten, als Karma Below geführten Akteur genutzt, um bei Angriffen erbeutete Dokumente und Daten zu veröffentlichen. Betroffen waren Opfer in den USA und weltweit.

Vorausgegangen war ein Cyberangriff von Handala auf den US-Medizintechnikkonzern Stryker. Dabei setzten die Angreifer rund 80.000 Geräte auf Werkseinstellungen zurück – darunter persönliche Computer von Mitarbeitern und vom Unternehmen verwaltete Mobilgeräte. Sie nutzten dafür den Wipe-Befehl von Microsoft Intune, nachdem sie zuvor ein Windows-Domänenadministratorkonto kompromittiert und ein neues Konto mit Global-Administrator-Rechten angelegt hatten.

Bereits in der vergangenen Woche hatte das FBI vor einer anderen Bedrohung gewarnt: Mit russischen Nachrichtendiensten verbundene Akteure nehmen demnach Nutzer von Signal und WhatsApp in Phishing-Kampagnen ins Visier und haben dabei nach Behördenangaben bereits Tausende Konten kompromittiert. “Die Aktivität richtet sich gegen Personen von hohem nachrichtendienstlichem Wert, etwa aktuelle und ehemalige US-Regierungsvertreter, Militärangehörige, politische Persönlichkeiten und Journalisten”, erklärte das FBI in einer öffentlichen Mitteilung. Diese folgte auf Beschreibungen ähnlicher Konto-Übernahmen durch niederländische und französische Cybersicherheitsbehörden.