HackerangriffeSchwachstellenCyberkriminalität

Iranische Hacker brechen in FBI-Chef ein und zerstören Daten bei US-Konzern Stryker

Iranische Hacker brechen in FBI-Chef ein und zerstören Daten bei US-Konzern Stryker
Zusammenfassung

Die iranischen Geheimdienste haben ihre Cyber-Offensive gegen westliche Ziele deutlich intensiviert: Die dem iranischen Geheimdienst MOIS zugeordnete Hackergruppe Handala Hack ist nicht nur in das persönliche E-Mail-Konto von FBI-Direktor Kash Patel eingedrungen und hat historische E-Mails aus den Jahren 2010 und 2019 veröffentlicht, sondern führte auch einen zerstörerischen Wiper-Angriff auf den Medizintechnik-Konzern Stryker durch – der erste bestätigte Fall, bei dem eine US-amerikanische Fortune-500-Unternehmen durch solche destruktiven Operationen lahmgelegt wurde. Die Angreifer nutzten dabei gezielt Phishing und kompromittierte Administrative-Zugänge zu Microsoft Intune, um tausende Mitarbeitergeräte zu löschen. Diese Entwicklung hat massive Konsequenzen für Deutschland: Auch hiesige Unternehmen, insbesondere in der Medizin-, Energie- und IT-Branche, könnten zum Ziel werden, da die MOIS-Akteure systematisch Zulieferer und kritische Infrastruktur ins Visier nehmen. Deutsche Behörden und Unternehmen sollten dringend ihre Sicherheitsmaßnahmen überprüfen, insbesondere Multi-Faktor-Authentifizierung forcieren und administrative Zugänge strenger kontrollieren – der Konflikt im Nahen Osten macht auch deutsche Netzwerke zur potenziellen Zielscheibe.

Die Gruppe Handala Hack wird von Sicherheitsexperten dem iranischen Geheimdienst MOIS (Ministry of Intelligence and Security) zugeordnet. Sie operiert unter mehreren Namen wie Banished Kitten, Cobalt Mystique, Red Sandstorm und Void Manticore. Das Leck mit Patel’s E-Mails aus den Jahren 2010 und 2019 ist nach Aussage des FBI historisch und enthält keine aktuellen Regierungsinformationen – dennoch signalisiert der Angriff beachtliche technische Fähigkeiten der Gruppe.

Der Fall Stryker offenbart das Ausmaß der destruktiven Operationen: Handala Hack löschte große Datenmengen und wischte tausende Geräte von Mitarbeitern. Das Unternehmen bestätigte, dass der Angriff auf seine interne Microsoft-Umgebung begrenzt blieb und bereits behoben wurde. Die Persistenzmechanismen wurden entfernt. Besonders bemerkenswert ist die Methodik: Die Angreifer exploitierten Identitäten durch Phishing und erlangten administrative Zugriffe mittels Microsoft Intune. Kompromittierte Zugangsdaten aus Infostealern dürften eine Rolle gespielt haben.

Handala nutzt typischerweise RDP für laterale Bewegungen und setzt Wiper-Malware-Familien wie Handala Wiper und Handala PowerShell Wiper durch Group Policy Logon Scripts ein. Zusätzlich werden legitime Tools wie VeraCrypt verwendet, um Wiederherstellungsbemühungen zu erschweren. Im Gegensatz zu rein kriminellen Gruppen verfolgt Handala laut Analysten von Flashpoint primär Ziele der Disruption und des geopolitischen Signals – Operationen fallen oft mit Phasen erhöhter geopolitischer Spannungen zusammen.

Die USA reagierten mit Domänen-Beschlagnahmen: Vier MOIS-Domains wurden seit 2022 registriert und sind nun offline. Das US-Justizministerium bot 10 Millionen Dollar für Informationen über Gruppenmitglieder. Handala tauchte bereits auf einer neuen Domain auf und beschrieb die Maßnahmen als “verzweifelte Versuche, Handala zum Schweigen zu bringen”.

Sicherheitsexperten warnen vor einer gefährlichen Verschiebung: Staatlich verknüpfte Cyber-Operationen gegen kritische Lieferanten können Kaskadeneffekte durch ganze Ökosysteme haben. Microsoft und CISA gaben Härtungsrichtlinien heraus, darunter das Prinzip der minimalen Berechtigung, phishing-resistente Multi-Faktor-Authentifizierung und Multi-Admin-Genehmigung in Intune.

Deutsche Unternehmen im Gesundheitswesen und kritischen Infrastrukturen sollten diese Entwicklungen ernst nehmen und ihre Sicherheitsmaßnahmen überprüfen – insbesondere bezüglich VPN-Sicherheit, E-Mail-Härtung und Microsoft-Umgebungen.

Ähnliche Artikel