Die Geschichte von Ashiyane: Irans erstes Sicherheitsforum

Anmerkung zum Umfang*: Recorded Future führte Recherchen zur Entwicklung des Ashiyane-Forums durch, dem ersten und größten Sicherheitsforum im Iran. Zu den Quellen dieser Forschung gehören die Recorded FutureⓇ Plattform, direkte Interaktionen in Foren, Recherchen in öffentlich zugänglichen Quellen und Interviews mit einem ehemaligen iranischen Hacker, der angibt, über Kenntnisse aus erster Hand in iranischen Sicherheitsforen zu verfügen.*

Dieser Bericht dürfte vor allem für Organisationen von Interesse sein, die die sich rasch verändernden kriminellen und staatlich geförderten Cyberbedrohungen aus dem Iran verstehen möchten, um ihre Organisationen besser schützen zu können.

Executive Summary

In einem früheren Bericht hat die Insikt Group die Beziehungen zwischen der iranischen Regierung, den für offensive Cyberoperationen eingesetzten Auftragnehmern und den Vertrauensgemeinschaften dokumentiert, die mit den iranischen Sicherheitsforen beginnen. Dieser Bericht untersucht ausführlicher die historischen Verbindungen zwischen dem wichtigsten Sicherheitsforum des Iran, dem Ashiyane Forum, und der iranischen Regierung. Recorded Future beobachtete Forenbeiträge von über 20.000 Mitgliedern des Ashiyane-Forums und stellte nach der Schließung des Ashiyane-Forums im August 2018 einen Trend zur Migration iranischer Hacker fest.

Wichtige Urteile

Das Ashiyane Forum, einst das wichtigste Sicherheitsforum im Iran, wurde von einem der wichtigsten Sicherheitsauftragnehmer des Iran mit bekannten Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC) geleitet und ist seit August 2018 geschlossen, ohne Anzeichen einer Wiedereröffnung.
Wir gehen mit mittlerer Sicherheit davon aus, dass das Ashiyane Forum und sein Gründer, das Ashiyane Digital Security Team, für iranische Auftragnehmer wichtige Quellen bei der Identifizierung von Talenten und dem Austausch von Informationen über erfolgreiche Angriffswerkzeuge und -taktiken waren.
Der Gründer des Ashiyane Digital Security Teams, Behrooz Kamalian, hat enge Verbindungen zur iranischen Regierung und versucht derzeit, nach seiner kurzen Haftstrafe neue Unternehmen aufzubauen.
Recorded Future geht mit mäßiger Sicherheit davon aus, dass ein kleiner Prozentsatz der Benutzer des Ashiyane-Forums seit der Schließung des Ashiyane-Forums damit begonnen hat, in eines von zwei unterschiedlichen persischen Foren zu wechseln, wobei es kaum eine Überschneidung bei den Mitgliedern der beiden neuen Foren gibt.

Hintergrund

Recorded Future berichtete bereits im Juni 2015 und Mai 2018 über die Cyberfähigkeiten der Islamischen Republik Iran und beschrieb dabei die Cyberkompetenz des Landes, seinen Kampf gegen Saudi-Arabien um die regionale Hegemonie und seine Bereitschaft, in beiden Fällen Angriffskampagnen gegen Saudi-Arabien durchzuführen. Mindestens seit 2009 reagiert der Iran regelmäßig auf regionale Provokationen und internationale Sanktionen mit offensiven Cyberoperationen. Hauptziele solcher Angriffe waren Saudi-Arabien, Israel und westliche Organisationen sowie asiatische Petrochemie- und Luftfahrtunternehmen . Die Raffinesse dieser Angriffe reichte von der Entführung sozialer Medien und der Verunstaltung von Websites bis hin zu äußerst zerstörerischen Kampagnen wie dem Angriff auf Saudi Aramco und ausgeklügelten Spionagekampagnen gegen Ziele im Westen, im Nahen Osten und in Asien.
Recorded Future hat außerdem bereits zuvor berichtet , dass viele vom iranischen Staat geförderte Operationen Vertragspartner einsetzen und dass die Vertragspartner der iranischen Regierung gezwungen sind, in geschlossenen Trust-Communitys zu forschen, um gute Cyber-Talente zu finden und zu halten. Im Folgenden finden Sie einen Bericht über die Entstehung und Entwicklung der iranischen Online-Sicherheits-Community sowie die Rolle, die das Ashiyane-Forum in dieser Geschichte spielte.
Einer Quelle der Insikt Group zufolge gründeten iranische Jugendliche im Jahr 2002 Hacker-Webforen und IRC-Kanäle (Internet Relay Chat, Online-Clubs) zum Informationsaustausch. In diesen Foren kam es häufig vor, dass Mitglieder die Websites konkurrierender Hacker verunstalteten, um bei ihren Kollegen an Ansehen zu gewinnen. Zu den ersten Foren gehörten (unter anderem) simorgh-ev.com und ashiyane.com. Das Ziel des Betriebs dieser Foren war nicht der finanzielle Gewinn. Vielmehr tauschten die Forumsmitglieder aus Spaß anstößige Tricks aus und führten Verunstaltungen durch. Innerhalb von zwei Jahren begannen jedoch die Verunstaltungen iranischer Websites, Botschaften mit ideologischen und religiösen Untertönen aufzunehmen. Einer Quelle der Insikt Group zufolge kam es gegen Ende 2007 zu einem kleinen und kurzen Online-Scharmützel zwischen saudischen Foren, die auf den Wahhabismus (die vorherrschende Religion Saudi-Arabiens) zugeschnitten waren, und iranischen Foren.
Die iranische Regierung begann, diese Entstellung zu bemerken und übersetzte die Cyber-Aktivitäten in formelle Propaganda – iranische Jugendliche nahmen sich der schiitischen Sache an. Einer Quelle bei der Insikt Group zufolge ging die Bekanntheit mit so etwas wie dem Etikett „Iranische Verteidiger“ einher, und iranische Hacker hatten ein neues Motiv, sich an der Entstellung ausländischer Websites zu beteiligen.
Mehrere Datenpunkte deuten darauf hin, dass iranische Sicherheitsforen bei der Personalbesetzung und dem Wissensaustausch mit iranischen Auftragnehmern eine Rolle spielen. So behauptet etwa eine Quelle der Insikt Group, der iranische Administrator des Simorgh-Forums habe familiäre Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC), einem Zweig der iranischen Streitkräfte, der an Cyberoperationen beteiligt ist. Besonders verdächtig ist, dass der in der APT33-Malware gefundene Handle Xman_1365_x auch als aktives Mitglied im Ashiyane-Forum gefunden wurde, dem größten und bekanntesten Hacker-Forum im Iran. Dieses Forum wird von einem iranischen Sicherheitsunternehmen geleitet, das nachweislich Verbindungen zu Operationen der IRGC hat. Aufgrund der Verbindung zwischen dem Ashiyane Forum und seinem gleichnamigen Auftragnehmer, einem Forumsmitglied mit Beziehungen zu APT33, sowie den Verbindungen des Auftragnehmers zur iranischen Regierung gehen wir mit mittlerer Sicherheit davon aus, dass das Ashiyane Forum Personal und Wissensaustausch für vom iranischen Staat gesponserte Auftragnehmer bereitgestellt hat.

Geschichte des Ashiyane Forums und seines Gründers

Basierend auf archivierten Webseitendaten begann das Ashiyane Forum Anfang 2003 zunächst als Teil der ursprünglichen Website des Ashiyane Digital Security Teams, ashiyane.com. Im Jahr 2006 wurde das Forum um eine eigene Website, ashiyane.org, erweitert. Ashiyane.org enthielt Abschnitte für allgemeine Fragen, Tool-Sharing, Verunstaltungen, Schulungen und Neuigkeiten. Viele dieser ursprünglichen Abschnitte blieben bestehen, als das Forum expandierte und zu einem der größten Hacking-Foren im Iran wurde. Im August 2018 wurde das Ashiyane Forum geschlossen.
Banner für Ashiyane im Jahr 2006.
Banner für das Ashiyane-Forum mit der Ankündigung, dass es das „erste Sicherheitsforum im Iran“ sei.
Das Ashiyane Forum wurde vom Ashiyane Digital Security Team betrieben, einem "Gray-Hat"- Unternehmen für Netzwerksicherheit. Das 2002 gegründete Ashiyane Digital Security Team hatte ursprünglich das Ziel, iranische Benutzer und Netzwerkadministratoren über Sicherheit zu schulen, indem Schwachstellen in Computernetzwerken gefunden wurden. Ihre Gruppenmitglieder verunstalten immer noch Websites, um berühmt zu werden: Im Jahr 2014 wurden die Handles des Ashiyane Digital Security Teams auf verunstalteten Websites gefunden, die thailändischen und indischen Regierungsorganisationen gehören, sowie auf Websites, die auf italienischen IPs gehostet werden.
Das Ashiyane Digital Security Team hat Hunderte von Websites von israelischen und US-amerikanischen Regierungsorganisationen, darunter Mossad und NASA, angegriffen, angeblich wegen ihres mangelnden Respekts für Ayatollah Khomeini. Als sunnitisch-arabische Hacker einen großen Server zum Absturz brachten, auf dem die meisten schiitischen religiösen Websites im Iran gehostet wurden, reagierte das Ashiyane-Forum, indem es 300 arabische Websites lahmlegte, indem fünf der wichtigsten Server der Hacker angegriffen wurden. Das Justizministerium und andere Branchenmitglieder identifizierten Mitglieder des Ashiyane Digital Security Teams, die an Operationen im Auftrag des IRGC beteiligt waren.
Behrooz Kamalian, bekannt als der "Vater des iranischen Hackings", ist CEO und Gründer des Ashiyane Digital Security Teams. Behrooz ist bei den Iranern hoch angesehen für seine Bereitschaft, sein Wissen mit jüngeren Hackern zu teilen. Behrooz ist auch bei vielen iranischen Schauspielern und Schauspielerinnen beliebt, die behaupten, er habe dazu beigetragen, ihren Instagram-Zugang zu schützen, insbesondere indem er dabei geholfen hat, die Kontrolle über zuvor kompromittierte Konten wiederzuerlangen. Auf die Frage nach einer möglichen Beteiligung des Ashiyane Digital Security Teams an staatlich geförderten iranischen Bemühungen behauptete Behrouz, dass das Ashiyane Forum zwar unabhängig und spontan arbeite, aber mit dem iranischen Militärapparat bei der Beratung und Verbesserung der Sicherheit zusammenarbeite und "immer im Rahmen der Ziele des Staates gearbeitet hat".
Behrooz Kamalians Instagram-Profil.
Die berüchtigtsten Web-Verunstaltungen des Ashiyane Forums drehen sich um den historischen Iran-Saudi-Konflikt. Ende 2008, als saudische wahhabitische Gruppen sich mit der Verunstaltung iranischer Websites gegen iranische Internetverunstaltungen rächten, besuchte Behrooz Kamalian den prominenten Geistlichen Ayatollah Naser Makarem Shirazi. Nach diesem Treffen forderte der Geistliche iranische Hackergruppen öffentlich auf, Zurückhaltung zu üben, um weitere Angriffe auf wahhabitische Websites einzustellen. Die Verunstaltungen hörten jedoch nicht auf; Dem Hin und Her wurde am zone-h.org ein Denkmal gesetzt, Eine Website, die Website-Verunstaltungen aufzeichnet. Am 9. Oktober 2008 wurde Delta Security (ein Ableger des Ashiyane Forums) von bAd Hack3r kompromittiert , einem Akteur, der eine lange Geschichte der Verunstaltung iranischer Websites hatte.
Die Quelle der Insikt Group behauptet, dass wahhabitische Akteure in einer bestimmten Operation Spearphishing-Kampagnen mit einer Backdoor-Version von Putty (einer kostenlosen Remote-Konnektivitätsanwendung für Windows) von kompromittierten E-Mail-Servern des Ashiyane-Forums durchgeführt haben. Die XP-Group, eine angebliche wahhabitische Gruppe, hat speziell damit begonnen, iranische Klerikerstätten mit vulgären Bildern ins Visier zu nehmen und zu verunstalten. Daraufhin wurde die Website der XP-Group als Vergeltung verunstaltet . Für externe Beobachter war es schwierig zu erkennen, welche Seite zunächst eskalierte. Ein Mitglied des Ashiyane-Forums teilte der Quelle der Insikt Group mit, dass Kamalian die XP-Group gegründet und die Domain besessen habe. Wenn das stimmt, gab sich die XP-Group als Wahhabiten aus, gehörte aber Kamalian und wurde von Kamalian betrieben. Das Ashiyane Forum und die XP-Group waren im Wesentlichen ein und dasselbe, und Kamalian hatte seinen eigenen, religiös motivierten Cyber-Konflikt inszeniert. Recorded Future war nicht in der Lage, die sekundäre Validierung dieser Behauptungen zu bestätigen.
Im Jahr 2009 erließ die Regierung eine Anweisung, alle iranischen Hackerseiten auf die schwarze Liste zu setzen, als Reaktion auf die iranische Grüne Bewegung, bei der iranische Regierungsseiten wie khamenei.com angegriffen wurden. Das Ashiyane-Forum war eines der wenigen Hacking-Foren, die übrig blieben, und laut der Quelle der Insikt Group spekulierte die iranische Hacker-Community, dass Kamalian im Wesentlichen einen Alleinvertrag mit der iranischen Regierung abgeschlossen hat. Das Ashiyane-Forum war zum wichtigsten Forum geworden, das sich mit der neuen Generation iranischer Hacker verbindet.
Nach dem Höhepunkt der Grünen Bewegung wurden die von der Regierung geförderten offensiven Cyberkampagnen unorganisiert. Im Jahr 2010 fiel der Stuxnet-Wurm erfolgreich den iranischen Urananreicherungsanlagen zum Opfer, und die IRGC, die Ayatollah Khamenei unterstellt war, erkannte die Notwendigkeit einer beschleunigten, offensiven Cyber-Kompetenz. Als führende Hackergruppe, die sich mit staatlichen Interessen verbündet, waren Behrooz und das Ashiyane Forum gut positioniert, um zu helfen. Ein Mitglied des Ashiyane Digital Security Teams nahm im Dezember 2011 an einer von der IRGC geleiteten Distributed-Denial-of-Service-Kampagne (DDoS) gegen US-Finanzinstitute teil, die über 176 Tage dauerte. Darüber hinaus wurde Kamalians Status bei der IRGC weiter gefestigt, nachdem er 2011 auf einer EU-Sanktionsliste stand.

Bedrohungsanalyse: Ashiyane-Forum-Inhalte

Als eines der wenigen iranischen Hacking-Foren, das von einer Sicherheitsfirma organisiert wurde, die eindeutig mit den iranischen nationalstaatlichen Cyberkräften zusammenarbeitete, zog das Ashiyane Forum eine kumulative Mitgliedschaft von etwa 20.000 aktiven Nutzern an. Durch das Sammeln und Analysieren von Ashiyane Forum-Threads der letzten 12 Jahre hat Recorded Future allgemeine Trends innerhalb des Forums ermittelt. Der Großteil der im Ashiyane-Forum veröffentlichten Inhalte konzentrierte sich auf die Ausbeutung des Internets. Cross-Site-Scripting, DDoS-Angriffe, SQL und andere browserbasierte Code-Injektionen waren seit der Gründung des Forums die Hauptthemen. Darüber hinaus waren Android-Exploits in den letzten vier Jahren ein konstant beliebtes Thema, was möglicherweise auf den stetigen Anstieg der Anzahl mobiler Geräte in der Region zurückzuführen ist, von 26,72 Prozent des gesamten Gerätemarktanteils im Januar 2014 auf 37,85 Prozent im April 2015.
Ein Beitrag im Ashiyane-Forum mit der Bitte um Unterstützung bei der Bereitstellung von AndroRAT. (Quelle: Aufgezeichnete Zukunft)
Zu den meistbeworbenen Tools im Jahr 2015 zählten Android-Remote-Access-Trojaner (RATs) wie AndroRAT und Dendroid RAT sowie Citroni Ransomware. Im Jahr 2016 verlagerte sich der Inhalt der Foren auf Exploits für Unterhaltungselektronik und Android-Geräte sowie Exploits für Internetprotokolle. Die Android-Malware DroidJack, der PC-Trojaner njRAT und die USB-Malware PoisonTap erfreuten sich großer Beliebtheit, ebenso wie Fragen zu DDoS- und SQL-Injection-Angriffen. Im Jahr 2017 waren zwar ähnliche Themen wie in den Jahren 2015 und 2016 beliebt, viele Beiträge drehten sich jedoch um Linux-Produkte und Enterprise Content Management sowie Android-Geräte. Da das Ashiyane Forum eines der bekanntesten Hackerforen im Iran war, stellen diese Beiträge wahrscheinlich einen stetigen Strom neuer, weniger erfahrener Mitglieder dar, die sich im Forum registrieren und ähnliche Fragen zu einfachen Web-Sicherheitslücken in neueren Webbrowsern und Technologien stellen.
Visualisierung der Top-3-Cybertrends des Ashiyane-Forums in den letzten Jahren.
Die Insikt Group ist der Ansicht, dass das Ashiyane Forum auch einen fairen Anteil an erfahrenen Hackern als Forenveteranen hatte, was sich an der Geschwindigkeit zeigt, mit der neue, hochentwickelte Schwachstellen unter den Forenmitgliedern ausgetauscht wurden. So wurden beispielsweise ein Proof of Concept für CVE-2015-0313, eine Use-after-free-Schwachstelle (UAF) in Adobe Flash, sowie ein ähnlicher Beitrag für CVE-2015-0311, eine Adobe Flash Remote Code Execution (RCE)-Schwachstelle, nur wenige Monate nach der Aufzeichnung der Schwachstellen auf NVD veröffentlicht. Als das CIA-Hacker-Tool OutlawCountry am 29. Juni 2017 auf WikiLeaks veröffentlicht wurde, teilten und diskutierten Mitglieder des Ashiyane-Forums das Tool nur fünf Tage später.
Anzeigen im Ashiyane-Forum seit 2015. (Quelle: Aufgezeichnete Zukunft)

Die Schließung des Ashiyane-Forums und die Migration iranischer Hacker

Am 12. März 2018 erklärte der offizielle Kanal des Ashiyane Digital Security Teams, ein iranisches Gericht habe ihnen angeordnet, alle ihre Aktivitäten bis auf Weiteres einzustellen. Während in der Ankündigung kein Grund für die Schließung genannt wurde, bestätigten Quellen im Iran, dass Ashiyane Forum Glücksspiel-Websites betrieb, was aufgrund der damit verbundenen Strafen, darunter lebenslange Haft oder Tod, gefährlich ist. Ashiyane Forum wurde bereits 2013 mit Glücksspiel in Verbindung gebracht, als ein Teil der Datenbank von Ashiyane Forum online durchsickerte. Einer Quelle der Insikt Group zufolge war der für den Datenbank-Support des Ashiyane-Forums verwendete Benutzername mit der Erstellung mehrerer Pokerseiten verbunden, die im Iran unter dem Namen „persianpoker“ operieren.
Pastebin eines Ashiyane-Forum-Dumps aus dem Jahr 2013, korreliert mit DNS-Einträgen für persianpoker[.]asia.
Laut den Daten von Recorded Future ging das Ashiyane Forum am 5. August 2018 offline. Forumsmitglieder verbreiteten Gerüchte, dass die Website gehackt oder gewaltsam geschlossen worden sei. Am 31. Oktober 2018 twitterte ein iranischer Hosting-Spezialist: "Ich habe mir in letzter Zeit Sorgen gemacht. Ich weiß nicht, wer jetzt das Sagen hätte, da Behrooz nicht mehr da ist." Die Quelle und die Beiträge der Insikt Group im Ashiyane Forum zwischen Mitte April und Juli 2018 besagen, dass Behrooz verhaftet wurde. Anfang November war Behrooz jedoch aus dem Gefängnis entlassen und am 8. November 2018 postete er ein Instagram-Video , in dem sich ein iranischer Schauspieler bei Behrooz dafür bedankte, dass er wieder Zugang zu seinem Instagram-Konto erhalten hatte, nachdem das Konto kompromittiert worden war. Instagram-Nutzer haben Kommentare zu Behrooz' neueren Posts hinterlassen, in denen sie nach der Schließung des Ashiyane-Forums gefragt haben, aber Recorded Future hat nicht beobachtet, dass Behrooz sich mit diesen Posts beschäftigt hat.
Online-Poker ist ein lukratives, aber auch gefährliches Geschäft. Einer Quelle der Insikt Group zufolge gibt es im Iran über 3.000 Glücksspiel-Websites, die nur kurzzeitig existieren und täglich gesperrt werden. Obwohl die Insikt Group keine sekundäre Bestätigung der Statistiken selbst finden konnte, kann sie bestätigen, dass der Betrieb von Glücksspielunternehmen im Iran oder einem anderen islamischen Land aufgrund der harten Strafen eine gefährliche Handlung ist. Statt eine lebenslange Haftstrafe oder die Todesstrafe zu erhalten, konnte Behrooz das Gefängnis bereits nach wenigen Monaten verlassen, möglicherweise aufgrund seiner bestehenden Beziehungen zur iranischen Regierung und der IRGC. Sollte dies der Fall sein, könnte Behrooz' mildes Urteil darauf schließen lassen, dass seine Rolle in der heimischen Hacker-Community für die iranische Regierung von großer Bedeutung ist. Das Ashiyane Forum ist jedoch weiterhin offline und Behrooz hat sich als Hacker neu erfunden, der Prominenten in den sozialen Medien hilft. Es gibt keine Hinweise darauf, dass Behrooz in Zukunft versuchen wird, das Ashiyane Digital Security Team und Forum neu zu gründen.
Twitter-Reaktionen auf die Abschaltung des Ashiyane Digital Security Teams.

Migrationsaktivität der Ashiyane-Forumsmitglieder

Da Ashiyane Forum eines der größten und bekanntesten Foren der iranischen Hacker-Community war, wird die Schließung dazu führen, dass Hacker sich nach neuen Communities umsehen, die dieselben thematischen Diskussionen und Interaktionen bieten, oder sich zunehmend auf andere, bereits etablierte – wenn auch weniger beliebte – Foren verlassen.
Recorded Future hat Beiträge von über 20.000 Mitgliedern des Ashiyane-Forums von 2014 bis 2018 überprüft. Von den 18.060 Benutzern, die vor der Schließung des Ashiyane-Forums aktiv waren, hatten nur vier Prozent Spitznamen, die in anderen persischen, arabischen, russischen oder englischen Foren exakt übereinstimmten. Von diesen exakten Übereinstimmungen stachen zwei besonders hervor: VBIran.ir und das Persian Tools Forum. Die folgende Grafik zeigt die Anzahl exakter Übereinstimmungen mit Ashiyane-Forum-Benutzernamen in anderen Foren, getrennt nach dem Datum ihres ersten Posts. Recorded Future hat versucht, festzustellen, ob die Mehrheit der Benutzernamen vor der Ankündigung der Kanalschließung des Ashiyane Digital Security Teams im März 2018 (während des Zeitraums zwischen der Ankündigung und der Schließung des Forums) oder nach der Schließung des Ashiyane-Forums am 5. August 2018 erstellt wurde.
Foren mit Überschneidungen in der Mitgliedschaft im Ashiyane-Forum. (Quelle: Aufgezeichnete Zukunft)
Mit 237 exakten Übereinstimmungen bei Benutzernamen im Ashiyane-Forum hatte VBIran.ir insgesamt die meisten gemeinsamen Benutzer, und die meisten Benutzer hatten bereits vor der Ankündigung einer Schließung des Ashiyane-Forums Beiträge im VBIran.ir-Forum gepostet. Im Persian Tools-Forum hingegen gab es vor der Ankündigung des Ashiyane-Forums keine gemeinsamen Benutzernamen – alle 85 Benutzer hatten sich entweder während oder nach der Sperrfrist registriert. Zwar gab es auf CyberForum.ru auch eine große Zahl von Benutzernamenübereinstimmungen für das Ashiyane-Forum, die Mehrzahl dieser Übereinstimmungen waren jedoch aufgrund häufig verwendeter Benutzernamen Fehlalarme.
Nach dem Entfernen wahrscheinlicher Falschmeldungen und der Suche nach gemeinsamen Entitäten kam Recorded Future zu dem Schluss, dass Benutzernamen mit exakten Übereinstimmungen mit Mitgliedern des Ashiyane-Forums ungefähr sieben Prozent der gesamten Mitgliederschaft auf VBIran.ir ausmachen – jedes 14. Mitglied ist also ein ehemaliges Mitglied des Ashiyane-Forums. Genaue Übereinstimmungen mit Benutzernamen im Ashiyane-Forum machen mittlerweile auch 3,5 Prozent der Gesamtmitgliedschaft im Persian Tools-Forum aus (im März 2018 waren es noch null Prozent). Interessanterweise gab es zwischen den Benutzernamen des Ashiyane-Forums nahezu keine Überschneidungen. Dies legt die Vermutung nahe, dass sich die Hacker, die nach der Schließung des Ashiyane-Forums in andere Foren abgewandert waren, in zwei Fraktionen aufgespalten haben.
Aufschlüsselung der Mitgliedschaft bei möglichen Migrationen zum Ashiyane-Forum. (Quelle: Aufgezeichnete Zukunft)

VBIran.ir und Persian Tools Forum

Obwohl beide Foren etwa ein Zehntel der Mitgliederzahl des Ashiyane-Forums ausmachen, weisen sie einige Gemeinsamkeiten mit dem Ashiyane-Forum auf. Beide Foren enthalten, ähnlich dem Ashiyane-Forum, hauptsächlich Farsi-Beiträge und bieten recht große Foren für offensive, taktische Diskussionen. Allerdings unterscheiden sich das Persian Tools-Forum und VBIran.ir erheblich hinsichtlich Inhalt und Schwerpunkt. Die meisten Beiträge im Persian Tools-Forum sind entweder Verkaufsbeiträge oder Beiträge mit Bezug zum Iran, Hacking, Elektronik oder sogar Fußball. Die Forenorganisation im Persian Tools-Forum scheint der des Ashiyane-Forums zu ähneln, bevor das Ashiyane-Forum von der Website des Ashiyane Digital Security Teams abgespalten wurde.
Während es auf der Forum-Website von Persian Tools einen Abschnitt mit Unterabschnitten zu verschiedenen Formen des Hackens gibt, bietet das Forum von Persian Tools auch den Verkauf von SSL-Zertifikaten, Hosting-Dienste und sogar Website-Design an. VBIran.ir scheint sich auch an ein allgemeineres Publikum zu richten. Die Beiträge von VBIran.ir sind hauptsächlich diskussions- oder tutorialbasiert und behandeln Themen sowohl zum Hacken als auch zur Softwareentwicklung. Darüber hinaus bietet VBIran.ir keine speziellen Dienste wie das Persian Tools-Forum an, sondern verkauft stattdessen verschiedene Plugins für die Webentwicklung. Dies ist ein möglicher Grund dafür, warum es zwischen den Mitgliedern des Ashiyane-Forums nur geringe Überschneidungen gab.

Ausblick

Das Ashiyane Digital Security Team, der Administrator eines der größten und bekanntesten Foren der iranischen Hacker-Community, hat die Gründe für die Schließung des Ashiyane-Forums nicht bekannt gegeben und Fragen zu seiner möglichen Wiedereröffnung ignoriert. Das Forum ist wahrscheinlich auf unbestimmte Zeit offline. Es scheint keinen klaren Ersatz für das Ashiyane-Forum zu geben, obwohl kleinere Foren neue Mitglieder anziehen.
Unserer Einschätzung nach sollten Unternehmen mit Geschäftsbeziehungen zum Iran, in Saudi-Arabien tätige Firmen sowie alle Energie- und Verteidigungsorganisationen die Entwicklungen dieser neueren Foren verfolgen. Iranische Bauunternehmer, die sich bislang primär auf das Ashiyane Forum als Community verlassen haben, werden weiterhin nach Alternativen suchen.
Wir gehen außerdem davon aus, dass es sich lohnt, Behrooz Kamalian im Hinblick auf die zuvor beschriebenen Organisationen im Auge zu behalten, da er Beziehungen zur iranischen Regierung pflegt und den Ruf hat, einer der führenden Hacker des Iran zu sein.