Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die vollständige Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future führt derzeit Untersuchungen zu den Organisationen durch, die am iranischen Cyberprogramm beteiligt sind. Dieser Bericht soll einen besseren Einblick in die wichtigsten militärischen und geheimdienstlichen Stellen geben, die am offensiven Cyber-Programm des Iran beteiligt sind. Obwohl zu den offensiven Cyberfähigkeiten auch Angriffe im Inland gehören, haben wir jene Organisationen untersucht, die erklärte internationale Missionen haben. Aufgrund der Geheimniskrämerei mancher Organisationen und dem Mangel an überprüfbaren Informationen haben wir konkurrierende Hypothesen einbezogen, um den analytischen Branchenstandards zu entsprechen.

Für die Zwecke dieser Untersuchung untersuchten wir das Korps der Islamischen Revolutionsgarde (IRGC), einschließlich der Basij, sowie das Ministerium für Nachrichtendienst und Sicherheit (MOIS) und das Ministerium für Verteidigung und Streitkräftelogistik (MODAFL). Obwohl der Bericht auf Verbindungen zwischen einer ausgewählten Anzahl von Advanced Persistent Threat (APT)-Gruppen und bestimmten Geheimdiensten hinweist, können wir diese aufgrund von Informationslücken zu den einzelnen Gruppen nicht eindeutig bestimmten Behörden zuordnen.

Zu den Quellen unserer Recherchen zählen in erster Linie Informationen aus der Recorded Future ® -Plattform, Branchenstudien von unter anderem Symantec, FireEye, ClearSky und PaloAlto sowie Open-Source-Nachrichtenberichte.

Executive Summary

Während das iranische Cyberprogramm weiterhin im Mittelpunkt der asymmetrischen Fähigkeiten Teherans steht, ist sein Geheimdienstapparat von verschiedenen Funktionsstörungen und scheinbar destabilisierenden Eigenschaften geprägt. Insbesondere die Politisierung der verschiedenen Geheimdienste und die daraus resultierenden internen Fehden haben Berichten zufolge während der verschiedenen Sicherheitskrisen der Islamischen Republik zu einer Polarisierung der Offiziersriege geführt. Diese Krisen traten an die Öffentlichkeit und fungierten als Katalysatoren für Insider-Bedrohungen, senkten die Moral der Geheimdienste und führten zu einer Zunahme von Leaks. Der Wettbewerb zwischen den Geheimdienstgruppen soll auch zu direkten Sabotageakten zwischen den Behörden geführt haben.

Im Zuge der internen politischen Machtkämpfe haben bestimmte Organisationen eine erhebliche Ausweitung ihrer Sicherheitsbefugnisse erfahren. Dazu gehört zweifellos auch der Einsatz offensiver Hacking-Taktiken, -Techniken und -Verfahren (TTPs), um ihre Eingriffe und den Zugriff auf die Opfer voranzutreiben. An erster Stelle steht hier das Korps der Islamischen Revolutionsgarde – Geheimdienstorganisation (IRGC-IO). Der Aufgabenbereich der Organisation hat sich im letzten Jahrzehnt erheblich erweitert, und zwar in einem solchen Ausmaß, dass sie in der Lage ist, in direktem Widerspruch zu den Geheimdiensteinschätzungen und Empfehlungen des Geheimdienstes der Islamischen Republik, des Ministeriums für Nachrichtendienste und Sicherheit (MOIS), zu agieren.

Dies ist der dritte Bericht von Recorded Future über das iranische Cyberprogramm. Im Januar 2019 berichteten wir über Irans bekanntestes Hackerforum, Ashiyane, und im März 2019 veröffentlichten wir einen Bericht, der sich mit der iranischen Cyberabwehrstruktur und den damit verbundenen Organisationen befasste.

Wichtige Urteile

• Unserer Einschätzung nach besteht zwar eine Unterscheidung zwischen iranischen Behörden, die interne und externe Operationen durchführen, doch erschweren die undefinierten (und sich teilweise überschneidenden) Sicherheitsmissionen der einzelnen Geheimdienste die Bemühungen zur Zuordnung cyberbezogener Vorfälle wahrscheinlich.
• Wir gehen davon aus, dass das Potenzial zur Desinformation durch iranische und außerregionale Akteure aufgrund der Volatilität der Geheimdienste und der sich überschneidenden Zuständigkeiten weiterhin hoch bleiben wird.
• Aufgrund der Komplexität des iranischen Geheimdienstes, der zahlreichen Lecks in der Vergangenheit und der Politisierung des Systems gehen wir davon aus, dass die Sicherheitslage im Iran weiterhin instabil bleibt.
• Aggressive, ideologisch motivierte Cyberangriffe tragen die Merkmale der IRGC und insbesondere ihres Kommandos für Auslandseinsätze, der Quds-Brigaden. Wir gehen davon aus, dass die Organisation im Rahmen der asymmetrischen Reaktionsfähigkeit des Iran koordinierte Zerstörungsoperationen durchgeführt hat.
• Wir gehen davon aus, dass tertiäre akademische Institutionen wie die Imam-Hossein-Universität das iranische Cyberprogramm mit hoher Wahrscheinlichkeit auch weiterhin unterstützen und die Fähigkeiten der mit dem Regime verbündeten Akteure stärken werden.
• Wir gehen davon aus, dass im Iran ansässige spezialisierte Vertragsgruppen wahrscheinlich verschiedene Regierungs- und Militäreinrichtungen beliefern. Je nach Bedrohung und Gelegenheit übernehmen Vertragsgruppen wahrscheinlich auch agenturspezifische Aufgaben.

Hintergrund

Die von Irans Geheimdiensten und dem Militär geführten Cyber-Operationen werden von einer Reihe von Faktoren beeinflusst: der komplexen Natur des Geheimdienstes, sich überschneidenden Missionsbereichen, den Entscheidungen und Interessen des Obersten Führers Ali Khamenei, dem Einfluss militärischer Organisationen wie der Islamischen Revolutionsgarde (IRGC) und internen politischen Konflikten.

Der iranische Geheimdienst

Der iranischen Nachrichtenagentur Fars zufolge ist der iranische Geheimdienstapparat seit der Islamischen Revolution von 1979 gewachsen und umfasst heute mindestens 16 separate Einrichtungen , die Geheimdienstaktivitäten durchführen. Der Fars-Bericht hob auch die Rolle des Rates für Geheimdienstkoordination (Shorai-e Hamohangi Etelaat) hervor, der angeblich als Hauptmechanismus zur Vereinigung aller Geheimdienste fungiert, um die Bemühungen gegen eine Vielzahl nationaler und internationaler Sicherheitsbedrohungen zu koordinieren.

Die iranischen Geheimdienste sind entweder Bestandteile der IRGC oder gehören, wie das Ministerium für Nachrichtendienste und Sicherheit (MOIS), zu verschiedenen Teilen der gewählten iranischen Regierung. Diese Organisationen sind jedoch alle den Anordnungen des Obersten Führers Khamenei untergeordnet; bei einigen, etwa dem Korps der Islamischen Revolutionsgarde – Geheimdienstorganisation (IRGC-IO), wird davon ausgegangen, dass sie die Interessen Khameneis direkter verfolgen als andere. Der MOIS, der gegenwärtig von Mahmoud Alavi geleitet wird, leitet offiziell die Geheimdienstmission des MOIS in Abstimmung mit den Prioritäten der gewählten Regierung.

Zu den Merkmalen des iranischen Geheimdienstes gehören sich überschneidende Aufgaben, Zielanforderungen und operative Verantwortlichkeiten, die in einigen Fällen zu einem Wettbewerb um oder einer Konvergenz von nachrichtendienstlichen und militärischen Ressourcen führen. Wie weiter unten erläutert, wird die Bekämpfung der Subversion im Inland Berichten zufolge nicht nur vom MOIS durchgeführt, sondern auch vom IRGC-IO sowie von anderen Behörden wie der iranischen Cyberpolizei (FATA).

Auf internationaler Ebene sollen sowohl das MOIS als auch die IRGC unabhängige Geheimdienstoperationen leiten und bei Operationen gegen Bedrohungen der nationalen Sicherheit zusammenarbeiten. Solche Überschneidungen erschweren in bestimmten Fällen die Bemühungen um kinetische und Cyber-Attribution. Andere Geheimdienstoperationen, wie z. B. diejenigen, die in einer Anklageschrift des US-Justizministeriums (US-Justizministerium) vom Februar 2019 gegen verschiedene iranische Cyberagenten zitiert werden, deuten darauf hin, dass Ressourcen zwischen den Behörden geteilt werden und die Agenten wahrscheinlich Dienstleistungen für mehr als ein Element erbringen, das mit den iranischen Sicherheitsdiensten in Verbindung steht.

Überlappende Cyber-Missionen

Die Zuordnung von Cyber-Kampagnen und -Vorfällen offenbart in vielen Fällen die plausiblen strategischen und taktischen Interessen von zwei, wenn nicht mehr Geheimdiensten der Islamischen Republik. Das MOIS und die IRGC bleiben die wichtigsten Organisationen, da sich ihre Geheimdienst- und Sicherheitsmissionen überschneiden. APT-Gruppen reagieren auch auf die Aufgabenanforderungen beider Organisationen und, wie wir weiter unten hervorheben, auf bestimmte Untergruppen. Während die technische Zuordnung durch Recorded Future und die Branche insgesamt erfolgt, wird die Zuordnung von APTs zu bestimmten Organisationen ohne Zugriff auf Informationen zur Zusammensetzung von APT-Gruppen, einschließlich des Personals und der Zugehörigkeit zu ihren Netzwerken, komplexer. Für die Zuordnung ist die Zusammenführung mehrerer technischer, organisatorischer und persönlicher Verhaltensdatensätze erforderlich, um eine präzisere Zuordnung zu ermöglichen.

Wie für andere Nationen sind strategische und taktische Informationen für iranische Behörden von entscheidender Bedeutung. Politische, militärische und wirtschaftliche Informationen sind ein wichtiger Treiber für internationale Cyberspionageoperationen, auch gegen Beamte verschiedener westlicher und nahöstlicher Regierungen. Diese Operationen fanden in der Vergangenheit in Zeiten erhöhter Spannungen zwischen Teheran und der internationalen Gemeinschaft statt. In diesem internationalen Operationsgebiet haben verschiedene Gruppen von Bedrohungsakteuren nicht nur die Anforderungen des MOIS und des IRGC unterstützt, sondern auch die einer Reihe von staatlichen Interessengruppen und akademischen Einrichtungen, einschließlich Forschungs- und Entwicklungsorganisationen, die mit dem Ministerium für Verteidigung und Logistik der Streitkräfte (MODAFL) verbunden sind.

Die öffentliche Berichterstattung enthüllt, dass bekannte iranische Bedrohungsakteure auch Operationen gegen Staaten des Nahen Ostens durchgeführt haben, wobei sie sich manchmal im Rahmen breit angelegter Angriffsoperationen auf Computernetzwerke koordinierten und gegen bestimmte Ziele kollaborierten. Zuletzt gehörte dazu der Einsatz der zerstörerischen Malware ZeroCleare gegen Bahrain. Destruktive Angriffe sind jedoch seit mindestens August 2012 Teil der asymmetrischen Reaktions- und Angriffsfähigkeit Irans. Mitte Dezember 2018 wurde der italienische Petrochemieriese SAIPEM ins Visier genommen, wahrscheinlich von pro-iranischen Regierungsakteuren, mit einer aktualisierten Variante der Malware Shamoon(2) (Disttrack). Der Angriff im Dezember 2018 wurde kurz darauf von hacktivistischen Verunstaltungen und Informationsoperationen in den sozialen Medien begleitet, die von Organisationen durchgeführt wurden, die behaupteten, die Jemen Cyber Army zu repräsentieren, ein Kollektiv, das die Interessen der Huthi-Bewegung (Ansar Allah) unterstützt und mit ihr verbündet ist. Die Zusammenarbeit unterstreicht das Potenzial für die Koordinierung von Missionen und die gemeinsame Nutzung von Ressourcen bei offensiven Bemühungen durch potenziell diversifizierte Gruppen von Bedrohungsakteuren.

Aufgezeichnete Future-Abfrage zu einigen Social-Media-Operationen der jemenitischen Cyber-Armee.

Auf den Bildern, die die Social-Media-Aktivitäten der Yemen Cyber Army begleiteten, waren unter anderem SAIPEM und andere Unternehmen aufgeführt.

Im Inland bekämpft das Geheimdienst- und Sicherheitsestablishment, einschließlich der FATA, ein breites Spektrum von regimefeindlichen politischen, milizenartigen und extremistischen Bewegungen. Die Sicherheitsdienste des Staates wurden bei der Durchführung von kinetischen und Cyber-Operationen gegen religiöse Minderheiten sowie gegen kurdische, Ahwazi-arabische und belutschische ethnische Separatisten registriert. So hat beispielsweise die von Check Point als Domestic Kitten bezeichnete Gruppe von Bedrohungsakteuren Berichten zufolge eine umfangreiche Cyberüberwachungskampagne durchgeführt, die sich speziell an Dissidenten, extremistische Gruppen und ethnische Minderheiten innerhalb und außerhalb des Iran richtete. Berichten zufolge führte diese Gruppe die meisten ihrer Operationen gegen Farsi-, Arabisch-, Türkisch- und Kurdischsprachige Ziele durch und nutzte Social Engineering, um die Opfer dazu zu verleiten, bösartige mobile Anwendungen herunterzuladen.

Auch im Fall der FATA hat sie ihren angeblichen gesetzlichen Auftrag zur Bekämpfung cyberkrimineller Aktivitäten überschritten und iranische Blogger wie Sattar Beheshti ins Visier genommen. Wir stellen fest, dass sich die Definition eines Cyberkriminellen im operativen Bereich der iranischen Cyberkriminalität und insbesondere des iranischen Gesetzes über Computerkriminalität praktisch auf politische Aktivisten ausgeweitet hat, die bei der Verbreitung von regimefeindlichem Material oder der Teilnahme an Online-Protesten erwischt werden. Branchenforschungen haben verschiedene Fälle detailliert beschrieben, in denen politische Aktivisten auf der Grundlage des Gesetzes über Computerkriminalität verhaftet und inhaftiert wurden, und die Flexibilität, die in ein solches Gesetz eingebettet ist, um es den Strafverfolgungsbehörden zu ermöglichen, es nach eigenem Ermessen anzuwenden. Daher stehen die Operationen der FATA höchstwahrscheinlich in Verbindung mit dem harten Vorgehen der Regierung gegen Blogger und Aktivisten, das nach den Aufständen der Grünen Bewegung 2009 stattfand, beschränken sich aber wahrscheinlich auf die innere Sicherheit.

Irans Anti-Dissidenten-Operationen sind auch frei von nationalen Grenzen, da iranische Cybergruppen wie APT35 (Charming Kitten), die hauptsächlich die IRGC bedient haben, und Flying Kitten beide eine Vorliebe dafür gezeigt haben, die iranische Diaspora in ganz Europa und Nordamerika ins Visier zu nehmen.

Auch militärrelevante Technologien, darunter Software, haben weiterhin höchste Priorität für ein System, das behauptet, autark zu sein und bestrebt ist, seine eigene Rüstungsindustrie aufzubauen und zu exportieren. Wie wir später in diesem Bericht noch näher ausführen werden, gelten Organisationen wie das Verteidigungsministerium (MODAFL) als führende Interessenvertreter und Nutznießer von Computernetzwerkoperationen mit dem Schwerpunkt militärischer Rüstungstechnologie.

Iranische Geheimdienstlecks

Leaks haben regelmäßig Auswirkungen auf den iranischen Geheimdienst, insbesondere auf das MOIS. Im Laufe ihrer Geschichte hat die Organisation mehrere Phasen von Enthüllungen mit großer Wirkung erlebt, die die hochrangigen Mitglieder des Systems und seine internationalen Aktivitäten zu entlarven drohten. Zu den bedeutenden Fällen gehören die "Kettenmorde", die "Iran-Depeschen" und in geringerem Maße verschiedene unbestätigte Cyber-Leaks, die mit regierungsfeindlichen Operationen in Verbindung gebracht werden. Politische Missstände haben zu großen Leaks gegen Geheimdienste geführt. Diese zeigen Verstöße gegen Geheimdienstkollegen und die iranische Gesellschaft, Korruption und Vertuschung oder, wie die jüngsten Iran-Depeschen nahelegen, die Verachtung des MOIS für die geheimdienstliche und militärische Vorherrschaft und die Praktiken der IRGC-Quds-Truppe im Irak.

Anti-Regierungs-Cyberoperationen fanden vor allem in den Jahren nach dem Aufstand der Grünen Bewegung 2009 statt und wurden von selbsternannten regierungsfeindlichen anonymen Kollektiven wie Anonymous Iran durchgeführt. Diese Gruppen zielten darauf ab, Teherans Cyberbemühungen gegen seine Zivilbevölkerung und internationale Ziele aufzudecken, und führten zur Enthüllung angeblich vertraulicher Dokumente, Cyberprojekte, Korruption in der iranischen Regierung und internationale Operationen gegen Länder des Nahen Ostens. Der jüngste Anstieg der regierungsfeindlichen Cyberoperationen begann Ende 2017 bis zum Zeitpunkt der Erstellung dieses Artikels, wobei verschiedene Gruppen wie Tapandegan, Lab Dookhtegan und Aahack Security Team Berichten zufolge Einbrüche gegen staatliche und militärische Einrichtungen anführten.

Mutmaßliche Desinformationsversuche

Bei unseren Untersuchungen zu iranischer Desinformation stoßen wir weiterhin auf plausible Fälle von Irreführung. Zum Zeitpunkt der Abfassung dieses Artikels gehen wir daher davon aus, dass das Potenzial für Desinformation durch iranische Akteure auch in Zukunft hoch bleiben wird. Dieser Trend wird noch verstärkt durch Lecks und die Möglichkeit, dass Akteure außerhalb der Region die durchgesickerten Daten manipulieren oder die Kategorisierung und Zuordnung der Daten verschlechtern, um ihre Interessen gegenüber westlichen Cybersicherheitsorganisationen durchzusetzen. Zu Letzterem gehört beispielsweise die Verwendung bereits vorhandener C2s, um die eigenen Operationen eines Bedrohungsakteurs außerhalb der Region zu verschleiern.

Seit Ende 2017 und während des gesamten Jahres 2019 haben selbsternannte iranische Dissidentengruppen umfassende Anstrengungen unternommen, um die Operationen des iranischen Geheimdienstes und Militärs im Iran und im gesamten Nahen Osten aufzudecken. Zu diesen Bemühungen gehörten Gruppen wie Lab Dookhtegan, die „Green Leakers“ (Afshagaran-e Sabz), „Black Box“ (Resaneh Khabari Jabeh Siah) und „Hidden Reality“ (Vaghiyate Penhaan). Letzterer berichtete über die Aktivitäten eines mutmaßlichen Auftragnehmers, des Rana Institute, auf die wir weiter unten näher eingehen. Zum Zeitpunkt der Abfassung dieses Artikels hat die Insikt Group noch nicht alle Informationen und Missionen, die diese Gruppen angeblich gegen die Islamische Republik verfolgen, umfassend bestätigt. Während diese Organisationen vorgeben, gegen Teheran vorzugehen, und umfangreiche Informationen über eine APT-Gruppe sowie den iranischen Geheimdienst verbreitet haben, halten wir es auch für möglich, dass eine oder mehrere dieser Gruppen mit dem Ziel gegründet wurden, Desinformation zu verbreiten.

Kaspersky Labs veröffentlichte im August und Dezember 2019 zwei Berichte, die möglicherweise russische Bedrohungsakteure mit dem Leak des Rana-Instituts in Verbindung bringen. Basierend auf einer Analyse des durchgesickerten Materials, der Infrastruktur und der entsprechenden Website wurde in den Berichten festgestellt, dass Bedrohungsakteure, die mit der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) in Verbindung stehen, hinter der Verbindung stehen. Zum Zeitpunkt der Erstellung dieses Artikels kann Recorded Future die Gültigkeit dieser Bewertung jedoch nicht bestätigen.

In einem anderen Fall berichtete Recorded Future über den angeblichen Tod eines hochrangigen Mitglieds des iranischen Cyberprogramms, Mohammad Hussein Tajik, über den in der Berichterstattung über die iranische Hackerhierarchie und die Desinformationsbemühungen im Zusammenhang mit der Festnahme des Dissidenten Ruhollah Zam durch die IRGC-IO berichtet wurde. Zum Zeitpunkt der Erstellung dieses Artikels sind die Informationen, die über das iranische Cyberprogramm an Dissidenten wie Zam weitergegeben wurden, nicht bestätigt worden. Zam war wiederholt Ziel von Diffamierungsattacken und wurde vom iranischen Geheimdienst als Opfer seiner Geheimdienstoperationen geoutet. Wir gehen davon aus, dass solche Aktivitäten vermutlich unternommen wurden, um Zam und das Vertrauen in seine Quellen und Methoden zu schwächen. Zams Berichterstattung über Tadschikisch verwickelte den Iran in internationale Cyberoperationen gegen die USA, Saudi-Arabien und die Türkei und brachte ihn auch mit einer operativen Einrichtung, dem Khaybar Center, in Verbindung, von wo aus diese Angriffe angeblich gestartet wurden. Diese Einrichtung funktioniert nach Zams Berichten wie ein Fusionszentrum, in dem Mitglieder der größten iranischen Geheimdienstgruppe vor Ort sind.

Obwohl die vom Iran ausgehenden Desinformationsbemühungen nach wie vor eine glaubwürdige Bedrohung darstellen, gehen wir davon aus, dass auch außerregionale Akteure versuchen könnten, ihre Aufdeckungs- und Zuordnungsbemühungen in die Irre zu führen, indem sie sich als iranische APT-Gruppen ausgeben. Wir gehen davon aus, dass dies die Verwendung einer Serverinfrastruktur (C2) umfassen kann, die zuvor mit iranischen Bedrohungsakteuren wie APT33, APT35 und MuddyWater in Verbindung gebracht wurde. Wir haben dies in unserem Bericht "Operation Gamework" vom Dezember 2019 als mögliches Szenario hervorgehoben, in dem C2 und Malware Überschneidungen mit dem russischen APT BlueAlpha aufdeckten.

Politisierung des Geheimdienstes

Angesichts der zahlreichen Lecks im iranischen Geheimdienstapparat sowie Phasen zunehmender Politisierung und Fraktionsbildung gehen wir davon aus, dass die Sicherheitslage im Iran weiterhin instabil bleibt.

Die Berichterstattung in Farsi-Sprache aus offenen Quellen zeigt, wie das iranische Innenministerium ein erhöhtes Maß an Fraktionsbildung erlebt hat, was wahrscheinlich die Fähigkeit der Agentur beeinträchtigt hat, ihren Wirkungsbereich zu sichern. Öffentliche Berichte deuten außerdem darauf hin, dass die interne Politik mehrere Ebenen des Geheimdienstestablishments betroffen hat, wobei der Chef der IRGC-IO, Hossein Taeb, gegen den ehemaligen MOIS-Führer Heydar Moslehi und verschiedene Politiker, darunter den ehemaligen Präsidenten Mahmoud Ahmadinejad (2005-2013) und Sadeq Laridschani, antritt. Es wird berichtet, dass der Führer der IRGC-IO Geheimdienstoperationen gegen iranische politische Gruppen unterstützt hat, die kompromittierende Beweise gegen die IRGC hatten, die speziell Korruptionsfälle darstellten.

Unter dem ehemaligen Präsidenten Mohammad Khatami (1997-2005) soll das MOIS eine Ausmerzung von Hardlinern und Unterstützern durchgemacht haben, die schließlich dazu führte, dass sich die Agentur von aggressiven internationalen Operationen zurückzog und sich mäßigte.¹ Zwischen 1997 und 1998 soll der Oberste Führer Khamenei die Geheimdienstmission des IRGC zu einer Direktion befördert haben. Von diesem Zeitpunkt an begann die Geheimdienstdirektion des IRGC mit ähnlichen Aufgaben wie das MOIS, was unserer Meinung nach zu den sich überschneidenden Bemühungen zur Bewältigung von Bedrohungen der nationalen Sicherheit beitrug.

Unter dem ehemaligen Präsidenten Ahmadinedschad erlebte das MOIS Berichten zufolge nach dem Aufstand von 2009 weitere Instabilität, mit von der IRGC angeführten Säuberungen gegen MOIS-Offiziere. In öffentlichen Berichten wird auch zitiert, wie Ahmadinedschad versuchte, das MOIS zu nutzen, um Kompromaten ("kompromittierendes Material") gegen politische Rivalen anzuhäufen . Die Absichten der Hardliner, den iranischen Reformismus unter der Führung von Khatami und seinem Vorgänger Rafsandschani rückgängig zu machen, wurden in einer frühen Erklärung mit dem Titel "Die Neue Ära und unsere Verantwortung" (dowlat-e jadid va masooliat-haye ma) treffend festgehalten, die von führenden Mitgliedern der iranischen Hardliner- und IRGC-freundlichen Ansar Hisbollah verfasst wurde. Die Erklärung sprach eine Warnung aus und forderte die erste Regierung Ahmadinedschads auf, das weitere Abdriften des MOIS in Richtung Veränderungen in der Khatami-Ära zu verhindern, und vermutlich einen iranischen Geheimdienst, der weniger wahrscheinlich ideologisch motivierte internationale Operationen durchführen wird.

Ähnliche Fälle von Politisierung hat das MOIS unter dem derzeitigen Präsidenten Hassan Rohani (2013 bis heute) erlebt. Dem iranischen Geheimdienstminister Mahmoud Alavi wird mangelnde nachrichtendienstliche und sicherheitspolitische Kompetenz vorgeworfen und er wurde in der Folge Ziel politisch motivierter Angriffe, die von Hardlinern angezettelt wurden. Ähnlich wie die Präsidentschaft Chatamis begann Rohani seine Amtszeit mit einer reformorientierten Agenda, zu der auch die Moderation und Stärkung der Rechenschaftspflicht des MOIS gehörte. Berichte der BBC deuten darauf hin, dass Rohani die Agentur in Antikorruptionsfällen eingesetzt hat, was sie weiter in einen politischen Luftkampf verwickelt hat, um die IRGC und ihre Unterstützer aus der Beschlagnahmung von Sektoren der iranischen Wirtschaft zu vertreiben.

Einem BBC-Bericht zufolge wurde das MOIS bei mindestens drei verschiedenen Gelegenheiten ausmanövriert und seine Entscheidungen durch die parallelen Aktivitäten und den Einfluss der IRGC-IO zurückgewiesen. Dazu gehörten Berichten zufolge die Verhaftung von Managern reformistischer Telegram-Kanäle, die Verhaftung von Mitgliedern des Verhandlungsteams des Joint Comprehensive Plan of Action (JCPOA) von Rohani wegen Spionagevorwürfen und die Verhaftung von Umweltaktivisten. Unter Rohani soll das MOIS seine Befugnisse im Bereich der nationalen Sicherheit weiter an die IRGC-IO verloren haben, insbesondere in den Bereichen Spionageabwehr und Bekämpfung von Subversion im Inland.

Auswirkungen auf den iranischen Cyber-Kader

Die zunehmende Spaltung innerhalb des iranischen Geheimdienstes dürfte sich auch auf die Cyber-Streitkräfte des Iran ausgewirkt haben. Nach Einschätzung der Insikt Group sind die direkten Folgen dieser politischen Machtkämpfe wahrscheinlich auch auf die iranischen Cyber-Betreiber durchgesickert, die bislang öffentlich die eine oder andere Seite (MOIS oder IRGC) unterstützen.

So haben beispielsweise Gespräche in den sozialen Medien die Meinungsverschiedenheiten und Sticheleien zwischen im Iran ansässigen Cyber-Operatoren ans Licht gebracht, die die IRGC unterstützen, wie etwa Armin Rad (auch bekannt als „Ayoub Tightiz“) und Mohammad Jorjandi, der Rad und seine Unterstützerbasis oft kritisiert ^hat.2 Darüber hinaus gehen die Hackerangriffe und Datenlecks im Zusammenhang mit dem Labor Dookhtegan laut Jorjandi, der zum Zeitpunkt des Schreibens dieses Artikels in den USA ansässig sein soll, angeblich auf die Konkurrenz zwischen dem MOIS und der IRGC zurück, wobei letztere absichtlich Informationen über das MOIS durchsickern ließ, um seinem Ruf und Ansehen zu schaden.

Obwohl wir Jorjandis Aussagen nicht bestätigen können, waren unter den angeblichen Zielen des MOIS, wie sie von Lab Dookhtegan dargestellt werden, auch Mitglieder von APT34, wie beispielsweise Yashar Shahinzadeh. Unsere Beobachtungen von Shahinzadehs Social-Media-Gesprächen lassen darauf schließen, dass er Partei gegen pro-IRGC-Regime-Hacker wie Rad ergriffen und versucht hat, Mitgliedern der gewählten Regierung zu helfen, insbesondere dem Minister für Informations- und Kommunikationstechnologie, Mohammad Javad Jahromi. Der Schwerpunkt dieser Unterstützung lag hauptsächlich auf der Erkennung anfälliger Regierungsdatenbanken.

Ausblick

Die iranischen Cyber-Akteure sind in einer einzigartigen Position, um weiterhin Zuweisungsversuche abzuwehren, vor allem aufgrund der steigenden Zahl von Akteuren, die die verschiedenen iranischen Geheimdienstzentren beliefern. Ob IRGC-IO, Quds Force, MODAFL oder MOIS – diese Einheiten stehen weiterhin an der Spitze der iranischen Cyberfähigkeiten und sind in der Lage, internationale Angriffe anzuführen. Öffentliche Informationen deuten zudem darauf hin, dass diese Organisationen zur Verfolgung ihrer Geheimdienstziele auf eine Gemeinschaft von Vertragspartnern zurückgreifen. Wir gehen davon aus, dass dies auch in Zukunft ein wesentliches Merkmal des iranischen Cyber-Ökosystems bleiben wird.

Da der Iran über besser ausgebildete Cyber-Kader, wirksamere Werkzeuge und robustere operative Sicherheitsmaßnahmen verfügt – darunter auch die Fähigkeit zur Produktion und Verbreitung von Desinformation –, werden die iranischen Cyber-Operationen voraussichtlich auch künftig rasch die Länder des Nahen Ostens und die internationale Gemeinschaft als Ganzes ins Visier nehmen. Zudem werden die iranischen Sicherheitsdienste höchstwahrscheinlich auch weiterhin die iranische Diaspora und ethnische Minderheiten ins Visier nehmen, die beide eine Bedrohung für die wahrgenommene innere Stabilität Teherans darstellen.

Gegenmaßnahmen

• Interessierte Stakeholder sollten strukturierte Analysetechniken wie Red-Hat-Analyse und Täuschungserkennung nutzen, um präzisere Zuordnungsversuche zu ermöglichen und gleichzeitig Desinformationsversuche von Cyber-Gegnern einzudämmen.
• Bleiben Sie über die politischen Entwicklungen im Iran auf dem Laufenden, um Aktivitäten zu beobachten, die sich auf die Geheimdienstlandschaft auswirken (wie etwa Korruptionsskandale, Machtkämpfe, Festnahmen von Journalisten und Aktivisten, Umbesetzungen an der Spitze von Geheimdienstgruppen, Einsatz ausländischer Technologien, Verbot der Nutzung sozialer Medien usw.).
• In der persischsprachigen Berichterstattung über Dissidenten wird regelmäßig über Aktivitäten im Zusammenhang mit dem harten Vorgehen gegen Minderheitengruppen, Demonstranten und der Festnahme von Ausländern und Personen mit doppelter Staatsangehörigkeit berichtet. Diese Quellen geben im Allgemeinen auch Aufschluss über die an den Festnahmen beteiligten Geheimdienste und Militärorganisationen und ihre angeblichen Motive.
• Iranische Cyber-Betreiber pflegen auf Instagram und Telegram eine relativ öffentliche Präsenz. Diese öffentlichen Quellen können Einblick in die organisatorische Entwicklung, die Ausbildung, politische Erkenntnisse und ihr operatives Netzwerk geben.
• Um Desinformationsbemühungen vorzubeugen und abzuschwächen, empfehlen wir, iranische Cyber-Entwicklungen aus sozialen Medien und öffentlich zugänglichen Messaging-Plattformen zu überprüfen und zu bestätigen.
• Durch die Kampagnenverfolgung iranischer APT-Gruppen lassen sich nicht nur Erkenntnisse über die TTPs gewinnen, sondern auch über die Viktimologie, was wiederum zu einem besseren Verständnis der organisatorischen Interessen beiträgt.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Fußnoten

¹S. Chubin, Wither Iran?: Reform, Innenpolitik und nationale Sicherheit, New York, Oxford University Press, 2002, S. 91.

²https[:]//www.tabnak[.]ir/fa/news/816849