Die Insikt Group ® von Recorded Future überprüfte verfügbare Informationen, um die Wahrscheinlichkeit einer iranischen Reaktion auf die Tötung von Qassem Suleimani zu analysieren. Dieser Bericht dient als Zusammenstellung wahrscheinlicher Taktiken, Werkzeuge und Gruppen, die an einem cyberbasierten Vergeltungsschlag beteiligt sind.

Dieser Bericht dürfte insbesondere für Organisationen von Interesse sein, die befürchten, ins Visier einer vom iranischen Staat gesponserten Gruppe geraten zu sein – insbesondere im Zuge der gestiegenen Spannungen am Persischen Golf – sowie für jene, die die geopolitischen Ereignisse im Nahen Osten verfolgen.

Die Insikt Group wird Updates bereitstellen, sobald neue Erkenntnisse zu diesen Vorfällen oder damit verbundenen Cyber-Bedrohungsaktivitäten entdeckt werden. Unter diesen Links finden Sie weitere Hintergrundinformationen dazu, wie Iran steuert staatlich gelenkte Cyberoperationen und am Die Geschichte einiger staatlich geförderter und patriotischer Hacker. Zu den Quellen gehören Geheimdienstinformationen, die auf der Recorded Future® Platform und anderen offenen Quellen aufgetaucht sind.

Executive Summary

In den frühen Morgenstunden des 3. Januar wurden der iranische Präsident Qassem Soleimani, Chef der Quds-Einheit der Islamischen Revolutionsgarden (IRGC-QF), der irakische Abu Mahdi al-Muhandis, der stellvertretende Chef der Volksmobilisierungskräfte (PMF) und mehrere andere bei einem US-Raketenangriff in der Nähe des irakischen internationalen Flughafens von Bagdad getötet. Wir gehen davon aus, dass insbesondere der Tod von Soleimani und al-Muhandis höchstwahrscheinlich eine Reaktion des Iran und seiner Verbündeten provozieren wird, die ein Muster asymmetrischer Vergeltungsmaßnahmen umfassen könnte, die von iranischen Militäreinheiten und ihren verbündeten Milizen gegen Regierungs- und Geschäftsinteressen der USA und ihrer Partner im Nahen Osten im Nahen Osten durchgeführt werden.

Wichtige Urteile

• Wir erwarten eine maßvolle, aber direkte Reaktion des Iran. Wir gehen davon aus, dass dies teilweise dazu dienen soll, das iranische Regime zu schützen, das zutiefst daran interessiert ist, an der Macht zu bleiben und davor zurückschreckt, sich auf eine direkte militärische Konfrontation mit den USA einzulassen. Auch wenn wir von Seiten des herrschenden Regimes eine gemäßigte Reaktion erwarten, gehen wir davon aus, dass die iranischen Stellvertreter in der Region mit noch aggressiveren Vergeltungsschlägen reagieren werden.
• Der Iran verfügt über äußerst leistungsfähige Cyber-Operationskräfte und wir gehen davon aus, dass die wahrscheinlichsten Ziele von Cyber-Attacken weiterhin die Vereinigten Staaten und ihre Partnerregierungen sowie deren militärische und kommerzielle Interessen im Nahen Osten sind.
• Auf Grundlage unserer Beobachtungen des Gerede unter den hacktivistischen Kräften (die wir als regimefreundlich, aber nicht von der Regierung gelenkt definieren) gehen wir davon aus, dass die Angriffe sich wahrscheinlich gegen weichere Ziele wie unzureichend geschützte Websites, Server und Datenbanken häufen werden.
• Jüngste dokumentierte Fälle, in denen staatlich geförderte russische Gruppen iranische Infrastrukturen für Cyberoperationen kapern und nutzen , könnten bei Opfern, die versuchen, Cyberaktivitäten zuzuordnen, zu erhöhter Unsicherheit und Verwirrung führen. Heute ist weniger klar, ob Operationen, die bekannte und verfolgte iranische Cyber-Infrastrukturen nutzen, tatsächlich von der iranischen Regierung durchgeführt und geleitet werden. Dies erhöht das Potenzial für falsche Zuschreibungen und irrtümliche Eskalationen, da wir nicht wissen, in welchem Ausmaß Russland die iranische Cyber-Infrastruktur kompromittiert hat.

Hintergrund

Am späten Abend des 2. Januar 2020 ET enthüllte eine Presseberichterstattung , dass ein US-Raketenangriff in der Nähe des irakischen internationalen Flughafens von Bagdad stattgefunden hatte. Bei dem Luftangriff wurden mehrere Menschen getötet, darunter Qassem Soleimani, der Chef der iranischen Islamischen Revolutionsgarden – Quds-Einheit (IRGC-QF), und Abu Mahdi al-Muhandis, der stellvertretende Chef einer irakischen Miliz namens Volksmobilisierungskräfte (PMF). Unter den Getöteten waren Berichten zufolge mehrere andere Vertreter der PMF, darunter Mohammed Ridha Jabri, der Leiter der Öffentlichkeitsarbeit der Gruppe. Eine Erklärung des US-Verteidigungsministeriums sowie Presseberichte iranischer Regierungsorgane bestätigten den Angriff und dass Soleimani das Ziel des Angriffs war.

Bedrohungsanalyse

Nach Einschätzung der Insikt Group wird insbesondere der Tod Soleimanis wahrscheinlich eine Reaktion der iranischen Regierung provozieren. Dazu gehören mehrere Szenarien asymmetrischer Vergeltungsmaßnahmen iranischer Militäreinheiten, Stellvertreter oder verbündeter Milizen gegen die US-Regierung und Wirtschaftsinteressen im Nahen Osten sowie gegen regionale Partner der USA wie Saudi-Arabien, die Vereinigten Arabischen Emirate (VAE) und Israel.

Zum Zeitpunkt der Erstellung dieses Artikels hat Recorded Future eine einstimmige Reaktion der iranischen militärischen, diplomatischen und politischen Führer beobachtet, dass ein Vergeltungsangriff stattfinden wird, obwohl solche Erklärungen keine Einzelheiten darüber enthielten, wann, wie und wo eine Reaktion erfolgen wird. Der Oberste Führer des Iran, Ali Khamenei, erklärte am 3. Januar 2020, dass eine "harte Rache" auf diejenigen wartet, die den Angriff auf Soleimani angeführt haben, und leitete eine dreitägige Staatstrauer zum Gedenken an den gefallenen Kommandeur der IRGC-QF ein. Am 5. Januar erklärte der Militärberater des Obersten Führers des Iran, Generalmajor Hossein Dehghan, dass die iranische Reaktion "mit Sicherheit militärisch" sein und sich gegen "Militäreinrichtungen" der USA richten werde.

Das Bedürfnis nach Vergeltung erkennen

In den letzten Jahren hat General Soleimani Berichten zufolge breite Unterstützung im Inland genossen , was zum Teil auf die Vorstellung zurückzuführen ist, dass er für die Strategien verantwortlich war, die das Land vor Terroranschlägen und Bedrohungen durch den Islamischen Staat (IS) schützten. Mehrere Berichte deuten darauf hin, dass Soleimanis Tod zu einem deutlichen Ruf nach Vergeltung geführt hat, was in der jüngeren iranischen Militärgeschichte ungewöhnlich ist, außer in Fällen, in denen extreme Gewaltakte die Regierung oder iranisches Militärpersonal betroffen haben. Beispiele dafür sind der Angriff des IS auf das iranische Parlament im Juni 2017 und die Enthauptung des IRGC-Offiziers Mohsen Hojaji durch den IS im August 2017. Erstere führten zu einem ballistischen Raketenangriff auf den IS, während der IRGC-Offizier Hojaji zum Symbol im Kampf gegen den IS wurde. Zu dieser Zeit stand Soleimani neben vielen hochrangigen IRGC-Beamten an der Spitze der Reaktion auf Hojajis Tod.

Ein historisches Beispiel, das unserer Ansicht nach die kalkuliertere Vorgehensweise veranschaulicht, die der Iran als Reaktion auf Soleimanis Tod wahrscheinlich verfolgen wird, war die Ermordung iranischer Diplomaten durch die afghanischen Taliban im Jahr 1998. Im Jahr 1998 wurden fast ein Dutzend iranische Diplomaten von den afghanischen Taliban getötet. Dieser Vorfall führte zu einem Aufschrei der Bevölkerung gegen die Taliban-Gruppe und zur Mobilisierung von etwa 200.000 iranischen Militärangehörigen. Untersuchungen der RAND Corporation zeigten einen pragmatischen Entscheidungsprozess innerhalb der iranischen Regierung zur Bewältigung der Afghanistan- Krise. Trotz des harten Interesses der IRGC und radikaler politischer Fronten, militärisch gegen ihren ideologischen Erzfeind vorzugehen, entschied sich der Oberste Führer Khamenei stattdessen für eine Reaktion „ohne Kriegsrisiko“. In ähnlicher Weise behauptete IRGC-General Hossein Dehgan, ein hochrangiger Berater Khameneis, am 5. Januar 2020, der Iran werde auf die Tötung Soleimanis militärisch reagieren, aber keinen Krieg anstreben.

Die Insikt Group geht davon aus, dass der Iran wahrscheinlich eine maßvolle asymmetrische Reaktion anstreben wird, da sie die Notwendigkeit ausbalanciert, den Druck von Soleimanis Tod auszugleichen, ohne das Potenzial für ein direktes militärisches Engagement mit den USA weiter zu schüren.

Beispiele für aktuelle asymmetrische Vergeltungsangriffe

Zu den mutmaßlichen Vergeltungsmaßnahmen des Iran oder der vom Iran unterstützten Kräfte zählen unter anderem:

• Im gesamten Jahr 2019 wurde die IRGC-QF verdächtigt, hinter dem Raketenangriff auf die saudischen Ölanlagen in Abqaiq und Khurais sowie hinter der Beschlagnahme und Entführung des schwedischen Öltankers Stena Impero zu stecken.
• Dem Iran wird vorgeworfen, seinen Einfluss auf schiitische Gruppen zu missbrauchen, um an Orten wie Bahrain, die als fruchtbarer Boden für sektiererische und regierungsfeindliche Aktivitäten gelten, Aufstände anzuzetteln. Diese Art von Einfluss war wahrscheinlich der Grund für die gewalttätigen Proteste vor der US-Botschaft im Irak zwischen dem 31. Dezember 2019 und dem 2. Januar 2020. Berichten zufolge wurden diese Proteste von Anhängern der Kata'ib Hizballah durchgeführt, einer vom Iran unterstützten Stellvertretertruppe unter der Führung von al-Muhandis.
• Dem Iran wird außerdem vorgeworfen, Sabotageakte gegen die regionale Öl- und Gasinfrastruktur zu unterstützen. Im Laufe des Jahres 2019 wurde der Iran Berichten zufolge mit koordinierten Angriffen auf die Öl- und Gasinfrastruktur Saudi-Arabiens und seinen jemenitischen Verbündeten, den Huthi-Rebellen (Ansar Allah), in Verbindung gebracht. In Bahrain unterstützt der Iran angeblich eine ganze Reihe schiitischer Milizen und wurde mutmaßlich mit einem spektakulären Angriff auf die bahrainische Öl- und Gasinfrastruktur im November 2017 in Verbindung gebracht.

Der Iran verfügt über eine Reihe äußerst leistungsfähiger Teams zur Steuerung von Computernetzwerken, die an Gegenmaßnahmen gegen die USA, regionale Partner und westliche Interessen beteiligt sein könnten. Recorded Future geht davon aus, dass durch Spionageoperationen erlangte Zugriffe diese Vergeltungsmaßnahmen höchstwahrscheinlich erleichtern werden. Besonders hervorzuheben ist, dass iranische Teams bei früheren Eskalationen zerstörerische Cyberfähigkeiten eingesetzt haben, was unserer Einschätzung nach sowohl die Bereitschaft als auch die Fähigkeit zeigt, solche Schadsoftware auch in ähnlichen Situationen einzusetzen. Es ist außerdem bekannt, dass iranische Akteure Webshells, Password Spraying und eine Kombination aus maßgeschneiderter und handelsüblicher Schadsoftware bevorzugen, um sich Zugriff auf Zielumgebungen zu verschaffen. Auch wenn in früheren Cyber-Reaktionsszenarien zerstörerische Schadsoftware zum Einsatz kam, ist der Tod von General Soleimani bei einem US-Luftangriff eine einzigartige Situation und bringt erhebliche Unsicherheit in unsere Einschätzungen darüber, welche Cyber-Fähigkeiten der Iran vermutlich gegen welche regionalen Interessen der USA und seiner Partner einsetzen wird.

Im Juni 2019 beobachtete Recorded Future APT33-Malware-Aktivitäten, die auf die US-Industrie, kritische Infrastrukturen und Regierungsbehörden abzielten. Kurz darauf erklärte US-Präsident Donald Trump am 22. Juni, dass die Regierung angesichts der zunehmenden Spannungen am Persischen Golf Cyberangriffe gegen iranische Raketensysteme durchgeführt habe. Dem Iran wurde außerdem vorgeworfen , Haftminen auf einem japanischen Öltanker im Golf platziert zu haben, was die Spannungen in der Region anheizte. Zu diesem Zeitpunkt, im Juni 2019, meldete die US-amerikanische Cybersecurity and Infrastructure Security Agency eine Zunahme der Zahl der mit dem Iran in Verbindung stehenden Akteure, die Wiper-Malware auf ihre Ziele ausübten. Der technische Direktor des Threat Operations Center der NSA erklärte jedoch, dass die iranischen Akteure ihre normalen Geheimdienstoperationen fortsetzten, deren Schwerpunkt auf Spionage und nicht auf Zerstörung liege.

Früherer Zugriff und Tools können die Reaktion auf Cyberangriffe beeinträchtigen

Recorded Future geht davon aus, dass die US-Industrie, kritische Infrastrukturen und Regierungsbehörden in dieser Zeit erhöhter Spannungen auch weiterhin von iranischen Bedrohungsakteuren ins Visier genommen werden. Obwohl wir davon ausgehen, dass iranische Akteure auch weiterhin staatliche, militärische und kommerzielle Einrichtungen der USA für Cyber-Spionagezwecke ins Visier nehmen werden, sind Organisationen in der Region des Persischen Golfs am stärksten von zerstörerischen Cyber-Attacken bedroht. Darüber hinaus gehen wir davon aus, dass die iranischen Akteure APT33, APT34 (auch bekannt als OilRig) oder MUDDYWATER bei ihren Cyberspionage-Operationen wahrscheinlich auch Verbündete und Partner der USA im Nahen Osten ins Visier nehmen werden. Wir gehen davon aus, dass es auch weiterhin zu einer Mischung aus kundenspezifischen und Standardtools kommen wird, und empfehlen Unternehmen, insbesondere auf verdächtiges Verhalten auf Powershell- und WMIC-Basis zu achten.

• MUDDYWATER-Akteure haben politisch gefärbtes Spearfishing und Makros oder gestohlene Anmeldeinformationen verwendet, um Malware zu platzieren und Informationen zu stehlen. MUDDYWATER stützt sich stark auf eine Powershell-basierte Hintertür namens POWERSTATS. MUDDYWATER verwendet kompromittierte Domains von Drittanbietern, die als Proxys für die Verteilung von POWERSTATS und für Command-and-Control-Zwecke (C2) verwendet werden.
• APT33 ist eine der aktivsten Gruppen, die derzeit im Nahen Osten operieren. Sie hat die Fähigkeit unter Beweis gestellt, ihre Taktiken kontinuierlich zu überarbeiten und eine Vielzahl von Werkzeugen und Techniken einzusetzen, um ihre Opfer zu kompromittieren. Der Akteur verwendet in seinem benutzerdefinierten Malware-Toolkit eine breite Palette von Tools, darunter POWERTON, und verlässt sich außerdem in hohem Maße auf Open-Source-Remote-Access-Trojaner (RATs), darunter njRAT, Powershell Empire, Nanocore und PupyRAT.
• APT39 hat in erster Linie die Trojanerfamilien Chafer und Remexi genutzt und zielt auf diejenigen im Telekommunikationssektor ab, mit zusätzlichen Zielen auf die Reisebranche und die Unterstützung von IT-Unternehmen. Wir gehen davon aus, dass der Hauptfokus des Konzerns auf Telekommunikation und Reisen auf ein Interesse sowohl an der Überwachung bestimmter Personen als auch an der Erhebung von proprietären oder Kundendaten für kommerzielle oder betriebliche Zwecke hindeutet, die strategischen Anforderungen im Zusammenhang mit nationalen Prioritäten dienen. Forscher von FireEye haben festgestellt, dass die Operationen von APT39 denen von APT34 (OilRig) ähneln, was die Zielmuster, die Infrastruktur und den Zeitplan für den Nahen Osten betrifft. Genauer gesagt haben sowohl APT39 als auch APT34 die gleichen Methoden zur Verbreitung von Malware, die gleiche Infrastrukturnomenklatur und die gleichen Überschneidungen bei den Zielen.
• Die Lab Dookhtegan Leaks zeigten die benutzerdefinierten Tools von APT34: PoisonFrog, Glimpse, Hypershell, HighShell, Fox Panel und Webmask. Das PoisonFrog-Implantat ist ein Powershell-basierter Downloader, der eine VBS-Hintertür herunterzieht. Auswertungen von Chronicle und Palo Alto zeigen, dass PoisonFrog die BONDUPDATER-Hintertür ist, die zuvor von FireEye, Booz Allen und Palo Alto's Unit 42 analysiert wurde. Webmask ist wahrscheinlich Teil der DNSpionage DNS-Hijacking-Kampagne, die von Cisco Talos offengelegt wurde.

Wir gehen davon aus, dass vorherige Aktivitäten zur Erfassung von Anmeldeinformationen durch APT33, APT34 und APT35 dazu genutzt werden könnten, einen ersten Zugriff auf die Zielumgebungen zu erlangen. Zu den bemerkenswerten jüngsten Ereignissen zählen:

• Im Oktober 2019 zeigte APT33 Berichten zufolge besonderes Interesse an Anbietern von Hardware und Software für industrielle Steuerungssysteme (ICS) in den Vereinigten Staaten und weltweit und führte eine gezielte Passwort-Spraying-Kampagne gegen diese Organisationen durch. Die Akteure zielten in der Regel auf 50.000 bis 70.000 Organisationen gleichzeitig ab und wählten eine kleine Anzahl von Anmeldeinformationen aus, um zu versuchen, Zugriff auf jede Organisation zu erhalten. Die Bandbreite dieses Targetings wurde zwischen Oktober und November 2019 erheblich eingeschränkt, als APT33 angeblich nur auf etwa 2.000 Organisationen pro Monat abzielte und versuchte, verschiedene Passwortkombinationen für 18 bis 20 Konten in jeder Organisation zu verwenden, was einem Anstieg von 900 % entspricht. Befehle, die beim Kennwort-Spraying und bei On-Host-Aktivitäten verwendet werden, finden Sie in diesem GitHub-Dokument.
• In ähnlicher Weise fand FireEye auch APT34 bei der Verwendung der Malware-Familien LONGWATCH, VALUEVAULT und TONEDEAF zum Diebstahl von Anmeldedaten in einer gezielten Spearphishing-Kampagne. Diese Malware-Familien versuchten hauptsächlich, Anmeldeinformationen von Zielpersonen zu sammeln. Die Akteure verwendeten LinkedIn-Nachrichten mit bösartigen Links, um die Opfer dazu zu verleiten, ein legitimes Datenblatt herunterzuladen, das VBA-Makros zum Herunterladen der Malware-Familien verwendete.
• Daten, die aus dem Sammeln von APT35-Anmeldeinformationen (Newscaster, PHOSPHORUS) über Watering-Hole-Angriffe, Phishing-E-Mails und gefälschte Social-Media-Profile gesammelt wurden, können ebenfalls genutzt werden. Am 4. Oktober 2019 gab Microsoft bekannt, dass APT35 30 Tage lang von August bis September 2019 dabei beobachtet wurde, wie es 2.700 Versuche unternahm, in eine US-Präsidentschaftskampagne einzudringen, die später als Trump-Kampagne identifiziert wurde, zusätzlich zu aktuellen und ehemaligen US-Regierungsbeamten, politischen Journalisten und "prominenten" iranischen Exilanten. Die Gruppe hatte es auf 241 E-Mail-Konten abgesehen und konnte erfolgreich vier Konten kompromittieren, die nicht mit US-Regierungsbeamten oder der Kampagne in Verbindung standen.
• Frühere Zugriffe oder Informationen, die aus DNS-Hijacking-Aktivitäten von SeaTurtle und dem DNSpionage/APT34-Cluster gewonnen wurden, können ebenfalls das weitere Sammeln von Informationen erleichtern.

Zerstörerische Malware

APT33 und APT34 wurden mit zerstörerischen Malware-Angriffen auf den Öl- und Gassektor in Verbindung gebracht, wobei Shamoon, DEADWOOD und ZeroCleare zum Einsatz kamen.

• Während einer Präsentation auf der CYBERWARCON-Konferenz in Arlington, VA, Ende 2019 diskutierten Microsoft-Analysten, dass APT33 im Juni 2019 eine zerstörerische Malware-Familie namens DEADWOOD auf einem VPN-Server in Saudi-Arabien abgeladen hatte. Recorded Future kann keinen Einblick in die von Microsoft beschriebene Malware-Familie geben. Allerdings wurde am 22. Juni 2019 eine auf VirusTotal hochgeladene Datei als Wiper gekennzeichnet; später wurde sie vom Benutzer „THOR Scanner“ als im Nahen Osten verwendeter Wiper gekennzeichnet. Es ist wahrscheinlich, dass es sich bei dieser Datei (857ef30bf15ea3da9b94092da78ef0fc) um den betreffenden Wiper handelt.
• Im Jahr 2012 setzte APT33 die zerstörerische Malware Shamoon ein und wird verdächtigt, zusammen mit anderen APT-Gruppen mit Iran-Nexus an der Operation gegen das italienische Petrochemie-Unternehmen SAIPEM im Dezember 2018 beteiligt gewesen zu sein.
• Anfang Dezember 2019 veröffentlichten die X-Force Incident Response and Intelligence Services (IRIS) von IBM ihre Entdeckung der Wiper-Malware ZeroCleare, die auf den Energie- und Industriesektor im Nahen Osten abzielte. Laut IBM IRIS war APT34 (OilRig) wahrscheinlich an der Bereitstellung von ZeroCleare beteiligt. Während ihrer Entdeckungsbemühungen stellten die Forscher von IBM IRIS fest, dass ZeroCleare gemeinsame Merkmale mit der Shamoon-Malware aufweist. Insbesondere überschreibt die ZeroCleare-Malware den Master Boot Record (MBR) sowie die Festplattenpartitionen auf Windows-Rechnern.
• Die Analyse einer kürzlich durchgeführten Stichprobe, die sich selbst "Dustman" nannte, ergab Ähnlichkeiten mit ZeroCleare und enthielt anti-saudische Nachrichten, wobei derselbe Rohlaufwerkstreiber verwendet wurde. Das Beispiel enthielt jedoch alle erforderlichen Tools in einer einzigen ausführbaren Datei. Die Stichprobe enthielt anti-saudische Botschaften und ließ einen anti-saudischen Mutex ("Nieder mit Bin Salman") fallen.

Nationalistischer und regimefreundlicher Hacktivismus

Wir gehen davon aus, dass sich das iranische Regime wahrscheinlich Zeit lassen wird, um über eine Reaktion auf die Tötung von General Soleimani nachzudenken. Im krassen Gegensatz dazu werden regimefreundliche (aber nicht von der Regierung gelenkte) Cyber-Akteure wahrscheinlich weiterhin störende Aktivitäten durchführen. Recorded Future ist sich bewusst, dass Hacktivisten-Verunstaltungsaktivitäten innerhalb weniger Stunden nach Bekanntwerden von Soleimanis Tod stattfinden, auch gegen US-Regierungsinstitutionen. Darüber hinaus beobachteten wir auch die Verbreitung von Desinformation unter den Anhängern der IRGC. Basierend auf unseren Beobachtungen des Geschwätzes unter hacktivistischen Kräften gehen wir davon aus, dass Angriffe wahrscheinlich gegen weichere Ziele wie lose geschützte Websites, Server und Datenbanken eskalieren werden.

Es ist nicht außerhalb des Bereichs des Möglichen, dass Akteure SamSam-Ransomware oder ähnliche Kampagnen unter dem Deckmantel krimineller Aktivitäten einsetzen. Obwohl es keine Beweise dafür gibt, dass die beiden Akteure mit der iranischen Regierung in Verbindung standen, ist Teheran zweifellos über diese Operationen und ihre Instrumente informiert.

Ausblick

Wir gehen davon aus, dass der Iran auf die Tötung von General Qassem Suleimani reagieren wird, indem er aggressiver auf Cyberangriffe setzt als auf kinetische Angriffe, die wahrscheinlich die Form von Spionage oder Sabotage annehmen werden.

Diese Cyberreaktion – wahrscheinlich eine von mehreren potenziellen asymmetrischen Gegenmaßnahmen — kann direkt von iranischen Geheimdienst- oder Militärgruppen, von ihren Auftragnehmern oder von anderen Stellvertretern durchgeführt werden. Diese Maßnahmen werden sehr wahrscheinlich durch frühere Zugriffe und Informationen aus Spionageoperationen angetrieben. Es dürfte sich als schwierig erweisen, diese Eindringversuche zuzuordnen und von anderen opportunistischen Eindringversuchen zu unterscheiden.

Darüber hinaus haben die jüngsten dokumentierten Fälle, in denen vom russischen Staat gesponserte Gruppen die iranische Infrastruktur entführt und für Cyberoperationen genutzt haben, die Unsicherheit bei der Verfolgung und Zuordnung iranischer Spionage- oder Zerstörungsaktivitäten noch weiter erhöht. Wir gehen davon aus, dass durch diese Infrastrukturentführung und die erhöhte Unsicherheit das Risiko steigt, dass ein Vorfall falsch zugeordnet und fälschlicherweise als Eskalation interpretiert wird. Im Nahen Osten gibt es mehr Seiten mit Interessen als nur die USA und ihre Partner sowie den Iran und seine Stellvertreter. Die Schaffung weiterer Unsicherheit durch russische Operationen, die als iranische getarnt sind, könnte im Gefolge eines Cyberangriffs zu einer Atmosphäre des Chaos oder der Verwirrung beitragen. Dies erhöht das Potenzial für Fehlzuschreibungen und irrtümliche Eskalationen, da wir nicht wissen, in welchem Ausmaß Russland die iranische Cyber-Operationsinfrastruktur kompromittiert hat.

Vorgeschlagene Gegenmaßnahmen

• APT33 bevorzugt weiterhin dynamisches DNS-Hosting (DDNS). Mit dem Weaponized Domains Security Control Feed von Recorded Future lassen sich diese Domänen identifizieren und blockieren.
• Recorded Future erkennt und protokolliert proaktiv bösartige Serverkonfigurationen im Command and Control Security Control Feed.
• Recorded Future empfiehlt Organisationen, auf aufeinanderfolgende Anmeldeversuche von derselben IP-Adresse bei verschiedenen Konten zu achten. Diese Art von Aktivität ist schwieriger zu erkennen als herkömmliche Brute-Force-Angriffe, hilft jedoch dabei, Unternehmen vor einer beliebten Taktik von APT33 zu schützen.
• Die Einführung der Multi-Faktor-Authentifizierung hat sich für viele Unternehmen, die in der Vergangenheit in großem Umfang von Credential-Stuffing- und Password-Spraying-Angriffen betroffen waren, als äußerst effektive Methode zur Risikominderung erwiesen.
• Überwachen Sie kriminelle Untergrund-Communitys auf die Verfügbarkeit neuer Konfigurationsdateien, die auf Ihr Unternehmen abzielen, beschaffen Sie sich diese Dateien und analysieren Sie sie gründlich, um weitere Angriffsindikatoren zu finden.
• Endbenutzer können das Risiko, Opfer von Password Spraying zu werden, verringern, indem sie einen Passwort-Manager verwenden und für jedes Online-Konto ein individuelles, sicheres Passwort festlegen.
• Durch Social-Engineering-Schulungen für Unternehmensmitarbeiter können die Gefahren für das Unternehmen verringert werden, die durch die Offenlegung von Informationen entstehen, die zum Durchführen von Password-Spraying und anderen Angriffen verwendet werden.
• Eine Protokollanalyse (durch ein IDS) kann dabei helfen, erfolglose Anmeldeversuche über mehrere Benutzerkonten hinweg zu identifizieren. Durch Querverweise auf Protokolldaten können Vorfälle im Zusammenhang mit häufigen Aussperrungen, nicht genehmigten Fernzugriffsversuchen, zeitlichen Überlappungen von Angriffen über mehrere Benutzerkonten hinweg und dem Abgleich eindeutiger Informationen zu Webbrowser-Agenten mithilfe von Fingerabdrücken erkannt werden.