Sicherheitsbedrohungen

FireEye erwartet Zunahme iranischer Cyber-Attacken nach US-Angriff

, München, FireEye | Autor: Herbert Wieler

FireEye erwartet Zunahme iranischer Cyber-Attacken nach US-Angriff

Auch kritische Infrastrukturen im Visier

Letzte Nacht wurde der iranische Topgeneral Qasem Soleimani durch Raketenbeschuss getötet. Mittlerweile haben sich die USA zu den Luftangriffen bekannt. John Hultquist, Director of Intelligence Analysis bei FireEye, erklärt in seinem Statement warum man nun mit mehr staatlichen Cyberangriffen aus dem Iran rechnen muss.

„Angesichts der Schwere der Operation vom letzten Abend erwarten wir eine erhöhte Bedrohung durch iranische Cyberbedrohungsakteure. FireEye hat Community Protection Maßnahmen ins Leben gerufen, um die Koordination von Aktivitäten angesichts dieser spezifischen Bedrohung zu optimieren. Wir werden wahrscheinlich einen Anstieg der Spionage sehen, die sich hauptsächlich auf Regierungssysteme konzentriert, da iranische Akteure versuchen, Informationen zu sammeln und das dynamische geopolitische Umfeld besser zu verstehen. Wir rechnen auch mit störenden und zerstörerischen Cyberangriffen auf die Privatsphäre. Vor dem JCPOA (Joint Comprehensive Plan of Action, Iran Nuklear-Deal) hat der Iran solche Angriffe gegen den US-Finanzsektor sowie andere Unternehmen durchgeführt und andere kritische Infrastrukturen untersucht.

Seit der Vereinbarung und trotz der Erosion der Beziehungen zwischen dem Iran und den USA hat der Iran ähnliche Aktivitäten wie im Nahen Osten bislang zurückgehalten. Angesichts der neuesten Entwicklungen könnte die Entschlossenheit, den US-Privatsektor ins Visier zu nehmen, die bisherige Zurückhaltung ersetzen.

Der Iran hat in den letzten Jahren mehrfach Wiper-Malware bei zerstörerischen Angriffen eingesetzt. Diese Vorfälle betrafen zwar meist nicht die empfindlichsten industriellen Steuerungssysteme, führten aber zu ernsthaften Betriebsstörungen. Wir sind besorgt, dass die Versuche iranischer Akteure, Zugang zu Anbietern industrieller Steuerungssystemsoftware zu erhalten, dazu genutzt werden könnten, gleichzeitig einen breiten Zugang zu kritischen Infrastrukturen zu bekommen. In der Vergangenheit war die Untergrabung der Lieferkette das Mittel zur produktiven Verbreitung von destruktiver Malware durch russische und nordkoreanische Akteure.“

Vorsicht vor den Desinformations-Netzwerken des Iran

Kommentar von Lee Foster, Senior Manager, Information Operations Analysis, FireEye Intelligence

Der Iran hat in den letzten Jahren rege Online-Desinformations-Netzwerke geschaffen, um seine geopolitischen Ziele voranzutreiben. Sie umfassen viele verschiedene ausgeklügelte Methoden und Taktiken, die stetig verfeinert werden. Dazu gehören unter anderem:

  • Schaffung großer Netzwerke von nicht authentischen Nachrichten-Websites, die pro-iranische Propaganda weltweit verbreiten und politische Gegner wie die USA diskreditieren
  • Nachahmung einflussreicher Personen in sozialen Medien wie Kandidaten für US-Ämter, um deren Glaubwürdigkeit zu untergraben
  • Kreation frei erfundener Journalisten, die Interviews mit pro-iranischen Experten führen
  • Aufbau von Netzwerken nicht authentischer Social-Media-Accounts, die sich als teilweise in den USA ansässige echte, politisch motivierte Personen ausgeben, um kritische Kommentare über Irans politische Gegner zu verbreiten.

Nach dem amerikanischen Vorstoß in der vergangenen Woche beobachten wir bereits verstärkte Aktivitäten in diesen Desinformations-Netzwerken – und es ist zu erwarten, dass sich die Bemühungen um USA-feindliche Stimmung in den kommenden Tagen oder Wochen verschärfen werden. Dabei gibt es viele Ähnlichkeiten, aber auch einige Unterschiede zwischen den Taktiken des Irans und denen Russlands. Russland hat die öffentliche Aufmerksamkeit in der jüngeren Vergangenheit vor allem durch staatlich gelenkte Desinformations-Kampagnen erregt. Irans Bemühungen sind dagegen geografisch breiter ausgelegt und richten sich an Zielgruppen in fast allen Teilen der Welt – die traditionelle Staatspropaganda wurde stark forciert und geopolitische Rivalen kritisiert. Oft wird jedoch übersehen, dass der Iran ähnlich wie Russland damit aggressiv versucht, die Innenpolitik einzelner Länder wie den USA, direkt zu beeinflussen. Letztendlich ist das Ziel, die bereits bestehenden inneren Spaltungen für eigene Zwecke zu verstärken und auszunutzen.

Sind jetzt Energieversorger in den USA in Gefahr?

Kommentar von Nathan Brubaker, Senior Manager, Analyse bei FireEye

Iran-nahe Hackergruppen haben bereits eine Reihe von enorm schädlichen und datenzerstörenden Angriffen auf Öl- und Gasanlagen im Nahen Osten durchgeführt. Bisher haben wir jedoch keine ähnlichen Aktivitäten gegen Energieversorger oder andere kritische Infrastrukturen in den USA beobachtet. Es ist aber möglich, dass die jüngsten Ereignisse die Motivation des Irans für solche Angriffe befeuern. Ist dies der Fall, sind umfassende Investitionen in präventive Schutzmaßnahmen notwendig – auch gegen weniger professionelle Cyber-Attacken.

Der Iran hat zwar ein gewisses Interesse an industriellen Steuerungssystemen (Industrial Control Systems, ICS) in Zielumgebungen gezeigt, bisher aber weder die Fähigkeit noch ein Interesse an der Durchführung eines gezielten ICS-Angriffs demonstriert. Ein solcher würde wahrscheinlich auch jahrelange Vorbereitungen erfordern. Denn das Elektrizitätsnetz der USA ist sehr widerstandsfähig: Es besteht eigentlich aus fünf Netzen (Osten, Westen, Texas, Alaska und Quebec). Daher wäre ein ausgeklügelter, großflächiger Angriff notwendig, um über einen kleinen Ausfall hinaus ernsthafte Schwierigkeiten zu verursachen.