Cyberwar: Im Nahen Osten wird es heiß

Der Krieg verlagert sich zunehmend ins Netz. Besonders gut ist das aktuell am persischen Golf zu sehen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Cyberwar: Im Nahen Osten wird es heiß

(Bild: Photo by JC Gellidon on Unsplash)

Lesezeit: 4 Min.
Von
  • Patrick Howell O'Neill
Inhaltsverzeichnis

Die Öl- und Gasgiganten im Nahen Osten fürchten sich vor Angriffen auf ihre kritischen Infrastrukturen. Eine neue Analyse der amerikanischen Sicherheitsfirmen Dragos und Dell Secureworks hat nun eine neue Hackergruppe mit dem Codenamen Hexane entdeckt, die aus dem persischen Golf zu stammen scheint. Sie steht in einer langen Liste ähnlicher Gruppierungen, denen die USA vorwerfen, mit dem Iran zusammenzuarbeiten oder von diesem Geld anzunehmen.

Ob das bei Hexane wirklich der Fall ist, wollen die Security-Experten nicht definitiv sagen. "Aktuell handelt es sich um Zugriffsoperationen", erläufte Rafe Piling, Senior Security Researcher bei der Counter Threat Unit von Secureworks. "Kurzfristig soll Zugriff auf das Ziel erlangt und dieser bewahrt werden. Auf mittlere Sicht will die Gruppe potenziell Spionagematerial finden. All das gibt denjenigen, die sie leiten, natürlich die Möglichkeit, später wiederzukommen und deutlich disruptiver vorzugehen."

Ein Beispiel dafür war eine Hackingkampagne, die 2012 erfolgte. Damals sollen iranische Hacker in die Rechner des saudi-arabischen Erdölgiganten Aramco eingedrungen sein und löschten dort zahlreiche Dateien, die zehntausende Rechner lahmlegten. Die damals verwendete Malware nannte sich Shamoon.

Saudi Aramco gehört dem Staat und ist eine der wertvollsten Firmen des Planeten – und bildet damit eines der Zentren der saudischen Macht. Aber auch die anderen regionalen Energiefirmen sind enorm wichtig für alle Nationen am Golf. Die Shamoon-Angreifer sollen auch Rechner des qatarischen Energiekonzerns RasGas überfallen haben.

Hexane ist nach bisherigen Erkenntnissen seit 2018 aktiv, hat seine "Projekte" jedoch 2019 massiv ausgebaut und setzt neue Malware gegen seine Ziele ein. Der erste Schritt im Rahmen dieser Taktik ist stets ein gezielter Spearphishing-Angriff etwa gegen Personen im Bereich Personalverwaltung oder Technik einer Organisation.

"Die Kompromittierung einzelner Accounts im Personalwesen könnte Informationen und Account-Zugriffe ergeben, die sich dann für weitere gezielte Angriffe im beabsichtigten Umfeld nutzen lassen – auch gegen angeschlossene Organisationen", schreiben die Secureworks-Forscher in ihrem Bericht. Mitarbeiter der IT-Abteilung hätten privilegierte Accounts und Zugriff auf Dokumente, über die Angreifer ihre Umgebung näher auskundschaften können – um Netzwerke, Systeme und Daten aufzufinden, die von Interesse sind.

In der Sicherheitsszene wird noch darüber spekuliert, welche exakten Ziele Hexane hat. Hacker könnten IT-Systeme wie Desktop-Rechner ebenso angreifen wie operative Systeme, die für Industrieanlagen verwendet werden – etwa Progammable Logic Controller (PLCs) für die Öl- und Gas-Herstellung. Doch die Bereiche sind unmittelbar miteinander verbunden, weshalb Piling glaubt, dass sich die Angreifer von einem Bereich in den anderen vorkämpfen.

Ob es konkrete technische Verbindungen zum Iran gibt, wurde bislang nicht nachgewiesen. Bei Secureworks sieht man allerdings "stilistische Ähnlichkeiten", die darauf schließen lassen.

Mehr Infos

"Die Malware ist in einer frühen, noch unreifen Form, doch sie enthält Funktionen, wie wir sie typischerweise aus iranischer Produktion kennen", meint Experte Piling. Die seien allerdings keineswegs spezifisch und jemand könne auch einfach nur versuchen, diese Charakteristika zu emulieren.

Auch wenn der persische Golf aktuell ein heißes Pflaster für Computerangriffe ist, können die Hacker von dort in der ganzen Welt zugreifen. Anfang des Jahres identifizierte Dragos eine Gruppe namens Magnallium, die die US-Regierung angriff – und auch amerikanische Finanz- und Energiefirmen.

Umgekehrt greifen aber auch amerikanische Hacker iranische Systeme an. US-Präsident Donald Trump soll bereits Cyberattacken auf iranische Waffentechnik angeordnet haben, nachdem eine US-Drohne vom iranischen Militär abgeschossen worden war.

(bsc)