Mit dem Hackebeil: Iranische Hacker infiltrieren Netze weltweit

Als Teil der Operation Cleaver wurden besonders gesicherte Computernetzwerke angegriffen. Unter anderem brachten die Hacker kritische Systeme von Flughäfen und Chemiekonzernen in ihre Gewalt.

In Pocket speichern vorlesen Druckansicht 110 Kommentare lesen
Operation Cleaver

(Bild: Cylance)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Eine iranische Hackergruppe hat in den vergangenen zwei Jahren gezielt besonders abgesicherte Netzwerke angegriffen. Das geht aus einer Untersuchung der Sicherheitsforscher des Unternehmens Cylance. Wer genau die Hacker sind, ist nicht klar; Cylance hat die von ihnen entdeckten Angriffe unter dem Namen Operation Cleaver (engl. für "Operation Hackebeil") zusammengefasst. Die Ziele sind über 16 verschiedene Länder verteilt und beinhalten Flughäfen, Krankenhäuser, Chemiewerke und Telekommunikationsunternehmen. Auch Regierungssysteme wurden erfolgreich von den Hackern infiltriert. In Deutschland sollen Ziele in Düsseldorf und Frankfurt angegriffen worden sein.

Die geographische Verteilung der Opfer

(Bild: Cylance)

Die Forscher vermuten, dass die Angriffe Rache für Stuxnet, Duqu und Flame sein könnten. Nach diesen Angriffen auf iranische Computersysteme habe die Regierung des Landes viel Geld und Mühe aufgewendet, ein eigenes Kontingent von Hackern aufzubauen. Die Hacker sollen weitreichende Kontrolle über die Transportinfrastruktur in Südkorea, Saudi-Arabien und Pakistan gehabt haben.

Die Hacker hatten Zugriff auf Active-Directory-Server, VPN-Zugänge und sogar die Switche und Router. Unter anderem konnten sie die Gate-Software in Flughäfen in ihre Kontrolle bringen und hatten theoretisch die Möglichkeit, falsche Zugangsdaten für das Boarding zu erzeugen. Auch die Linux-Webserver und PayPal-Konten ihrer Opfer waren nicht sicher.

In den vergangenen zwei Jahren hat Cylance nach eigenen Angaben mehr als acht Gigabyte an Daten in Zusammenhang mit Operation Cleaver gesammelt. Darin enthalten sind Logs, Hackertools und interne Dokumente der Gruppe. Cylance hatte diese Daten durch Umleiten von Traffic von den Angreifern auf eigene Systeme erbeutet. Trotzdem vermuten die Forscher, dass dies nur die Spitze des Eisberges ist und viel mehr Ziele angegriffen wurden, von denen sie nichts wissen.

Siehe dazu auch:

(fab)