Telegram & WhatsApp: Iranische Hacker umgehen VerschlĂĽsselung
Angreifer aus Iran führen Forschern zufolge seit Jahren Cyberoperationen durch, mit denen sie die Verschlüsselung populärer Messenger-Dienste überlisten.
Die Fähigkeiten iranischer Hacker mit staatlicher Rückendeckung sind im Westen bislang unterschätzt worden. So lautet das Ergebnis von Untersuchungen der im Mittleren Osten aktiven Bürgerrechtsorganisation Miaan und der IT-Sicherheitsfirma Check Point. Die Experten melden übereinstimmend, dass Angreifer aus dem Land schon seit Jahren und lange Zeit unbemerkt massive Cyberoperationen ausführen, mit denen sie an die eigentlich durchgehend verschlüsselte Kommunikation über Messenger wie WhatsApp und Telegram herankommen.
Manipulierte Websites und Spearphishing-Angriffe
Check Point hat einschlägige, auf den Titel "RampantKitten" getaufte Attacken bis 2014 zurückgeführt. Laut der Analyse des Unternehmens verwenden die Hacker eine Vielzahl von Infiltrationstechniken. Darunter befinden sich neben gängigen Methoden, um über gefälschte Webseiten an Login-Namen und Passwörter zu kommen, auch ausgefeiltere Spearphishing-Angriffe. Dabei werden individuell auf Interessen einzelner Opfer zugeschnittene Dokumente und Anwendungen mit Schadsoftware geschickt.
Die Sicherheitsforscher stießen dabei nach eigenen Angaben zunächst auf ein persischsprachiges Dokument mit dem Titel "Das Regime fürchtet die Ausbreitung der revolutionären Kanonen.docx", das sich auf den Kampf zwischen der Regierung in Teheran und der militanten iranischen Oppositionsbewegung der Volksmudschahedin bezieht und an Mitglieder dieser Gruppe gerichtet war. Eine andere mit Malware gefütterte Datei war als ein von Menschenrechtsaktivisten mit Sehnsucht erwarteter Bericht über Ergebnisse einer IT-Sicherheitsanalyse getarnt.
Clipboard-Daten und Bildschirmfotos
Nachdem die Zielperson das Dokument geöffnet und ein damit verknüpftes Template heruntergeladen hat, führt der Schadcode in dieser Vorlage ein Batch-Skript aus. Dieses versucht, die Nutzlast der nächsten Stufe herunterzuladen und auszuführen. Dabei prüft die Malware, ob Telegram auf dem infizierten Endgerät installiert ist und extrahiert in diesem Fall drei weitere ausführbare Dateien.
Die Hauptkomponenten der Schadsoftware bestehen dem Bericht nach unter anderem aus einem Programm, das zahlreiche für den Chat-Dienst relevante Dateien abzieht und es den Angreifern so erlaube, "das Telegram-Konto des Opfers vollständig zu nutzen". Heruntergeladen werden dazu etwa Informationen aus der Passwortverwaltung KeePass. Jede entdeckte Datei mit vordefinierten Formaten soll auf einen Server übertragen werden. Die Anwendung liest zudem laut den Analysten Clipboard-Daten aus und fertigt Bildschirmfotos an.
Schwachstelle in Installationsprotokollen
Der zweite Bestandteil ist eine Applikation, die verschiedene weitere Module herunterladen soll. Den zugehörigen Server konnten die Forscher nach eigenen Angaben aber nicht erreichen. Zudem werde ein Mechanismus aktiviert, damit der Hack auch nach automatischen Telegram-Updates funktioniert. Da es sich bei den meisten der ausgemachten Opfer um iranische Gegner des Regimes handle, liege es nahe, dass hinter der Operation Geheimdienste des Landes stünden.
Letztlich entdeckten die iranischen Angreifer laut der Analyse eine Schwachstelle in den Installationsprotokollen mehrerer verschlüsselter Chat-Dienste wie Telegram. Damit soll es ihnen möglich gewesen sein, die Installationsdateien der Anwendungen zu stehlen. Die Hacker hätten die verschlüsselten Mitteilungen von Telegram zwar nicht knacken können, heißt es. Für ihre Strategie sei dies aber auch nicht nötig gewesen. Sie hätten selbst Telegram-Logins erstellt, um die App im Namen der Opfer auf einem anderen Gerät zu aktivieren. So seien die Übeltäter imstande gewesen, heimlich alle Aktivitäten der Zielpersonen zu überwachen.
"Die Gruppe führte einen plattformübergreifenden, gezielten Angriff mit Mobil-, Desktop- sowie Web-Angriffsvektoren, der keinen Ausweichpfad für die Opfer auf ihrer Zielliste offenließ", erläuterte Lotem Finkelstein, der bei Check Point für die Aufklärung für Bedrohungslagen zuständig ist, gegenüber der New York Times. Selbst als "sicher" geglaubte Messenger hätten dem wenig entgegenzusetzen gehabt.
Cyberangriffen auf Aktivisten, ethnische Minderheiten und separatistische Oppositionsgruppen
Miaan verfolgte iranische Attacken bis Februar 2018 zurück, schreibt die Organisation in ihrem Bericht. Ausgangspunkt seien Hinweise eines iranischen Menschenrechtszentrums auf schädliche E-Mails gewesen, die sich nach einer gewaltsamen Konfrontation zwischen den Sicherheitskräften im Iran und einer religiösen Sufi-Gruppe an deren Mitglieder richtete. Die Spuren dieses und weiterer Angriffe mit der bis Juni 2020 verwendeten Malware führten die Wissenschaftler zu einem IT-Unternehmen in der nordöstlichen Stadt Mashhad namens Andromedaa.
Die Firma steckt den Ergebnissen zufolge hinter diversen Cyberangriffen auf Aktivisten, ethnische Minderheiten und separatistische Oppositionsgruppen. Sie habe aber auch Phishing- und Malware-Instrumente entwickelt, die auf die breite Öffentlichkeit abzielten. Eine der Anwendung habe es den Hackern erlaubt, Daten herunterzuladen, die in WhatsApp gespeichert waren. Es sei vor allem darum gegangen, Informationen über die iranische Opposition in Europa und den USA zusammenzutragen und Einheimische auszuspionieren, die häufig mobile Apps zur Planung von Protesten nutzen. Erst jüngst hatte eine britische Sicherheitsfirma gemeldet, dass iranische Hacker auch per Social Engineering erfolgreich gewesen seien.
(bme)