Von Itay Cohen, Head of Cyber Research bei Check Point Software Technologies
Dieser Angriff reiht sich in eine Flut von Attacken ein, die von Hacker-Gruppen durchgeführt worden sind, welche sich als Aktivisten – oder Hacktivisten – gegen die Regierung des Iran ausgeben. Die Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden – vielleicht von einem Nationalstaat, der ein Interesse daran hat, die kritische Infrastruktur (KRITIS) des Iran zu sabotieren und Panik unter der iranischen Bevölkerung sowie den Beamten zu verbreiten. Eine Gruppe mit dem Namen Predatory Sparrow, hat die Verantwortung für diesen Angriff übernommen und ist dieselbe, welche den Angriff auf die iranische Eisenbahn, den iranischen Rundfunk und die iranischen Tankstellen durchgeführt hatte.
Wir bei Check Point Research haben bereits im vergangenen Jahr einige dieser Angriffe gegen den Iran und seine KRITIS untersucht. Im Februar 2022 dekonstruierten wir die Programme, welche bei einem Cyber-Angriff auf das staatliche iranische Medienunternehmen Rundfunk der Islamischen Republik des Iran verwendet wurden. Im August 2021 folgten wir IT-Attacken auf iranische Bahnhöfe zu einer Gruppe, die sich selbst als Indra bezeichnete. Check Point Research wird daher weiterhin Cyber-Angriffe im Zusammenhang mit dieser Nachricht beobachten und analysieren.
UPDATE:
Check Point Research hat nun Dateien gefunden, die im Zusammenhang mit den jüngsten Angriffen auf das Stahlwerk im Iran stehen. Eine erste Analyse der Malware, die von den Angreifern als Chaplin bezeichnet wird, ergab, dass sie auf einer Wiper-Malware namens Meteor basiert, die bereits bei den Angriffen auf das iranische Eisenbahnsystem und auf das Ministerium für Straßen und Stadtentwicklung im vergangenen Jahr verwendet wurde. Obwohl Chaplin auf diesen Tools aus früheren Angriffen basiert, enthält es nicht deren Löschfunktion – im Englischen als Wipe bezeichnet – und beschädigt nicht das Dateisystem des Opfers. Die Malware verhindert jedoch, dass der Benutzer mit dem Rechner interagieren kann, meldet ihn ab und zeigt auf dem Bildschirm ein Einzelbild-Video an, welches den Cyber-Angriff ankündigt. Die Malware beschädigt den Computer somit in dem Sinne, dass sie ihn daran hindert, korrekt zu starten.
Das Video, das auf dem Computer dem Nutzer abgespielt wird, zeigt die Logos der jüngsten Opfer von Predatory Sparrow:
- Khouzestan Steel Company (KSC)
- Iranische Offshore-Ölgesellschaft
- Ministerium für Straßenbau und Stadtentwicklung
- Eisenbahngesellschaft der Islamischen Republik Iran
Es könnte sein, dass die damals erbeuteten Dateien für den Angriff auf KSC verwendet wurden, da das Unternehmen mittlerweile bestätigte, dass es angegriffen wurde. Wie bei früheren Angriffen trieb die Gruppe ihren alten Scherz mit den Opfern und leitete sie über die Nummer 64411 an das Büro des Obersten Führers des Iran.
Im vergangenen Jahr analysierte Check Point Research die Angriffe auf die iranischen Bahnsysteme und konnte sie mit früheren Angriffen einer Gruppe namens Indra in Verbindung bringen, die seit 2019 gegen Ziele im Iran und in Syrien vorgeht.
Predatory Sparrow, welche die Verantwortung für den Angriff auf die iranische Stahlindustrie übernahm, ist auch für die Angriffe auf die iranischen Eisenbahnsysteme und das iranische Ministerium für Straßen und Stadtentwicklung verantwortlich. Angesichts der Verwendung derselben Werkzeuge, Methoden und Techniken ist es nicht unwahrscheinlich, dass es sich bei Indra und Predatory Sparrow um dieselbe Gruppe handelt.
