Nach der Ermordung des iranischen Generals Qasem Soleimani durch die USA und dem darauf folgenden Vergeltungsschlag gegen Raketen warnten Iran-Beobachter, dass das Land auch Cyberangriffe durchführen und möglicherweise sogar kritische US-Infrastrukturen wie das Stromnetz ins Visier nehmen könnte. Ein neuer Bericht verleiht der Art dieser Bedrohung einige neue Details: Iranische Hacker sind derzeit offenbar nicht in der Lage, Stromausfälle in den USA zu verursachen. Sie bemühten sich jedoch um den Zugang zu amerikanischen Elektrizitätsversorgungsunternehmen, lange bevor sich die Spannungen zwischen den beiden Ländern zuspitzten.
Am Donnerstagmorgen hat die Sicherheitsfirma für industrielle Steuerungssysteme Dragos die neu aufgedeckten Hacking-Aktivitäten, die sie verfolgt und einer Gruppe staatlich geförderter Hacker, die sie Magnallium nennt, zugeschrieben hat, aufgedeckt. Dieselbe Gruppe ist auch als APT33, Refined Kitten oder Elfin bekannt und war zuvor mit dem Iran verbunden. Laut Dragos hat Magnallium eine breite Kampagne von so genannten Password-Spraying-Angriffen durchgeführt, bei denen eine Reihe gemeinsamer Passwörter für Hunderte oder sogar Tausende verschiedener Konten erraten wurde, die sich an US-amerikanische Stromversorger sowie Öl- und Gasunternehmen richteten.
Eine verwandte Gruppe, die Dragos Parisite nennt, habe offenbar mit Magnallium zusammengearbeitet, um Zugang zu US-amerikanischen Energieversorgern und Öl- und Gasunternehmen zu erhalten, indem sie Schwachstellen in Virtual Private Networking-Software ausnutzte. Die kombinierte Aufschaltungskampagne der beiden Gruppen dauerte das ganze Jahr 2019 und dauert bis heute an.
"Mein Anliegen ist der Zugriff, den Gruppen möglicherweise bereits haben."
Rob Lee, Dragos
Dragos lehnte es ab, sich dazu zu äußern, ob eine dieser Aktivitäten zu tatsächlichen Verstößen führte. Der Bericht macht jedoch deutlich, dass die iranischen Hacker trotz der IT-Systemprüfungen keine Anzeichen dafür sahen, dass sie auf die weitaus spezialisiertere Software zugreifen konnten, die die physische Ausrüstung von Stromnetzbetreibern oder Öl- und Gasanlagen steuert. Insbesondere in Elektrizitätsversorgungsunternehmen würde das digitale Auslösen eines Stromausfalls weitaus komplexer sein als die Techniken, die Dragos in seinem Bericht beschreibt.
Angesichts der Bedrohung durch iranische Gegenangriffe sollten Infrastrukturbesitzer dennoch auf die Kampagne aufmerksam werden, argumentiert der Gründer von Dragos und frühere Analyst für Bedrohungsinformationen für kritische Infrastrukturen der NSA, Rob Lee. Und sie sollten nicht nur neue Versuche in Betracht ziehen, ihre Netzwerke zu durchbrechen, sondern auch die Möglichkeit, dass diese Systeme bereits kompromittiert wurden. "Ich bin nicht besorgt über die Situation im Iran, weil wir eine neue große Operation sehen werden", sagt Lee. "Mein Anliegen ist der Zugriff, den Gruppen möglicherweise bereits haben."
Die von Dragos beobachteten Kampagnen zur Passwortüberprüfung und zum VPN-Hacking beschränken sich nicht nur auf Netzbetreiber oder Öl und Gas, warnt Joe Slowik, Analyst bei Dragos. Er sagte aber auch, der Iran habe "definitives Interesse" an kritischen Infrastrukturzielen gezeigt, zu denen Elektrizitätsversorger gehören. "Wenn sie die Dinge auf eine so weit verbreitete Art und Weise erledigen, dass sie ungezielt, schlampig oder laut erscheinen, können sie versuchen, relativ schnell und kostengünstig mehrere Zugangspunkte aufzubauen, die an einem Punkt ihrer Wahl zu Folgeaktivitäten erweitert werden können. "sagt Slowik, der früher als Leiter des Incident Response Teams des Energieministeriums tätig war.
Berichten zufolge haben die Hacker des Iran bereits US-amerikanische Elektrizitätsversorger verletzt und damit die Grundlage für mögliche Angriffe auf US-amerikanische Elektrizitätsversorger sowie Russland und China gelegt. Dasselbe tun US-Hacker auch in anderen Ländern. Aber diese Welle von Gitternetzuntersuchungen würde eine neuere Kampagne darstellen, nach dem Zusammenbruch des Atomabkommens der Obama-Regierung mit dem Iran und den Spannungen, die zwischen den USA und dem Iran seit dem iranischen Raketenangriff am Dienstagabend zugenommen haben und erst etwas nachgelassen haben.
Die Passwort-Sprühkampagne Dragos beschreibt Übereinstimmungen mit ähnlichen Erkenntnissen von Microsoft. Im November gab Microsoft bekannt, dass Magnallium eine Kampagne zum Versprühen von Passwörtern nach einem ähnlichen Zeitplan durchgeführt hatte, die sich jedoch an Anbieter von Industriesteuerungssystemen richtete, wie sie in Elektrizitätsversorgungsunternehmen, Öl- und Gasanlagen und anderen Industrieumgebungen eingesetzt werden. Microsoft warnte damals, dass diese Kampagne zum Versprühen von Passwörtern ein erster Schritt in Richtung Sabotage sein könnte, obwohl andere Analysten festgestellt haben, dass sie möglicherweise auch auf Industriespionage abzielt.
Dragos lehnte es ab, die Details der VPN-Sicherheitslücken, die Parisite ausnutzen wollte, mitzuteilen. ZDNet berichtete heute jedoch separat, dass iranische Hacker Sicherheitslücken in einem Pulse Secure- oder Fortinet VPN-Server ausnutzten, um Wiper-Malware in Bahrains nationaler Ölfirma Bapco zu installieren. Berichte des Sicherheitsunternehmens Devcore aus dem letzten Jahr ergaben Schwachstellen sowohl in den VPNs von Pulse Secure als auch von Fortinet sowie in den von Palo Alto Networks verkauften.
Lee warnt, dass trotz Magnallium und Parisites Überprüfung des Gitters Dragos 'Erkenntnisse keine Panik über mögliche Stromausfälle auslösen sollten. Während der Iran Interesse am Hacking von industriellen Kontrollsystemen gezeigt hat, gibt es keine Anzeichen für die erfolgreiche Entwicklung von Werkzeugen und Techniken, die eine Unterbrechung von physischen Geräten wie Leistungsschaltern ermöglichen würden. "Ich habe keine Möglichkeit gesehen, die Infrastruktur erheblich zu stören oder zu zerstören", sagt Lee.
