Die iranischen Hacker haben einige der störendsten Akte der digitalen Sabotage des letzten Jahrzehnts begangen und ganze Computernetzwerke in Wellen von Cyberangriffen im Nahen Osten und gelegentlich sogar in den USA vernichtet. Aber jetzt scheint eine der aktivsten Hacker-Gruppen Irans den Fokus verschoben zu haben. Sie zielen nicht nur auf Standard-IT-Netzwerke ab, sondern auf die physischen Kontrollsysteme, die in Elektrizitätsversorgungs-, Fertigungs- und Ölraffinerien eingesetzt werden.
Auf der CyberwarCon-Konferenz in Arlington, Virginia, am Donnerstag, plant der Microsoft-Sicherheitsforscher Ned Moran, neue Erkenntnisse der Unternehmensgruppe für Bedrohungsinformationen vorzustellen, die eine Verschiebung der Aktivität der iranischen Hacker-Gruppe APT33, auch bekannt unter dem Namen Holmium, Refined, belegen Kätzchen oder Elfin. Microsoft hat im vergangenen Jahr beobachtet, wie die Gruppe so genannte Password-Spraying-Angriffe durchführte, bei denen bei Zehntausenden von Unternehmen nur ein paar gängige Passwörter für Benutzerkonten ausprobiert wurden. Das ist im Allgemeinen eine rohe und willkürliche Form des Hackens. Laut Microsoft hat APT33 in den letzten zwei Monaten das Sprühen von Kennwörtern auf rund 2.000 Organisationen pro Monat erheblich eingeschränkt, während sich die Anzahl der Konten, die für jede dieser Organisationen bestimmt sind, im Durchschnitt fast verzehnfacht hat.
Microsoft stufte diese Ziele nach der Anzahl der Konten ein, die Hacker zu knacken versuchten. Laut Moran war etwa die Hälfte der Top 25 Hersteller, Zulieferer oder Instandhalter industrieller Steuerungssysteme. Insgesamt, so Microsoft, hat APT33 seit Mitte Oktober Dutzende dieser Industrieanlagen- und Softwarefirmen ins Visier genommen.
Die Motivation der Hacker - und welche industriellen Kontrollsysteme sie tatsächlich verletzt haben - bleibt unklar. Moran spekuliert, dass die Gruppe versucht, Fuß zu fassen, um Cyberangriffe mit physisch störenden Auswirkungen durchzuführen. "Sie verfolgen diese Produzenten und Hersteller von Steuerungssystemen, aber ich denke nicht, dass sie die Endziele sind", sagt Moran. "Sie versuchen, den nachgeschalteten Kunden zu finden, um herauszufinden, wie sie funktionieren und wer sie verwendet. Sie wollen die kritische Infrastruktur eines Menschen, der diese Steuerungssysteme nutzt, in Mitleidenschaft ziehen."
"Angesichts ihrer bisherigen Vorgehensweise bei destruktiven Angriffen ist es naheliegend, dass sie ICS anstreben."
Ned Moran, Microsoft
Die Verschiebung ist aufgrund ihrer Vorgeschichte insbesondere für APT33 ein beunruhigender Schritt. Obwohl laut Moran Microsoft keine direkten Beweise dafür gesehen hat, dass APT33 eher einen störenden Cyberangriff als bloße Spionage oder Aufklärung durchführt, gab es Fälle, in denen die Gruppe zumindest die Grundlage für diese Angriffe gelegt hat. Die Fingerabdrücke der Gruppe zeigten sich bei mehreren Eingriffen, bei denen die Opfer später mit einem Stück von Sagt Moran getroffen wurden.
Adam Meyers, Vizepräsident für Geheimdienste bei der Sicherheitsfirma Crowdstrike, warnt jedoch davor, zu viel in den neu entdeckten Fokus von APT33 zu lesen. Sie könnten sich genauso gut auf Spionage konzentrieren. "Das gezielte Anvisieren von IKS könnte ein Mittel sein, um einen zerstörerischen oder zerstörerischen Angriff durchzuführen, oder es könnte ein einfacher Weg sein, in viele Energieunternehmen einzudringen, da sich Energieunternehmen auf diese Technologien verlassen", sagt Meyers. "Es ist wahrscheinlicher, dass sie eine E-Mail von ihnen öffnen oder Software von ihnen installieren."
Der WIRED-Leitfaden für Cyberwar
Die Bedrohung durch den Cyberkrieg droht in der Zukunft: Eine neue Dimension von Konflikten, die dazu fähig ist, Grenzen zu überschreiten und das Kriegschaos zu Zivilisten zu teleportieren, die Tausende von Kilometern hinter ihrer Front stehen.
Von Andy Greenberg
Die mögliche Eskalation ist auf einen angespannten Moment in den iranisch-amerikanischen Beziehungen zurückzuführen. Im Juni warfen die USA dem Iran vor, mit Hilfe von Napfschnecken Löcher in zwei Öltankschiffe in der Straße von Hormus gesprengt und eine US-Drohne abgeschossen zu haben. Im September führten die iranischen Houthi-Rebellen einen Drohnenangriff gegen saudische Ölfabriken durch, bei dem die Ölförderung des Landes vorübergehend halbiert wurde.
Moran stellt fest, dass die Angriffe des Iran im Juni teilweise mit einem Angriff des US Cyber Command auf die iranische Geheimdienstinfrastruktur beantwortet wurden. Tatsächlich hat Microsoft festgestellt, dass die Aktivitäten von APT33 zum Versprühen von Passwörtern am Nachmittag des 20. Juni von zehn Millionen Hackversuchen pro Tag auf null gesunken sind, was darauf hindeutet, dass die Infrastruktur von APT33 möglicherweise betroffen ist. Aber Moran sagt, dass das Sprühen von Passwörtern etwa eine Woche später wieder zu den üblichen Werten zurückkehrte.
