Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Vorsicht! Iranische Cyberangriffe bedrohen kritische...

Vorsicht! Iranische Cyberangriffe bedrohen kritische Infrastrukturen im Rahmen einer anhaltenden globalen Kampagne

Von Mura in Computersicherheit
Übersetzen Sie in:
Deutsch

In der sich ständig weiterentwickelnden Welt der Cyberbedrohungen ist der Anstieg staatlich geförderter Cyberangriffe auf kritische Infrastrukturen einer der alarmierendsten Trends. Jüngste gemeinsame Warnmeldungen von Cybersicherheits- und Geheimdiensten in den USA, Australien und Kanada enthüllen eine seit einem Jahr andauernde Kampagne iranischer Cyberakteure, die auf Schlüsselsektoren wie das Gesundheitswesen, den Energiesektor, den Staat und die Informationstechnologie abzielt.

Die Methoden hinter iranischen Cyberangriffen

Seit Oktober 2023 setzen iranische Cyber-Akteure Brute-Force-Angriffe und Passwort-Spraying ein, um in Organisationen einzudringen . Diese Taktiken beinhalten das systematische Erraten von Passwörtern und das Überwältigen von Anmeldesystemen, um unbefugten Zugriff auf Benutzerkonten zu erhalten. Sektoren wie das Gesundheitswesen, das Ingenieurwesen und staatliche Dienstleistungen sind aufgrund ihrer Sensibilität und Bedeutung die Hauptziele.

Eine neue Taktik dieser Angreifer ist das Push-Bombing mit Multi-Faktor-Authentifizierung (MFA), auch bekannt als MFA-Fatigue. Indem sie Benutzer mit wiederholten MFA-Anfragen überfluten, hoffen die Angreifer, die Opfer zu verärgern oder zu verwirren, sodass sie den Zugriff unbeabsichtigt genehmigen. Ray Carney, ein Cybersicherheitsexperte bei Tenable, empfiehlt die Verwendung einer Phishing-resistenten MFA oder die Verwendung von Nummernabgleich für einen sichereren Authentifizierungsprozess.

Das Hauptziel dieser Angriffe besteht darin, Anmeldeinformationen und detaillierte Netzwerkinformationen zu stehlen, die dann in Untergrundforen verkauft werden. Dies schafft Möglichkeiten für andere Cyberkriminelle, kompromittierte Systeme für weitere Angriffe auszunutzen, und steht im Einklang mit der breiteren Cybersicherheitslandschaft der Zusammenarbeit zwischen staatlich geförderten Gruppen und organisierter Cyberkriminalität.

Fortgeschrittene Angriffstechniken

Nach dem ersten Zugriff führen iranische Angreifer in der Regel eine gründliche Erkundung der Systeme des Ziels durch. Sie verwenden „Living-off-the-land“-Tools (LotL), die die Infrastruktur der Organisation nutzen, um unentdeckt zu bleiben. Exploits zur Rechteausweitung, wie die bekannte Zerologon-Sicherheitslücke (CVE-2020-1472), helfen Angreifern, tiefer in Systeme einzudringen.

In vielen Fällen nutzen Angreifer Remote Desktop Protocols (RDP) und Tools wie Cobalt Strike, um Command-and-Control-Verbindungen (C2) herzustellen. Insbesondere registrieren sie manchmal ihre eigenen Geräte bei MFA-Systemen, sodass sie über lange Zeiträume hinweg dauerhaften Zugriff aufrechterhalten können, ohne Verdacht zu erregen.

Ziel: Active Directory und darüber hinaus

Iranische Cyber-Akteure konzentrieren sich zunehmend auf die Kompromittierung von Active Directory, dem Rückgrat vieler IT-Umgebungen in Unternehmen. Active Directory spielt eine entscheidende Rolle bei der Verwaltung von Benutzerauthentifizierung und Berechtigungen in Netzwerken. Der Angriff auf dieses System ermöglicht es Angreifern, ihre Privilegien zu erhöhen, was ihnen Zugriff auf hochsensible Informationen und Kontrolle über kritische Systeme verschafft.

Jüngste Veränderungen in der globalen Bedrohungslandschaft deuten auch auf einen Trend zur Zusammenarbeit zwischen staatlichen Hackergruppen und cyberkriminellen Organisationen hin. Der Digital Defense Report 2024 von Microsoft hebt hervor, dass vom iranischen Staat gesponserte Angreifer ihre Operationen nicht nur aus geopolitischen Gründen durchführen, sondern auch durch finanzielle Gewinne motiviert sind. Indem sie Teile ihrer Operationen an Cyberkriminelle auslagern, erweitern sie ihre Reichweite und bleiben dabei unauffälliger.

Was Organisationen tun können

Um diese Risiken zu mindern, müssen Organisationen in den Zielsektoren proaktive Maßnahmen ergreifen:

  • Implementieren Sie, wo immer möglich, eine Phishing-resistente MFA. Wenn dies nicht möglich ist, verwenden Sie den Nummernabgleich als sekundäre Authentifizierungsoption.
  • Führen Sie regelmäßig Prüfungen und Patches für Schwachstellen durch, insbesondere im Active Directory und anderen kritischen Systemen.
  • Schulen Sie Ihre Mitarbeiter darin, die Anzeichen von MFA-Müdigkeit zu erkennen, und ermutigen Sie sie, verdächtige Anmeldeversuche zu melden.
  • Überwachen Sie den Netzwerkverkehr auf ungewöhnliche Aktivitäten, insbesondere ausgehende Verbindungen zu bekannter C2-Infrastruktur.
  • Arbeiten Sie mit Behörden und Branchenkollegen zusammen, um über die neuesten Bedrohungen und bewährten Abwehrmethoden auf dem Laufenden zu bleiben.

Der Weg in die Zukunft

Da Cyberangriffe immer raffinierter werden und mit globalen geopolitischen Zielen verknüpft sind, müssen Unternehmen wachsam sein. Die jahrelange Kampagne iranischer Cyber-Akteure ist eine deutliche Erinnerung daran, dass selbst die robustesten Sicherheitssysteme ohne geeignete Abwehrmaßnahmen kompromittiert werden können.

Um diesen Bedrohungen immer einen Schritt voraus zu sein, sind ständige Anpassung, Zusammenarbeit und die Einhaltung bewährter Verfahren im Bereich Cybersicherheit erforderlich. Zwar ist kein System undurchdringlich, aber informierte und vorbereitete Organisationen haben eine weitaus bessere Chance, der wachsenden Welle von Cyberangriffen standzuhalten.

Wird geladen...