Cybersicherheitsexperten schlagen Alarm: Iranische Hackergruppen haben ihre Angriffe auf Organisationen der kritischen Infrastruktur weltweit deutlich intensiviert. Die Bedrohungsakteure zielen nicht nur darauf ab, in Netzwerke einzudringen, sondern verkaufen den erlangten Zugang auch an andere Cyberkriminelle. Dies erhöht die Risiken für Unternehmen und Regierungsbehörden erheblich und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen.
Ziele und Ausmaß der Angriffe
Laut Berichten der Geheimdienste der USA, Kanadas und Australiens konzentrieren sich die iranischen Hacker auf Organisationen in den Bereichen Gesundheitswesen, öffentliche Verwaltung, Informationstechnologie, Maschinenbau und Energieversorgung. Diese Sektoren gelten traditionell als kritisch für die nationale Sicherheit und Wirtschaft, was sie zu besonders attraktiven Zielen für Cyberkriminelle macht.
Innovative Angriffsmethoden
Obwohl Brute-Force-Attacken weiterhin eine häufig eingesetzte Methode darstellen, setzen die Angreifer zunehmend auf fortschrittlichere Techniken:
Password Spraying
Bei dieser Methode versuchen Hacker, auf zahlreiche Konten mit einer begrenzten Anzahl häufig verwendeter Passwörter zuzugreifen. Diese Taktik umgeht effektiv Sicherheitsmaßnahmen, die mehrere fehlgeschlagene Anmeldeversuche von einer einzelnen IP-Adresse blockieren.
Push-Bombing
Angreifer zielen auf Systeme mit Mehrfaktor-Authentifizierung (MFA) ab, indem sie Benutzer mit Push-Benachrichtigungen überhäufen. Ziel ist es, das Opfer dazu zu bringen, den Zugriff entweder versehentlich oder absichtlich zu genehmigen, um die Flut von Benachrichtigungen zu stoppen.
Post-Compromise-Aktivitäten
Nach erfolgreicher Infiltration eines Netzwerks verfolgen die Hacker typischerweise folgende Ziele:
- Sammeln zusätzlicher Anmeldeinformationen
- Eskalation von Privilegien, oft unter Ausnutzung der Zerologon-Schwachstelle (CVE-2020-1472)
- Erkundung der Netzwerkinfrastruktur
- Identifizierung neuer Zugangspunkte und Schwachstellen
Für laterale Bewegungen im Netzwerk nutzen die Angreifer häufig das Remote Desktop Protocol (RDP). Zur Ausführung von Befehlen kommen Tools wie PowerShell und sogar Microsoft Word zum Einsatz.
Effektive Gegenmaßnahmen
Um sich vor diesen hochentwickelten Bedrohungen zu schützen, sollten Organisationen folgende Maßnahmen implementieren:
- Einführung einer strengen Passwortrichtlinie und Mehrfaktor-Authentifizierung
- Regelmäßige Software-Updates und Behebung bekannter Schwachstellen
- Schulung der Mitarbeiter in Cybersicherheitspraktiken
- Einsatz von Intrusion Detection und Prevention Systemen (IDS/IPS)
- Durchführung regelmäßiger Sicherheitsaudits und Penetrationstests
Die zunehmende Bedrohung durch iranische Hackergruppen verdeutlicht die Notwendigkeit kontinuierlicher Wachsamkeit und Verbesserung der Verteidigungssysteme. Organisationen müssen Cybersicherheit als fortlaufenden Prozess betrachten, der sich ständig an neue Bedrohungen und Herausforderungen des digitalen Zeitalters anpasst. Nur durch proaktives Handeln und kontinuierliche Investitionen in Sicherheitsmaßnahmen können Unternehmen und Behörden ihre kritischen Infrastrukturen effektiv vor den sich entwickelnden Cyberbedrohungen schützen.