Iran verdächtigt, ein europäisches Energieunternehmen gehackt zu haben | VPNoverview.com

Eine staatlich unterstützte Hacking-Gruppe mit Sitz im Iran wird verdächtigt, ein europäisches Energieunternehmen gehackt zu haben. Es wird angenommen, dass die Gruppe bei ihrem Angriff einen RAT (Remote Access Trojan) namens PupyRAT verwendet hat.


Was ist PupyRAT?

Pupy ist eine Open-Source-RAT, die hauptsächlich in Python geschrieben wurde und Angreifern vollen Zugriff auf die Systeme der Opfer ermöglicht. Es ist eine plattformübergreifende Malware und kann somit mehrere Plattformen infiltrieren, nämlich Windows, Linux, OSX und Android.

Ein RAT (Remote Access Trojan) ist Malware, mit der Hacker den Computer oder das Netzwerk eines Opfers überwachen und steuern können. Es funktioniert wie legitime Fernzugriffsprogramme, die häufig vom technischen Support verwendet werden, um Kunden bei Computerproblemen zu unterstützen.

Obwohl PupyRAT eine Open-Source-Malware ist, ist es hauptsächlich mit staatlich unterstützten iranischen Hacking-Kampagnen verbunden. Es ist insbesondere mit der staatlich unterstützten Hacking-Gruppe APT 33 verbunden. APT 33 war an früheren Angriffen auf Organisationen im Energiesektor weltweit beteiligt.

Wie wurde die RAT bereitgestellt??

RATs können nur auf zuvor gefährdeten Systemen bereitgestellt werden. In diesem Fall wissen die Forscher nicht, wie der PupyRAT eingesetzt wurde, glauben jedoch, dass er über Spear-Phishing-Angriffe verbreitet wurde.

Spear-Phishing-Angriffe richten sich eher an einen einzelnen Empfänger als an eine große Anzahl von Empfängern wie bei normalen Phishing-Angriffen. Cyberkriminelle wählen ein Ziel innerhalb einer Organisation aus und nutzen soziale Medien und andere öffentliche Informationen, um mehr über ihr potenzielles Opfer zu erfahren. Anschließend erstellen sie eine gefälschte E-Mail, die auf diese Person zugeschnitten ist.

In früheren APT 33-Kampagnen haben Angreifer ein potenzielles Opfer ausgewählt und ihr Vertrauen gewonnen, bevor sie ihnen schließlich ein schädliches Dokument per E-Mail gesendet haben. Folglich halten Forscher es für wahrscheinlich, dass in diesem Fall dieselbe Bereitstellungsmethode verwendet wurde.

Nachweis des Eindringens in das Energieunternehmen

Die Insikt Group von Recorded Future berichtete gestern, dass sie Hinweise darauf gefunden haben, dass ein PupyRAT Command and Control (C2) -Server von Ende November 2019 bis zum 5. Januar 2020 mit einem Mailserver chattet.

In dem Bericht der Insikt Group heißt es weiter: “Obwohl Metadaten allein keinen Kompromiss bestätigen, beurteilen wir, dass das hohe Volumen und die wiederholte Kommunikation vom Ziel-Mailserver zu einem PupyRAT C2 ausreichen, um auf ein wahrscheinliches Eindringen hinzuweisen.”

Der Mailserver gehörte einer europäischen Organisation des Energiesektors an, die die Zuweisung und Beschaffung von Energieressourcen in Europa koordiniert. Angesichts der Rolle der Organisation ist dieser Angriff von besonderem Interesse, insbesondere angesichts der Zunahme iranischer Eingriffe in die ICS-Software des Energiesektors.

Phil Neray, Vizepräsident für industrielle Cybersicherheit bei CyberX, kommentierte: „Angesichts der weitreichenden grenzüberschreitenden Abhängigkeiten in der europäischen Energieinfrastruktur scheint dies ein strategischer Schritt des Gegners zu sein, sich auf ein zentrales Ziel zu konzentrieren, um mehrere Länder auf der EU zu beeinflussen Gleichzeitig ähnelt es dem strategischen Wert, eine einzelne zentrale Übertragungsstation anstelle mehrerer entfernter Umspannwerke anzugreifen – wie es russische Bedrohungsakteure beim ukrainischen Netzangriff 2016 im Vergleich zu ihrem Angriff von 2015 getan haben. “

Die Ziele der Angreifer

Forscher glauben, dass diese jüngste Hacking-Kampagne gegen europäische Unternehmen im Energiesektor eine Aufklärungsmission war. Es wird angenommen, dass die Mission darauf abzielt, wichtige Kenntnisse über die Prozesse von Energiekraftwerken und ihre industriellen Steuerungssysteme (ICS) zu sammeln. Die Angreifer versuchen auch, Schwachstellen in den Prozessen und der kritischen Infrastruktur von Unternehmen zu identifizieren.

Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future, erklärt: „Die Aktivierung von Operationen oder zerstörerischen Angriffen erfordert diese monatelange Aufklärung und Einsicht in das Verhalten der Beamten dieser Unternehmen und das Verständnis, wie sich eine bestimmte Fähigkeit auf Informationen oder die Verteilung von Energie auswirken kann Ressourcen.”

Für Länder wie den Iran, die im Verdacht stehen, diese Hacking-Gruppen zu sponsern, kann dieses Wissen in Konfliktfällen gegen Gegner eingesetzt werden. Die Informationen können verwendet werden, um Cyberangriffe zu starten, um die Schlüsselsektoren eines Gegners wie Strom, Wasser und Transport zu lähmen.

Vor diesem Hintergrund ist es interessant, die Daten der Hacking-Kampagne zu notieren. Dies deutet darauf hin, dass die Hacking-Kampagne vor den geopolitischen Spannungen begann, die durch die Ermordung des iranischen Generals Qassem Soleimani verursacht wurden. Folglich konnte dieser Cyberangriff kein Vergeltungsangriff für Soleimanis Ermordung sein.

Frühere Angriffe auf kritische Infrastrukturen

Die Angriffe auf IKS-Systeme und kritische Infrastrukturen haben in den letzten Jahren zugenommen. Der Grund dafür ist, dass es sich um vergleichsweise einfache Ziele handelt.

Das Hauptproblem bei IKS-Systemen und kritischen Infrastrukturen wie Eisenbahnen und Kraftwerken besteht darin, dass die meisten gebaut wurden, bevor die Cybersicherheit in Betracht gezogen wurde. Viele von diesen hatten keine Sicherheitssysteme und einige ICS-Systeme immer noch nicht. Wenn sie dann mit Sicherheitssystemen nachgerüstet werden, ist es nicht immer einfach zu erkennen, wo noch Löcher vorhanden sind. Tatsächlich sind beispielsweise viele ICS-Systeme voller Schwachstellen.

Der bekannteste Angriff auf kritische Infrastrukturen wurde 2012 mit der Malware Stuxnet durchgeführt. Stuxnet ist ein Computerwurm, der speziell auf speicherprogrammierbare Steuerungen (SPS) abzielt. Diese ermöglichen die Automatisierung industrieller Prozesse und Prozesse zur Steuerung von Maschinen.

Forscher glauben, dass Stuxnet vom amerikanischen und israelischen Geheimdienst entwickelt wurde und zum Angriff auf eine iranische Atomraffinerie verwendet wurde. Es sammelte sowohl Informationen als auch zerstörte Tausende von Zentrifugen, die zur Anreicherung von Uran verwendet wurden.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me