Iranische Cyberangriffe auf die US-Infrastruktur, warnt das DHS

Eine Koalition führender US-Cybersicherheits- und Geheimdienstbehörden gab am Montag eine eindringliche Warnung heraus: Iranische staatlich unterstützte Hacker und verbundene Hacktivisten werden voraussichtlich ihre Cyberangriffe auf amerikanische Verteidigungssysteme, kritische Infrastrukturen und industrielle Netzwerke, insbesondere solche mit Verbindungen zu Israel, verstärken.

In einem gemeinsamen Hinweis forderten die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI), das Cyber Crime Center des Verteidigungsministeriums (DC3) und die National Security Agency (NSA) amerikanische Organisationen auf, wachsam gegenüber potenziellen gezielten Cyberaktivitäten gegen die kritische Infrastruktur der USA und andere US-Einheiten durch iranisch-affiliierte Cyberakteure zu bleiben, da die Bedrohungen in Häufigkeit und Komplexität zunehmen.

„Trotz eines erklärten Waffenstillstands und laufender Verhandlungen über eine dauerhafte Lösung können iranisch-affiliierte Cyberakteure und Hacktivistengruppen weiterhin böswillige Cyberaktivitäten durchführen.

Die autorisierenden Behörden überwachen die Situation weiterhin und werden relevante Informationen zu Cyberbedrohungen und Cyberabwehr bereitstellen, sobald sie verfügbar sind“, heißt es in dem gemeinsamen Hinweis.

Obwohl bisher keine groß angelegte koordinierte Kampagne festgestellt wurde, warnen die Behörden vor einem möglichen Anstieg von Cyberangriffen durch iranisch verbundene Hacker, insbesondere da die Spannungen im Nahen Osten weiter zunehmen.

Bedrohungsaktivität

Unternehmen der Verteidigungsindustrie (DIB) – insbesondere solche, die mit israelischen Forschungs- oder Verteidigungsorganisationen verbunden sind – gelten als höher gefährdet. Diese Akteure nutzen häufig schlecht gesicherte Systeme aus, indem sie nicht gepatchte Software, bekannte Schwachstellen und Standard- oder schwache Passwörter ausnutzen.

„Iranisch-affiliierte Cyberakteure und ausgerichtete Hacktivistengruppen nutzen häufig Gelegenheitsziele aus, basierend auf der Verwendung von nicht gepatchter oder veralteter Software mit bekannten Common Vulnerabilities and Exposures (CVEs) oder der Verwendung von Standard- oder gängigen Passwörtern auf internetverbundenen Konten und Geräten“, fügte der Hinweis hinzu.

Die iranischen Cyberbedrohungsgruppen, von denen viele mit dem Islamischen Revolutionsgarten (IRGC) verbunden sind, verwenden eine Reihe von Techniken, wie automatisiertes Passwort-Raten, das Knacken von Passwort-Hashes mit Online-Ressourcen und das Eingeben von Standardherstellerpasswörtern, um Systeme zu durchdringen und unentdeckt über Netzwerke zu gelangen.

Bei Angriffen auf operationale Technologiesysteme (OT) verwenden sie auch Systemtechnik- und Diagnosetools, um Leistung, Sicherheit und Wartungssysteme zu gefährden.

In letzter Zeit haben iranisch ausgerichtete Hacktivisten die Website-Verunstaltungen und Datenlecks erhöht und werden wahrscheinlich Distributed Denial-of-Service (DDoS)-Angriffe auf US- und israelische Websites ausweiten. Darüber hinaus könnten iranische Cyberakteure mit Ransomware-Gruppen zusammenarbeiten, um Daten zu verschlüsseln, sensible Informationen zu stehlen und sie online zu veröffentlichen.

Frühere Bedrohungskampagnen

Zwischen November 2023 und Januar 2024 starteten iranisch-affiliierte Cyberakteure des Islamischen Revolutionsgarten (IRGC) eine globale Cyberkampagne, die auf in Israel hergestellte programmierbare Logiksteuerungen (PLCs) und Mensch-Maschine-Schnittstellen (HMIs) abzielte und US-Sektoren wie Wasser, Energie, Lebensmittel und Gesundheitswesen betraf.

Die Bedrohungsakteure nutzten industrielle Steuerungssysteme (ICS), die über das Internet zugänglich waren und immer noch mit Werkseinstellungen oder gar keinen Passwörtern verwendet wurden, sowie Standard-Transmission Control Protocol (TCP)-Ports, die nicht gesichert waren.

Als Protest gegen den Israel-Hamas-Konflikt führten diese iranischen Cyberakteure auch mehrere Hack-and-Leak-Operationen durch, um sensible Daten zu stehlen und öffentlich zu veröffentlichen, oft verstärkt durch soziale Medien.

Die Angriffe verursachten finanzielle Verluste, reputationsschädigende Auswirkungen und zielten darauf ab, das öffentliche Vertrauen in die Cybersicherheit zu untergraben. Obwohl die meisten Ziele israelisch waren, war auch mindestens ein US-Internetprotokollfernsehunternehmen (IPTV) betroffen.

Minderungen

Die autorisierenden Behörden schlagen in Zusammenarbeit mit US-amerikanischen und ausländischen Regierungspartnern sofortige Schritte für Organisationen vor, insbesondere für solche in kritischer Infrastruktur:

• Identifizieren und Trennen von OT- und ICS-Systemen vom öffentlichen Internet.
• Ersetzen von schwachen/Standardpasswörtern und Implementierung von phishing-resistentem Multi-Faktor-Authentifizierung (MFA)
• Anwenden der neuesten Software-Patches des Herstellers umgehend
• Überwachen auf ungewöhnliches Verhalten bei Fernzugriff
• Durchführung vollständiger System- und Datensicherungen
• Einschränken von Administratorrechten und Übernahme von Mikrosegmentierung

Für weitere Informationen können Organisationen auf CISA’s Iran Threat Overview und die FBI’s Iran Threat-Webseiten verweisen.