Spionageabwehr

Cyberangriffe aus Iran: APT „Mabna Institute“/„Silent Librarian“ 

Die Zahl der Cyberangriffskampagnen mit mutmaßlich staatlich bzw. nachrichtendienstlich gesteuertem iranischem Hintergrund haben sich in den vergangenen Jahren auf anhaltend hohem Niveau bewegt. Neben russischen und chinesischen Cyberakteuren haben sich Cybergruppierungen aus der Islamischen Republik Iran mittlerweile auf dem Gebiet der Cyberspionage- und -sabotage weltweit etabliert. Westliche Staaten, auch Deutschland, sind in den vergangenen Jahren dabei vermehrt in den Fokus der Aktivitäten geraten. 

Die Angriffe dienen zum einen der Informationsbeschaffung und ergänzen die Handlungsfelder der klassischen Spionage. Zum anderen werden sie zur Kaperung von IT-Infrastrukturen genutzt, um weitere Cyberangriffe zu verschleiern (Command-and-Control-Server). Cybersabotageangriffe auch auf westliche Staaten wurden in der Vergangenheit ebenfalls beobachtet, wenngleich eine deutsche Betroffenheit bislang nicht festzustellen war.

Aufgrund der politischen Bedeutung Deutschlands sowie seines Potenzials und Know-hows in Wirtschaft, Wissenschaft und Forschung ist von einer anhaltend hohen Bedrohungslage durch iranische Cyberangriffe gegen deutsche Stellen auszugehen.

Seit mehreren Jahren beobachten die Sicherheitsbehörden in Deutschland die sehr aktive, immer wiederkehrende iranische Cyberangriffskampagne „Mabna Institute“ (alias „Silent Librarian“, „Cobalt Dickens“, „Flying Kitten“). Sie ist mutmaßlich staatlich gesteuert. Cyberangriffe dieses Akteurs richten sich gezielt gegen akademische Einrichtungen und Forschungsinstitute. Konkrete Ziele sind interne Portale wie Bibliotheks-, Forschungs- oder Lernplattformen, auf deren Inhalte man nur mit persönlicher Authentisierung, Authentifizierung und Autorisierung  Zugriff erhält.

Der Modus Operandi ist bekannt: Mit professionell gestalteten Spear-Phishing-Mails  versuchen die Angreifer, an Zugangsdaten von Opfern zu gelangen. Diese E-Mails enthalten Links auf eine vermeintliche Anmeldemaske des internen Netzwerks der angegriffenen Einrichtung. Ein Empfänger soll dazu animiert werden, hier seine Zugangsdaten einzugeben. Tatsächlich ist die verlinkte Login-Seite detailgenau nachgeahmt. Die eingegebenen Daten werden automatisch an den Angreifer übermittelt und das Opfer auf die legitime Seite der Einrichtung weitergeleitet. Zum Teil wurden bei den Angriffen auch real existierende, zuvor von den Angreifern gekaperte E-Mail-Accounts anderer akademischer Einrichtungen verwendet. Deren Infrastruktur missbrauchten die Täter, um die Legitimität der Angriffs-E-Mail vorzutäuschen bzw. etwaige Schutzmaßnahmen weiterer Ziele zu umgehen.

Mit den erbeuteten Zugangsdaten verschaffen sich die Täter direkten Zugriff auf interne Portale (Bibliotheks-, Forschungs- oder Lernplattformen) der Einrichtung. Dort interessieren sie sich insbesondere für unveröffentlichte Forschungsergebnisse und -arbeiten, Dissertationen oder Konferenzberichte, aber auch für persönliche Daten der Opfer, die sie bei späteren Angriffen missbräuchlich nutzen können.

Die Cyberabwehr des Landesamts für Verfassungsschutz hat wegen einer aktuell erneut beobachteten Angriffswelle dieser Gruppierung umfangreiche Sensibilisierungsmaßnahmen im Land eingeleitet und mit potenziell betroffenen Einrichtungen Kontakt aufgenommen. Diese wurden entsprechend sensibilisiert, sie erhielten technische Indikatoren zur Prüfung weiterer Betroffenheit und präventive Handlungsempfehlungen.

Die Cyberabwehr geht davon aus, dass mit derartigen Angriffshandlungen weiterhin zu rechnen ist. Sie steht akademischen Einrichtungen im Land als Ansprechpartner zu diesem Fallkomplex – wie auch generell zum Themenkomplex Cyberspionage und -sabotage – gerne zur Verfügung.



Erläuterungen

  • Der Begriff APT (Advanced Persistent Threat, auf Deutsch: fortgeschrittene, andauernde Bedrohung) beschreibt einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastruktur oder vertrauliche Daten. APTs erfolgen nach langer Vorbereitung und Anpassung an das Opfer. Zumeist ist es das Ziel, sich möglichst lange unentdeckt im Opfersystem zu bewegen, um möglichst viele Daten abzugreifen.
  • Command-and-Control-Server (auch C&C-Server, C2 Server oder Kontrollserver): Server der unter Kontrolle der Angreifer steht. Infizierte Systeme nehmen i. d. R. Kontakt mit einem solchen Kontrollserver auf. Der Angreifer kann so z. B. Schadprogramme steuern und nachladen oder ausgespähte Daten empfangen. Oftmals handelt es sich hierbei um legitime Server, die ein Angreifer zur Verschleierung weiterer Angriffe einsetzt und zuvor ebenfalls kompromittiert hat.
  • Authentisierung: Nachweis einer Person, dass sie tatsächlich diejenige Person ist, die sie zu sein vorgibt (z. B. mittels Smartcard und PIN oder Biometrie).
  • Authentifizierung: Prüfung der behaupteten Authentisierung (durch IT-System).
  • Autorisierung: Einräumung von speziellen Rechten (IT-System räumt ein oder verweigert). 
  • Beim Phishing versuchen Angreifer über gefälschte oder kompromittierte Webseiten, E-Mails oder Nachrichten an Benutzerinformationen zu gelangen. Dabei geht es vor allem um das Abschöpfen von Passwörtern und Zugangsdaten. Spear-Phishing stellt hierbei eine spezielle Form des Phishings dar. Hier werden persönlich zugeschnittene E-Mails von einer vermeintlich vertrauenswürdigen Quelle an die Opfer geschickt. Meist beruhen solche E-Mails auf eine umfangreiche Hintergrundrecherche zum Opfer, sodass die Täuschung nur schwer zu erkennen ist. 

Diese Website verwendet Cookies. Weitere Informationen erhalten Sie in der Datenschutzerklärung.