<iframe title="GTM" src="https://www.googletagmanager.com/ns.html?id=GTM-WBPR4W&gtm_auth=3wMU78FaVR9TNKtaXLbV8Q&gtm_preview=env-23&gtm_cookies_win=x" height="0" width="0" style="display:none;visibility:hidden"></iframe>
Iranische Cyber-Angriffe

Liebesgrüße aus Teheran

Von Emeli Glaser
 - 11:01
Ein Screenshot der gefälschten E-Mail: Mit Komplimenten und einer ausgedachten Anfrage der Journalistin Farnaz Fassihi versuchten Cyber-Angreifer Erfan Kasraie zu ködern

Im vergangenen Jahr erhielt der deutsche Wissenschaftsjournalist Erfan Kasraie eine seltsame E-Mail. Unterzeichnet war sie mit dem Namen der amerikanischen Journalistin Farnaz Fassihi und trug das Logo des „Wallstreet Journal“. Die E-Mail bestand aus einer Reihe von Komplimenten und der Bitte um ein Interview. Kasraie wurde misstrauisch. Fassihi arbeitete, als die Anfrage bei ihm einging, längst nicht mehr für das „Wallstreet Journal“, sondern für die „New York Times“.

Wie die Nachrichtenagentur Reuters berichtet, ist eine britische Cyber-Sicherheitsfirma der Überzeugung, dass hinter Kasraies Post die iranische Internetspionagegruppe mit dem unschuldig klingenden Spitznamen „Charming Kittens“ steckt. Seit Jahren wird diese Gruppe von dem israelischen Cyber-Security-Unternehmen Clearsky beobachtet. Laut Clearsky handelt es sich bei den „Kittens“ um eine APT – die Abkürzung steht auf englisch für „fortgeschrittene, andauernde Bedrohung“, wie man sie von russischen Hackern kennt. Ihr Ziel ist es, demokratische Prozesse, wie etwa Wahlen, zu beeinflussen. Die „Kittens“ gaben sich in unzähligen Fällen als reale, öffentliche Personen aus Wissenschaft, Journalismus und Aktivismus aus, um vertrauliche Informationen für das iranische Regime zu sammeln.

Wäre Erfan Kasraie dem Link in der dubiosen E-Mail gefolgt, um sich die Interviewfragen anzusehen; hätte er, wie verlangt, sein Google-Passwort eingegeben, dann lägen seine Daten jetzt beim iranischen Geheimdienst. Die amerikanische Regierung warnt lange vor iranischen Cyber-Angriffen. Im September und Oktober des vergangenen Jahres veröffentlichte Clearsky zwei eingängig betitelte Berichte: „The Kittens Are Back in Town“ („Die Kätzchen sind wieder da“). Sie beschreiben die neuen, rapide ansteigenden Aktivitäten der „Kittens“.

Angreifer „verkleiden“ sich online als seriöse Personen

Nach eigener Aussage entdeckte Clearsky die erste „Phishing“-Attacke der „Kittens“ im Jahr 2015. Phishing beschreibt eine Art böswillige digitale Wallraff-Methode: Angreifer versuchen an sensitive Informationen im Internet zu kommen, indem sie sich als seriöse Personen „verkleiden“, also teils reale, bekannte Profile und E-Mail-Adressen von Personen imitieren. Oft bekommen die Nachgeahmten dies gar nicht mit. Sie werden nicht gehackt, vielmehr wird ihre Identität genutzt, um Dritte zu manipulieren.

2017 entdeckte Clearsky eine ausgedehnte Spionageaktion, die individuelle Ziele angriff. Die Angreifer gaben sich als Unternehmen, Organisationen oder Einzelpersonen aus. Auch „Watering Hole Attacks“ gehören zu den Methoden der „Kittens“. Angelehnt an die Jagdstrategien von Raubtieren, Beute an der Wasserstelle zu erwarten, installieren die Spione schadhafte Software auf Websites, die Opfer häufig besuchen. 2018 attackierten die Cyberpiraten sogar Clearsky selbst, indem sie eine Fake-Version der Website bauten.

Bis zum Jahr 2019 beschränkten sich Attacken auf Wissenschaftler, die Iran akademisch erforschen und auf iranische Dissidenten im Ausland. Die Cyber-Security-Fima Clearsky stellt jedoch fest, dass die Aktivitäten der „Kittens“ sich inzwischen auf Persönlichkeiten des öffentlichen Lebens weltweit ausgedehnt haben. Neuerdings verwendeten die Angreifer einen Tracker in den E-Mail-Verläufen, um auch Standortinformationen der Rezipienten einzuholen.

Ein amerikanischer Präsidentschaftskandidat ist betroffen

Microsoft machte im Oktober des vergangenen Jahres bekannt, dass „Phosphorus“ (der eigentliche Name der „Charming Kittens“) Microsoft-Kunden-Accounts, die in Verbindung mit der amerikanischen Regierung und der Präsidentschaftskampagne stehen, attackiert hatte. Betroffen war auch ein Präsidentschaftskandidat selbst.

Die Methode blieb über die Jahre ähnlich. In einem ersten Schritt schafft der Angreifer einen Vorwand, der das Opfer dazu bewegen soll, auf einen angehängten Link zu klicken. Dieser führt zu akkurat nachgebauten Google- oder Microsoft-Startseiten, wie Drive oder Outlook. Man wird, wie gewöhnlich, aufgefordert, sich mit Passwort einzuloggen. Dem Bericht zufolge imitieren die „Kittens“ neuerdings auch Social Media-Plattformen, wie die Startseite von Instagram.

Die Methode, Personen mit persönlichen Botschaften zu ködern, nennt sich „Social Engineering“. Durch psychologische Manipulation sollen sie Produkte kaufen, Finanzmittel freigeben - oder eben vertrauliche Informationen.

Laut Reuters waren auch Mitarbeiter von CNN und der Deutschen Welle von Identitätsdiebstahl betroffen. Auf Nachfrage sagt Cyber-Sicherheitschef der Deutschen Welle, Ingo Mannteufel, zur Sicherheitslage im Internet: „Wir sind, wie alle Unternehmen, von Schadsoftware bedroht. Gerade als Medienunternehmen hat man eine viel breitere Angriffsfläche. Die Digitalisierung wurde fünfzig Jahre lang umgesetzt, ohne an Sicherheitsimplikationen zu denken. Das muss dringend nachgeholt werden – als gesamtgesellschaftliche Aufgabe.“

Quelle: F.A.Z.
  Zur Startseite
Ähnliche ThemenGeheimdienstReutersNew York TimesTeheran

Diese Webseite verwendet u.a. Cookies zur Analyse und Verbesserung der Webseite, zum Ausspielen personalisierter Anzeigen und zum Teilen von Artikeln in sozialen Netzwerken. Unter Datenschutz erhalten Sie weitere Informationen und Möglichkeiten, diese Cookies auszuschalten.