Hacker mit Verbindungen zum Iran nehmen europäische Energiekonzerne ins Visier

Forscher der Cybersicherheitsanbieter Recorded Future und Insikt Group haben eine Hacking-Kampagne aufgedeckt, die sich offenbar gegen den Energiesektor in Europa richtet. Ziel ist es, vertrauliche Informationen zu sammeln. Die Hintermänner sollen Verbindungen zum Iran haben.

In einem Blogeintrag beschreiben sie den Angriff auf einen nicht näher genannten Vertreter der Energiewirtschaft. Dabei kam die Open-Source-Malware PupyRAT zum Einsatz, die Windows, Linux, macOS und Android infiltrieren kann. Hacker erhalten unter Umständen Zugriff auf die Systeme ihrer Opfer, um Daten wie Nutzernamen, Passwörter und andere Informationen aus dem gesamten Netzwerk zu stehlen.

Obwohl es sich um Open-Source-Software handelt, wird PupyRAT vor allem mit Hacking-Aktivitäten in Verbindung gebracht, die von der iranischen Regierung unterstützt werden. Dazu gehören auch Kampagnen einer als APT33 bezeichneten Gruppe, die schon früher gegen den Energiesektor vorgegangen ist.

Die neue Malware soll im Zeitraum zwischen November 2019 und Anfang Januar 2020 zum Einsatz gekommen sein. Die Kampagne begann also noch vor der Eskalation der Streitigkeiten zwischen den USA und Iran.

Wie genau die Hacker die fragliche Organisation infiziert haben, konnte bisher noch nicht ermittelt werden. Die Forscher gehen aber davon aus, dass die Malware per Spear-Phishing eingeschleust wurde. Aufgefallen ist der Angriff bei der Analyse von Netzwerk-Traffic mit einem Befehlsserver im Internet, der schon früher von PupyRAT genutzt wurde.

„Nach unserer Einschätzung auf der Grundlage des beobachteten Verkehrs war dies wahrscheinlich eine Aufklärungsmission“, sagte Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future. „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“

Das betroffene Unternehmen wurde von Recorded Future über den Angriff informiert. Mithilfe des Sicherheitsanbieters wurde der Angriff zudem beendet.

Recorded Future rät Unternehmen im Energiesektor, alle Zugänge zum Netzwerk mit einer Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten zudem komplex sein und nicht für mehrere Systeme benutzt werden. Auch eine Überwachung von Anmeldeversuchen können Hinweise auf verdächtige Aktivitäten liefern. Hacker versuchten oft, sich per Brute-Force-Angriff Zugang zu verschaffen, was an mehreren Anmeldeversuchen von einer IP-Adresse mit unterschiedlichen Konten zu erkennen sei.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google stopft schwerwiegendes Sicherheitsloch in Chrome

Es erlaubt das Einschleusen und Ausführen von beliebigem Code. Dem Entdecker der Chrome-Lücke zahlt Google…

1 Tag ago

Kritische Sicherheitslücken im Linux CUPS-System aufgedeckt

Schwachstellen betreffen Linux-Umgebungen und können zur Ausführung von schädlichem Code führen.

1 Tag ago

Weltweiter PC-Markt schrumpft im dritten Quartal

Während der US-Markt um 5,6 Prozent wächst, bricht der Absatz in China um 10 Prozent…

2 Tagen ago

Wie haben technologische Innovationen das Internet sicherer gemacht?

Mit der wachsenden Verbreitung digitaler Technologien haben auch die Bedrohungen im Internet in den letzten…

2 Tagen ago

Oktober-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücken

Von fünf Zero-Day-Lücken werden zwei bereits von Hackern eingesetzt. Insgesamt bringt der Oktober-Patchday Fixes für…

2 Tagen ago

KI-Bots auf der Spur

KI-Bots scrapen durchs Netz, sammeln Inhalte, um KI-Modelle wie Chat GPT zu füttern. Lässt sich…

2 Tagen ago