Hacker mit Verbindungen zum Iran nehmen europäische Energiekonzerne ins Visier

Forscher der Cybersicherheitsanbieter Recorded Future und Insikt Group haben eine Hacking-Kampagne aufgedeckt, die sich offenbar gegen den Energiesektor in Europa richtet. Ziel ist es, vertrauliche Informationen zu sammeln. Die Hintermänner sollen Verbindungen zum Iran haben.

In einem Blogeintrag beschreiben sie den Angriff auf einen nicht näher genannten Vertreter der Energiewirtschaft. Dabei kam die Open-Source-Malware PupyRAT zum Einsatz, die Windows, Linux, macOS und Android infiltrieren kann. Hacker erhalten unter Umständen Zugriff auf die Systeme ihrer Opfer, um Daten wie Nutzernamen, Passwörter und andere Informationen aus dem gesamten Netzwerk zu stehlen.

Obwohl es sich um Open-Source-Software handelt, wird PupyRAT vor allem mit Hacking-Aktivitäten in Verbindung gebracht, die von der iranischen Regierung unterstützt werden. Dazu gehören auch Kampagnen einer als APT33 bezeichneten Gruppe, die schon früher gegen den Energiesektor vorgegangen ist.

Die neue Malware soll im Zeitraum zwischen November 2019 und Anfang Januar 2020 zum Einsatz gekommen sein. Die Kampagne begann also noch vor der Eskalation der Streitigkeiten zwischen den USA und Iran.

Wie genau die Hacker die fragliche Organisation infiziert haben, konnte bisher noch nicht ermittelt werden. Die Forscher gehen aber davon aus, dass die Malware per Spear-Phishing eingeschleust wurde. Aufgefallen ist der Angriff bei der Analyse von Netzwerk-Traffic mit einem Befehlsserver im Internet, der schon früher von PupyRAT genutzt wurde.

„Nach unserer Einschätzung auf der Grundlage des beobachteten Verkehrs war dies wahrscheinlich eine Aufklärungsmission“, sagte Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future. „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“

Das betroffene Unternehmen wurde von Recorded Future über den Angriff informiert. Mithilfe des Sicherheitsanbieters wurde der Angriff zudem beendet.

Recorded Future rät Unternehmen im Energiesektor, alle Zugänge zum Netzwerk mit einer Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten zudem komplex sein und nicht für mehrere Systeme benutzt werden. Auch eine Überwachung von Anmeldeversuchen können Hinweise auf verdächtige Aktivitäten liefern. Hacker versuchten oft, sich per Brute-Force-Angriff Zugang zu verschaffen, was an mehreren Anmeldeversuchen von einer IP-Adresse mit unterschiedlichen Konten zu erkennen sei.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

1 Tag ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

2 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

2 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

2 Tagen ago