Hacker mit Verbindungen zum Iran nehmen europäische Energiekonzerne ins Visier

Forscher der Cybersicherheitsanbieter Recorded Future und Insikt Group haben eine Hacking-Kampagne aufgedeckt, die sich offenbar gegen den Energiesektor in Europa richtet. Ziel ist es, vertrauliche Informationen zu sammeln. Die Hintermänner sollen Verbindungen zum Iran haben.

In einem Blogeintrag beschreiben sie den Angriff auf einen nicht näher genannten Vertreter der Energiewirtschaft. Dabei kam die Open-Source-Malware PupyRAT zum Einsatz, die Windows, Linux, macOS und Android infiltrieren kann. Hacker erhalten unter Umständen Zugriff auf die Systeme ihrer Opfer, um Daten wie Nutzernamen, Passwörter und andere Informationen aus dem gesamten Netzwerk zu stehlen.

Obwohl es sich um Open-Source-Software handelt, wird PupyRAT vor allem mit Hacking-Aktivitäten in Verbindung gebracht, die von der iranischen Regierung unterstützt werden. Dazu gehören auch Kampagnen einer als APT33 bezeichneten Gruppe, die schon früher gegen den Energiesektor vorgegangen ist.

Die neue Malware soll im Zeitraum zwischen November 2019 und Anfang Januar 2020 zum Einsatz gekommen sein. Die Kampagne begann also noch vor der Eskalation der Streitigkeiten zwischen den USA und Iran.

Wie genau die Hacker die fragliche Organisation infiziert haben, konnte bisher noch nicht ermittelt werden. Die Forscher gehen aber davon aus, dass die Malware per Spear-Phishing eingeschleust wurde. Aufgefallen ist der Angriff bei der Analyse von Netzwerk-Traffic mit einem Befehlsserver im Internet, der schon früher von PupyRAT genutzt wurde.

„Nach unserer Einschätzung auf der Grundlage des beobachteten Verkehrs war dies wahrscheinlich eine Aufklärungsmission“, sagte Priscilla Moriuchi, Direktorin für strategische Bedrohungsentwicklung bei Recorded Future. „Unser Gefühl ist, dass angesichts der Netzwerkaktivitäten, die wir sehen, der Zugang zu dieser Art von vertraulichen Informationen über die Energiezuteilung und die Ressourcenbeschaffung für Gegner enorm wertvoll wäre.“

Das betroffene Unternehmen wurde von Recorded Future über den Angriff informiert. Mithilfe des Sicherheitsanbieters wurde der Angriff zudem beendet.

Recorded Future rät Unternehmen im Energiesektor, alle Zugänge zum Netzwerk mit einer Zwei-Faktor-Authentifizierung zu schützen. Passwörter sollten zudem komplex sein und nicht für mehrere Systeme benutzt werden. Auch eine Überwachung von Anmeldeversuchen können Hinweise auf verdächtige Aktivitäten liefern. Hacker versuchten oft, sich per Brute-Force-Angriff Zugang zu verschaffen, was an mehreren Anmeldeversuchen von einer IP-Adresse mit unterschiedlichen Konten zu erkennen sei.

WEBINAR

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chrome 81 unterstützt Web NFC Standard

Der Browser liest und schreibt NFC-Tags. Chrome 81 blockiert zudem das Laden unverschlüsselter Inhalte bei bestehender HTTPS-Verbindung. Außerdem verlängert auch…

13 Stunden ago

Firefox 75: Mozilla überarbeitet Adressleiste und schließt Sicherheitslücken

Die neue Adressleiste vereinfacht die Suche im Internet. Mozilla verbessert außerdem die Kompatibilität zu falsch konfigurierten HTTPS-Servern. Firefox 75 enthält…

13 Stunden ago

IDC empfiehlt für Private und Hybrid Cloud as-a-Service als Betriebs- und Beschaffungsmodell

Die Cloud hat sich durchgesetzt, allerdings nicht als flächendeckende Public Cloud. Vielmehr entstehen vor allem Infrastrukturen mit einem Private-Cloud-Kern und…

15 Stunden ago

Italienischer E-Mail-Provider gehackt – Täter erbeuten Nachrichten und Dateien

Einer No Name genannten Gruppe fallen mehr als 5 TByte Daten in die Hände. Neben Nachrichten und Anhängen sind auch…

16 Stunden ago

Patchday: Google schließt 69 Sicherheitslücken in Android

13 Anfälligkeiten erhalten die höchste Bewertung "kritisch". Betroffen sind alle unterstützten OS-Versionen von Android 8 bis Android 10. Auch LG…

17 Stunden ago

Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig…

1 Tag ago