Eine mutmaßlich vom iranischen Geheimdienst geförderte Hacking-Gruppe wurde dabei entdeckt, als sie Zugang zu kompromittierten Unternehmensnetzwerken auf einem geheimen Hacking-Forum verkaufte, so die Cyber-Sicherheitsfirma Crowdstrike.
Das Unternehmen identifizierte die Gruppe unter dem Codenamen Pioneer Kitten, auch als Fox Kitten oder Parisite bekannt. Die Gruppe, die nach Ansicht von Crowdstrike ein Auftragnehmer des iranischen Regimes ist, hat sich 2019 und 2020 über Schwachstellen in Virtual Private Networks (VPNs) und Netzwerkausrüstung in Unternehmensnetzwerke einzuhacken:
Pulse Secure „Connect“-Unternehmens-VPNs (CVE-2019-11510)
Fortinet VPN-Server mit FortiOS (CVE-2018-13379)
Palo Alto Networks „Global Protect“ VPN-Server (CVE-2019-1579)
Citrix-„ADC“-Server und Citrix-Netzwerk-Gateways (CVE-2019-19781)
F5 Networks BIG-IP-Load Balancer (CVE-2020-5902)
Einem Bericht der Cyber-Sicherheitsfirma Dragos zufolge hat die Gruppe unter Ausnutzung der oben genannten Schwachstellen in Netzwerkgeräte eingedrungen, Hintertüren gepflanzt und dann Zugang zu anderen iranischen Hacker-Gruppen wie APT33 (Shamoon), Oilrig (APT34) oder Chafer gewährt.
Diese anderen Gruppen erweitern die Bruchstelle, den Pioneer Kitten durch laterales Bewegen über ein Netzwerk mit fortschrittlicherer Malware und Exploits erlangen konnte, um dann sensible Informationen zu durchsuchen und zu stehlen, die wahrscheinlich für die iranische Regierung von Interesse sind.
Im Bericht von Crowdstrike heißt es jedoch, dass Pioneer Kitten seit mindestens Juli 2020 auch dabei beobachtet wurde, wie es in Hacker-Foren Zugang zu einigen dieser kompromittierten Netzwerke verkauft hat.
Crowdstrike glaubt, dass die Gruppe lediglich versucht, ihre Einnahmequellen zu diversifizieren und Netzwerke zu monetarisieren, die für die iranischen Geheimdienste keinen geheimdienstlichen Wert haben. Heute sind die größten Kunden der Erstzugangsvermittler (wie Pioneer Kitten) in der Regel Lösegeld-Banden, die mit Ransomware arbeiten.
Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Neueste Kommentare
Noch keine Kommentare zu Iranische Hacker attackieren Netzwerke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.