Kürzlich veröffentlichten das FBI, das US-Finanzministerium und die israelische Nationale Cyberdirektion eine detaillierte Warnung über die iranische Cybergruppe Emennet Pasargad, die unter dem Namen Aria Sepehr Ayandehsazan (ASA) operiert. Diese Bedrohungsakteure, auch als „Cotton Sandstorm“, „Marnanbridge“ und „Haywire Kitten“ bekannt, zeigen fortlaufend neue Methoden im Bereich Cyber- und Informationskriegsführung.
Hintergrund und Motivation der Gruppe
Die Gruppe Emennet Pasargad ist seit Jahren aktiv und wird für sogenannte „Hack-and-Leak“-Kampagnen verantwortlich gemacht, die insbesondere auf israelische Organisationen abzielen. Ziel dieser Kampagnen ist es, durch das Hacken und anschließende Veröffentlichen sensibler Daten das Vertrauen in die betroffenen Netzwerke zu untergraben. Ein weiteres Mittel sind erfundene Behauptungen über den Zugang zu Netzwerken und gestohlenen Daten, um psychologische Effekte bei den Opfern zu erzeugen.
Neue Taktiken und Techniken
Seit 2023 hat die Gruppe neue Infrastrukturen entwickelt und Techniken verfeinert, um ihre Aktivitäten zu verschleiern und operative Serverinfrastruktur unauffällig zu nutzen. Ein beachtlicher Ansatz ist die Verwendung von sogenannten „fiktiven Hosting-Resellern“. ASA errichtet ihre eigenen Reseller-Identitäten wie „Server-Speed“ und „VPS-Agent“, um Serverdienste anzubieten und so legitime Hosting-Anbieter wie BAcloud oder PQ Hosting zu täuschen. Über diese Reseller stellt ASA ihrer eigenen Gruppe und anderen Akteuren in der Region – wie jenen, die HAMAS-verbundene Websites hosten – Server zur Verfügung.
Zielgerichtete Informationsoperationen und Einflussnahme
Seit dem Angriff von HAMAS auf Israel am 7. Oktober 2023 intensivierte ASA ihre Cyberaktivitäten, darunter Angriffe auf Netzwerke, um Inhalte über IP-Kameras zu sammeln. Diese Inhalte wurden auf Servern zum Zugriff bereitgestellt, unter anderem in Gaza und Iran. Darüber hinaus führte die Gruppe eine gezielte Einflusskampagne, genannt „For-Humanity“, durch, die generative Künstliche Intelligenz (KI) in Form eines KI-gestützten Nachrichtensprechers nutzte, um Fehlinformationen im Zusammenhang mit dem Israel-HAMAS-Konflikt zu verbreiten.
ASA nutzt KI-Tools wie den Remini AI Foto-Enhancer oder Voicemod zur Stimmenmodulation. Über den Telegram-Kanal „Cyber Court“ unterstützt ASA scheinbare Hacktivisten-Gruppen wie „Makhlab al-Nasr“ oder „NET Hunter“. Diese Kampagnen haben das Ziel, durch gezielte Fehlinformationen und Psychoterror öffentliche Meinungen und Emotionen zu manipulieren.
Bedrohung durch fortschrittliche technische Mittel und Cyberangriffe
Die Gruppe nutzt eine breite Palette an Tools, um Zugang zu Systemen zu erhalten und sensible Daten zu extrahieren, darunter SQLMap, Masscan und Burp Suite. Besonders bemerkenswert ist die Verwendung eines manipulierten Google Chrome Installationspakets (Google Chrome Installer.msi), das als Tarnung für einen Remote Access Trojan (RAT) dient. Nach der Installation kann der Trojaner grundlegende Systeminformationen sammeln und Befehle ausführen, während er über einen obskuren Kommunikationskanal mit einem Web-Server in Verbindung bleibt.
Schwachstellen und Sicherheitsmaßnahmen
Die Bedrohung durch ASA erfordert präventive Maßnahmen. Die Autoren empfehlen, die Authentifizierungen aus VPN-Diensten streng zu überprüfen, regelmäßige Updates durchzuführen und Zugriffsrichtlinien sorgfältig zu gestalten. Weitere Maßnahmen umfassen die Einführung einer DMZ, die Verwendung von Web Application Firewalls (WAFs) und die kontinuierliche Überprüfung von Server-Logs auf Anomalien.
Dieser Bericht zeigt erneut die Notwendigkeit, auf Cyberbedrohungen proaktiv zu reagieren und auf internationaler Ebene zusammenzuarbeiten. Die vorgestellten Taktiken der ASA-Gruppe sind hochentwickelt und schwer zu erkennen, was die Dringlichkeit der Cyberabwehrmaßnahmen nochmals unterstreicht.
- Steuerhinterziehung und Einziehung im Kontext von Cum-Ex-Geschäften - 2. Dezember 2024
- Abrechnungsbetrug und Scheingestaltungen - 2. Dezember 2024
- Verwertung der dienstlichen Erklärung der Sitzungsvertreterin der Staatsanwaltschaft - 2. Dezember 2024