Angriffsmethoden der iranischen Gruppe Emennet Pasargad alias Aria Sepehr Ayandehsazan

Kürzlich veröffentlichten das FBI, das US-Finanzministerium und die israelische Nationale Cyberdirektion eine detaillierte Warnung über die iranische Cybergruppe Emennet Pasargad, die unter dem Namen Aria Sepehr Ayandehsazan (ASA) operiert. Diese Bedrohungsakteure, auch als „Cotton Sandstorm“, „Marnanbridge“ und „Haywire Kitten“ bekannt, zeigen fortlaufend neue Methoden im Bereich Cyber- und Informationskriegsführung.

Hintergrund und Motivation der Gruppe

Die Gruppe Emennet Pasargad ist seit Jahren aktiv und wird für sogenannte „Hack-and-Leak“-Kampagnen verantwortlich gemacht, die insbesondere auf israelische Organisationen abzielen. Ziel dieser Kampagnen ist es, durch das Hacken und anschließende Veröffentlichen sensibler Daten das Vertrauen in die betroffenen Netzwerke zu untergraben. Ein weiteres Mittel sind erfundene Behauptungen über den Zugang zu Netzwerken und gestohlenen Daten, um psychologische Effekte bei den Opfern zu erzeugen.

Neue Taktiken und Techniken

Seit 2023 hat die Gruppe neue Infrastrukturen entwickelt und Techniken verfeinert, um ihre Aktivitäten zu verschleiern und operative Serverinfrastruktur unauffällig zu nutzen. Ein beachtlicher Ansatz ist die Verwendung von sogenannten „fiktiven Hosting-Resellern“. ASA errichtet ihre eigenen Reseller-Identitäten wie „Server-Speed“ und „VPS-Agent“, um Serverdienste anzubieten und so legitime Hosting-Anbieter wie BAcloud oder PQ Hosting zu täuschen. Über diese Reseller stellt ASA ihrer eigenen Gruppe und anderen Akteuren in der Region – wie jenen, die HAMAS-verbundene Websites hosten – Server zur Verfügung.

Zielgerichtete Informationsoperationen und Einflussnahme

Seit dem Angriff von HAMAS auf Israel am 7. Oktober 2023 intensivierte ASA ihre Cyberaktivitäten, darunter Angriffe auf Netzwerke, um Inhalte über IP-Kameras zu sammeln. Diese Inhalte wurden auf Servern zum Zugriff bereitgestellt, unter anderem in Gaza und Iran. Darüber hinaus führte die Gruppe eine gezielte Einflusskampagne, genannt „For-Humanity“, durch, die generative Künstliche Intelligenz (KI) in Form eines KI-gestützten Nachrichtensprechers nutzte, um Fehlinformationen im Zusammenhang mit dem Israel-HAMAS-Konflikt zu verbreiten.

ASA nutzt KI-Tools wie den Remini AI -Enhancer oder Voicemod zur Stimmenmodulation. Über den Telegram-Kanal „Cyber Court“ unterstützt ASA scheinbare Hacktivisten-Gruppen wie „Makhlab al-Nasr“ oder „NET Hunter“. Diese Kampagnen haben das Ziel, durch gezielte Fehlinformationen und Psychoterror öffentliche Meinungen und Emotionen zu manipulieren.

Bedrohung durch fortschrittliche technische Mittel und Cyberangriffe

Die Gruppe nutzt eine breite Palette an Tools, um Zugang zu Systemen zu erhalten und sensible Daten zu extrahieren, darunter SQLMap, Masscan und Burp Suite. Besonders bemerkenswert ist die Verwendung eines manipulierten Google Chrome Installationspakets (Google Chrome Installer.msi), das als Tarnung für einen Remote Access Trojan (RAT) dient. Nach der Installation kann der Trojaner grundlegende Systeminformationen sammeln und Befehle ausführen, während er über einen obskuren Kommunikationskanal mit einem Web-Server in Verbindung bleibt.

Schwachstellen und Sicherheitsmaßnahmen

Die durch ASA erfordert präventive Maßnahmen. Die Autoren empfehlen, die Authentifizierungen aus VPN-Diensten streng zu überprüfen, regelmäßige Updates durchzuführen und Zugriffsrichtlinien sorgfältig zu gestalten. Weitere Maßnahmen umfassen die Einführung einer DMZ, die Verwendung von Web Application Firewalls (WAFs) und die kontinuierliche Überprüfung von Server-Logs auf Anomalien.

Dieser Bericht zeigt erneut die Notwendigkeit, auf Cyberbedrohungen proaktiv zu reagieren und auf internationaler Ebene zusammenzuarbeiten. Die vorgestellten Taktiken der ASA-Gruppe sind hochentwickelt und schwer zu erkennen, was die Dringlichkeit der Cyberabwehrmaßnahmen nochmals unterstreicht.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.