Laut einem kürzlich veröffentlichten Bericht der amerikanischen Sicherheitsfirma Recorded Future, konzentrierten sich Hacker in letzter Zeit auf ein wichtiges Unternehmen des europäischen Energiesektors.

Aus dem Bericht geht hervor, dass Sicherheitsforscher ein Angriffsschema entdeckt haben, das wohl im November 2019 begann und sich bis kurz nach Neujahr hinzog. Sie konnten herausfinden, dass die möglicherweise iranischen Hacker bei dem Angriff PupyRAT eingesetzt haben. Bei dem Spionage-Angriff auf die nicht näher genannte europäische Firma, wurden Open-Source-Tools eingesetzt. Der Pupy Trojaner ist so ein Tool und kann von dem Onlinedienst GitHub heruntergeladen werden. Er ist in der Lage, Anmeldedaten, Passwörter und anderen Daten zu stehlen.

So ganz klar ist den Forschern bisher nicht, was genau die Hacker vorhatten. Sie sehen allerdings Parallelen zu den schon seit Jahren registrierten Cyberangriffen gegen den amerikanischen und europäischen Energiesektor. Ein Racheakt im Zusammenhang mit der Ausschaltung des iranischen Generalmajors Soleimani, kann ausgeschlossen werden. Der Hackerangriff erfolgte lange vor diesem Vorfall.

Die Recorded Future Forscher sehen sich darin bestätigt, dass

„der Iran über die Fähigkeiten und Mittel verfügt, Organisationen mit hochwertiger kritischer Infrastruktur ins Visier zu nehmen und möglicherweise Zugang zu sensiblen Informationen zu erhalten“.

Sie vermuten, dass die Gruppe APT33 hinter dem Vorfall steckt. In Fachkreisen wird diese Hackergruppe öfters auch Elfin, Refined Kitten, Magnallium und Holmium genannt. Wie auch immer, die Gruppe ist Forschern und Geheimdiensten gleichermaßen aufgefallen in den letzten Jahren. Man geht davon aus, dass sie gute Verbindungen zu dem iranischen Geheimdienst hat. Ein im Juli 2019 bekannt gewordener Vorfall unterstreicht dies. Seinerzeit hatte das U.S. Cyber Command sogar eine Warnung veröffentlich. Darin ging es um die Einschleusung von Backdoor Trojanern unter Ausnutzung älterer MS-Outlook Schwachstellen. Die Amerikaner vermuteten unter Anderem ATP33 als Drahtzieher und den Einsatz des PupyRAT.

Microsoft Forscher haben sich in letzter Zeit auch eingehender mit APT33 befasst. Sie bestätigen, dass die Gruppe sich zuletzt verstärkt um Ziele in Amerikas und Europas Energiesektor konzentriert hat. Allerdings gehen sie davon aus, dass nicht IT-Netzwerke das Angriffsziel seien, sondern die verwendeten industriellen Steuerungssysteme.In dem Bericht von Recorded Future erläuterten die Forscher, dass ein Command-and- Control-Server (CoC Server) im PupyRAT mit einem Mail-Server innerhalb des Angriffsziels kommunizierte. Sie registrierten hierbei ein hohes Volumen an Kommunikationen. Allein das beweist zwar noch kein tatsächliches Eindringen in die Infrastruktur, lässt aber eine derartige Annahme zu. Denn, sollte der Zugriff gelingen, stehen den Angreifern die Türen zu sensiblen Daten offen. Als solches sehen die Forscher Informationen zu europäischen Energieverteilung und -ressourcen – alles wichtig, um das europäische Energie-Management zu verstehen.

Recorded Future warnt daher in seinem Bericht alle IT-Sicherheitsteams in Unternehmen des Energiesektors. Sie sollten auf wiederholte und aufeinanderfolgende Anmeldeversuche von der immer gleichen IP achten, die gegen verschiedene Konten ausgeführt werden. „Das,“ so die Forscher, „sei möglicherweise „ein Zeichen dafür, dass Hacker nach Schwachstellen im Netzwerk suchten“.

Bericht (PDF) von recordedfuture.com: European Energy Sector Organization Targeted by PupyRAT Malware in Late 2019
Artikel von govinfosecurity.com, 24.01.2020: Hackers Target European Energy Firm: Researchers

Beitragsbild: Public Domain, Creative Commons CC0, scienceinhd über Unsplash