/Tech

Iran-Deal: Die Hacker, die Trump ruft

Max Biederbeck 23.10.2017

US-Präsident Trump sieht in den Atomwaffen des Iran die eine große Gefahr. Bricht er allerdings mit dem Deal seines Vorgängers Barak Obama, erwarten Sicherheitsexperten ganz andere Probleme für die USA.

Wenn John Hultquist über Hackerangriffe spricht, klingt das nach einem gefährlichen Puzzle. Seit Jahren spürt der Analytiker beim US-Sicherheitsdienstleister FireEye ausländischen Spionen hinterher. Er berät US-Behörden und internationale Firmen, sein Team entdeckte die berüchtigte Sandworm-Gruppe, die mutmaßlich hinter einem Angriff auf Stromkraftwerke in der Ukraine steckt. Während der vergangenen Jahre führte Hultquist zahlreiche solcher Spurensuchen im Netz durch. Immer öfter führten ihn seine Indizien dabei weg von Russland und China und hin zu einem anderen, bis dato verdeckter agierenden Akteur – später wird Hultquist ihm den Namen APT33 geben.

Der Analyst begann damit, sich Stück für Stück ein Bild zusammenzubauen, das ihn tief in den mittleren Osten führte. Er landete im Iran, das sich unter Experten bereits einen Namen als Ökosystem für Hackergruppen gemacht hat. 2016 sorgten iranische Programmierer für Schlagzeilen, als sie US-Banken mit so genannten DDoS-Server-Attacken überfielen. Ein NSA-Dokument spricht bereits 2013 vom Versuch Teherans, westliche Malware wie Stuxnet und Duqu für die eigenen Zwecke zu kopieren. Als Hultquist im Mai 2016 offiziell mit dem Puzzle für seinen Arbeitgeber FireEye beginnt, stellt er schnell fest: APT33 ist um ein vielfaches aggressiver geworden. „Die Programmierer der Gruppe müssen ihre Ressourcen aus einem gut geölten System beziehen“, sagt er gegenüber WIRED.

Zahlreiche Experten von Sicherheitsunternehmen und Behörden fürchten momentan genau das. Allen voran den USA, so die Sorge, könnte eine Welle von Angriffen bevorstehen, sollte US-Präsident Donald Trump den Atom-Deal zwischen den Vereinigten Staaten und Iran tatsächlich aufkündigen. Immer wieder hat der US-Präsident in den vergangenen Wochen mit dieser Option gedroht.

Allein schon die damit verbundene Provokation, so glauben Hultquist und Co. könnte dazu führen, dass Teheran einen neuen Kurs bei der Digitalen Kriegsführung einschlägt. Das Regime hatte schon immer einen Hang dazu, mit asymmetrischen Mitteln wie Erdöl, Proxy-Gruppen wie der libanesischen Hisbollah und Nuklear-Bestrebungen Druck auf die internationale Politik auszuüben. Hacking wäre ein logisches weiteres Instrument. Und glaubt man Unternehmen wie FireEye, ist der Iran bereit.

Er habe das Benign-Neglect-Prinzip adaptiert, glaubt Hultquist – eine wohlwollende Gleichgültigkeit. Trainierte Verbrecher und Hintermänner gehen dabei eine Symbiose mit Geheimdiensten und Behörden ihres Heimatlandes ein. Sie dürfen ungestraft in anderen Ländern wüten, solange sie den eigenen Staat bei seiner Geheimdienstarbeit mit Expertise und Manpower füttern. „Die iranische Hackerszene ist auf diese Weise in den vergangenen Jahren explosionsartig gewachsen“, erklärt Hultquist. „Sie besteht aus bemerkenswerten Formwandlern, die ihre Spähtools ohne Probleme auch für den Angriff einsetzen können.“

Es bräuchte nur einen Schalter, um Spionage in Sabotage zu verwandeln

Auf einmal könnten weltweit Krankenhäuser zum Ziel werden, Flughäfen, Stromkraftwerke, politische Institutionen und Internetanbieter. Einen Warnschuss gaben iranische Programmierer wohl bereits, als sie Mitte des Jahres die Server des britischen Parlaments hackten. Dass wirklich der Iran und nicht etwa Russland hinter dem Angriff steckt, wurde erst im Oktober bekannt.

Die Zahl der Ziele und Opfer solcher Kampagnen ist kaum einzuschätzen. Joe Slowik, leitender Analyst beim Sicherheitsdienstleister Dragos sagte allerdings gegenüber Politico: Die APT33-Gruppe „expandiert über ihre bisherigen Missionen im Mittleren Osten hinaus. Es gibt Anzeichen dafür, dass ihre Malware mittlerweile sogar in Südkorea, Pakistan, Israel und England zum Einsatz kommt.“ Demnach bräuchte es nur noch einen „Schalter“, um Spionage in Sabotage zu verwandeln.

Ein frühes Puzzleteil der iranischen Hacking-Szene stammt aus dem Jahr 2012 – und es meldet sich damals als Pastebin-Nachricht. „Dies ist eine Warnung an die Tyrannen“, steht darin: „An all jene Länder, die Kriminelle mit Unterdrückung und Ungerechtigkeit unterstützen“. Es ist der Sommer 2012. Eine Gruppe, die sich als „Cutting Sword of Justice“ bezeichnet, bekennt sich zu einem Hackerangriff, der damals zehn Prozent der weltweiten Ölversorgung bedroht.

Die Malware-Attacke zielt auf den Ölriesen Saudi Aramco, dessen Mitarbeiter damals weltweit hektisch die Kabel aus den Computer-Servern ziehen. Ein Datenzentrum nach dem anderen geht offline, nur damit der aggressive Angreifer sich nicht ausbreiten kann. Das Öl sprudelt weiter, ein Großteil des multinationalen Unternehmens, 30.000 Computer und Festplatten, brechen allerdings zusammen. Nur mit großem Aufwand rettet sich Saudi Aramco, eine weltweite Öl-Krise bleibt gerade noch aus.

Täter verraten sich durch ihre Ziele und Werkzeuge

Zur Erinnerung, es ist 2012 – es wird noch Jahre dauern, bis Hackerepidemien wie das Botnet Mirai oder die Kryptotrojaner WannaCry und NotPetya über den Planeten fegen. Jahre auch, bis Hacker erstmals die Wahlen eines ganzen Landes manipulieren, oder in zahllosen Einbrüchen, etwa beim Finanzdienstleister Equifax, hunderte Millionen von Identitäten gestohlen werden. Dennoch dreht sich die öffentliche Debatte im Westen vor allem um Angriffe aus Russland und China, manchmal geht es auch um Nordkorea. In der Sicherheitsbranche gilt derweil längst als gesichert, dass Saudi Aramco Opfer eines iranischen Angriffs wurde – und dass dieser einen frühen Beweis für das Wachstum der iranischen Hackerszene darstellt. Dass Aramco wirklich Opfer von Freiheitskämpfern wurde, gilt als ausgeschlossen.

„Seit 2012 kamen immer neue Hinweise auf APT33 dazu“, erklärt Hultquist. „Täter verraten sich durch ihre Ziele und Werkzeuge“. APT33 habe bei seinen Angriffen immer wieder die gleichen Tools und Serverstrukturen verwendet. Auch die Ziele der Hacker ähnelten sich: Große Petrochemie-Konzerne in Saudi Arabien und Bürgerrechtsorganisationen im Iran. Solche NGOs dienen Hackern als Testfeld für neu programmierte Malware. China etwa nutzte in der Vergangenheit immer wieder den tibetanischen Widerstand als Versuchsobjekt, die russische APT28-Gruppe testete ihre Angriffskampagnen bei Aktivisten in Tschetschenien und der Ukraine.

2016 registrierte FireEye dann einen Anstieg der iranischen Aktivitäten. APT33 schickte Massen an so genannten Spear-Phishing Emails heraus, auch an amerikanische Luftfahrtunternehmen wie Boeing und Northrop Grumman Aviation. Hinter solchen Emails steckt aufwändige Recherche. Sie sind genau auf ihre Ziele zugeschnitten. Die Hacker registrierten sogar Unternehmen in der Nähe ihrer Ziele, um glaubwürdiger rüber zu kommen. Sobald ein Opfer dann aus Interesse auf einen mitgeschickten Link klickt, installiert sich eine Malware. APT33 nutzt eine Software, DropShot, die auf einem alten Bekannten basiert – dem Shamoon-Wurm, der bereits 2012 die Aramco-Rechner befiehl. Eine Verbindung zwischen beiden Gruppen lässt sich dennoch bisher nicht belegen.

Dass im aktuellen Fall der Iran als Staat hinter den Phishing-Mails steckt und keine Verbrecher, zeigt allerdings die Beute. Kriminelle sind normalerweise auf Daten aus, die sich leicht monetarisieren lassen, etwa Sozialversicherungsnummern oder Kreditkarten-Daten. APT33 hatte aber komplexere Ziele: „Die Pläne für den nächsten Jet verstehen nur wenige, das ist ein ganz anderer Markt“, sagt Hultquist.

FireEye glaubt, dass das iranische Nasr-Institut hinter den Angriffen steckt. Der Name tauche immer wieder in Verbindung mit iranischen Hackern auf und tauche auch immer wieder unter Pseudonym in der Malware von APT33 auf, so Hultquist.

Es scheint naheliegend, dass Iran längst systematisch ein weiteres Instrument zur asymmetrischen Kriegsführung gegen seine Feinde zum Einsatz bringt. Westliche Unterhändler und Staatsoberhäupter, allen voran Donald Trump, täten wohl gut daran, das zu bedenken, wenn sie ihre politischen Entscheidungen zusammenpuzzeln.