Khuzestan Steel Company: Iranischer Stahlkonzern von Hackern lahmgelegt

Vorfall reiht sich in eine Flut von Attacken durch Hacker-Gruppen ein

[datensicherheit.de, 29.06.2022] Der iranische Stahlkonzern Khuzestan Steel Company (KSC) soll laut Medienberichten am 28. Juni 2022 lahmgelegt worden sein. Itay Cohen, „Head of Cyber Research“ bei Check Point Software Technologies, kommentiert diesen Vorfall, welcher sich in eine „Flut von Attacken“ durch Hacker-Gruppen einreihe.

Foto: Check Point

Itay Cohen: Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden…

Hacker-Gruppen gäben sich als sogenannte Hacktivisten gegen die Regierung des Iran aus

Diese Hacker-Gruppen gäben sich als „Hacktivisten“ gegen die Regierung des Iran aus. „Die Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden – vielleicht von einem Nationalstaat, der ein Interesse daran hat, die Kritische Infrastruktur (KRITIS) des Iran zu sabotieren und Panik unter der iranischen Bevölkerung sowie den Beamten zu verbreiten“, kommentiert Cohen.

Eine Gruppe mit dem Namen „Predatory Sparrow“ hat demnach die Verantwortung für diesen Angriff übernommen und sei dieselbe, „welche den Angriff auf die iranische Eisenbahn, den iranischen Rundfunk und die iranischen Tankstellen durchgeführt hatte“.

Check Point Research hat im Zusammenhang mit den jüngsten Hacker-Angriffen auf das Stahlwerk im Iran Dateien gefunden

Cohen berichtet: „Wir bei Check Point Research haben bereits im vergangenen Jahr einige dieser Angriffe gegen den Iran und seine KRITIS untersucht. Im Februar 2022 dekonstruierten wir die Programme, welche bei einem Cyber-Angriff auf das staatliche iranische Medienunternehmen Rundfunk der Islamischen Republik des Iran verwendet wurden.“

Im August 2021 hätten sie IT-Attacken auf iranische Bahnhöfe zu einer Gruppe zurückverfolgt, welche sich selbst als „Indra“ bezeichnet habe. Check Point Research habe nun Dateien gefunden, „die im Zusammenhang mit den jüngsten Angriffen auf das Stahlwerk im Iran stehen“. Eine erste Analyse der Malware, von den Angreifern als „Chaplin“ bezeichnet, habe ergeben, „dass sie auf einer Wiper-Malware namens ,Meteor‘ basiert, die bereits bei den Angriffen auf das iranische Eisenbahnsystem und auf das Ministerium für Straßen und Stadtentwicklung im vergangenen Jahr verwendet wurde“.

Hacker verhindern korrekten Rechner-Start

„Obwohl ,Chaplin‘ auf diesen Tools aus früheren Angriffen basiert, enthält es nicht deren Löschfunktion – im Englischen als ,Wipe‘ bezeichnet – und beschädigt nicht das Dateisystem des Opfers“, erläutert Cohen und führt aus: „Die Malware verhindert jedoch, dass der Benutzer mit dem Rechner interagieren kann, meldet ihn ab und zeigt auf dem Bildschirm ein Einzelbild-Video an, welches den Cyber-Angriff ankündigt.“ Somit beschädige diese Malware in dem Sinne, dass sie ihn daran hindere, korrekt zu starten.

Das auf dem Computer des Nutzers dann abgespielte Video zeige die Logos der jüngsten Opfer von „Predatory Sparrow“:

• Khouzestan Steel Company (KSC)
• Iranische Offshore-Ölgesellschaft
• Ministerium für Straßenbau und Stadtentwicklung
• Eisenbahngesellschaft der Islamischen Republik Iran

Indra und Predatory Sparrow möglicherweise dieselbe Hacker-Gruppe

Es könnte laut Cohen sein, dass die damals erbeuteten Dateien für den Angriff auf KSC verwendet wurden, da das Unternehmen mittlerweile bestätigte, dass es angegriffen wurde. „Wie bei früheren Angriffen trieb die Gruppe ihren alten Scherz mit den Opfern und leitete sie über die Nummer 64411 an das Büro des Obersten Führers des Iran.“

„Predatory Sparrow“, die Verantwortung für den Angriff auf die iranische Stahlindustrie übernehmend, sei ja auch für die Angriffe auf die iranischen Eisenbahnsysteme und das iranische Ministerium für Straßen und Stadtentwicklung verantwortlich – angesichts der Verwendung derselben Werkzeuge, Methoden und Techniken sei es nicht unwahrscheinlich, „dass es sich bei ,Indra‘ und ,Predatory Sparrow‘ um dieselbe Gruppe handelt“, so Cohen.

Weitere Informationen zum Thema:

Check Point Research auf twitter, 28.06.2022, 14.02
#BREAKING We found files related to the attack against the Steel Industry in Iran

cp<r> CHECK POINT RESEARCH, 18.02.2022
EvilPlayout: Attack Against Iran’s State Broadcaster

cp<r> CHECK POINT RESEARCH, 14.08.2021
Indra — Hackers Behind Recent Attacks on Iran