Khuzestan Steel Company (KSC) im Iran von Hackern lahmgelegt

Sicherheit (Pexels, allgemeine Nutzung)[English]Khuzestan Steel Company (KSC) ist ein großer Stahlproduzent im Iran. Am 27. Juni 2022 wurde bekannt, dass dieses Unternehmen Opfer eines Cyberangriffs wurde. Hacker haben wohl eine Malware auf die IT-Systeme losgelassen, so dass die Rechner nicht mehr benutzbar waren und in Folge die Produktion des Unternehmens lahmgelegt werden musste. Es könnten staatliche Akteure hinter diesem Angriff stehen. Check Point Security hat den Vorfall analysiert und einige Informationen dazu veröffentlicht.


Anzeige

Check Point schreibt zwar in einer deutschen Information, dass der Iranischer Stahlriese Khuzestan Steel Company (KSC) am Dienstag (28. Juni 2022) von Hackern lahmgelegt wurde. The Washington Post berichtete aber bereits am 27. Juni 2022, dass ein Stahlproduzent im Iran nach einer Cyberattacke die Produktion stillegen musste. Ich gehe daher davon aus, dass der Angriff am 26. oder 27. Juni stattfand.

Reihe von Cyberangriffen

Dieser Angriff reiht sich, nach Beobachtungen von Sicherheitsforschern, in eine Flut von Angriffen ein, die von Hacker-Gruppen gegen den Iran durchgeführt worden sind. Die Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden – vielleicht von einem Nationalstaat, der ein Interesse daran hat, die kritische Infrastruktur (KRITIS) des Iran zu sabotieren und Panik unter der iranischen Bevölkerung sowie den Staatsbediensteten zu verbreiten.

Angriff durch Predatory Sparrow

Im aktuellen Fall hat, laut The Jerusalem Post, eine Gruppe mit dem Namen Predatory Sparrow, die Verantwortung für diesen Angriff übernommen und ist dieselbe, welche den Angriff auf die iranische Eisenbahn, den iranischen Rundfunk und die iranischen Tankstellen durchgeführt hatte. Die Sicherheitsforscher von Check Point Research hatten bereits im vergangenen Jahr einige dieser Angriffe gegen den Iran und seine KRITIS untersucht. Im Februar 2022 dekonstruierten die Forscher die Programme, welche bei einem Cyber-Angriff auf das staatliche iranische Medienunternehmen Rundfunk der Islamischen Republik des Iran verwendet wurden. Im August 2021 folgten wir IT-Attacken auf iranische Bahnhöfe zu einer Gruppe, die sich selbst als Indra bezeichnete. Check Point Research wird daher weiterhin Cyber-Angriffe im Zusammenhang mit dieser Nachricht beobachten und analysieren.

Erkenntnisse von Check Point

Check Point Research hat nun Dateien gefunden, die im Zusammenhang mit den jüngsten Angriffen auf das Stahlwerk im Iran stehen. Eine erste Analyse der Malware, die von den Angreifern als Chaplin bezeichnet wird, ergab, dass sie auf einer Wiper-Malware namens Meteor basiert, die bereits bei den Angriffen auf das iranische Eisenbahnsystem und auf das Ministerium für Straßen und Stadtentwicklung im vergangenen Jahr verwendet wurde.

Obwohl Chaplin auf diesen Tools aus früheren Angriffen basiert, enthält es nicht deren Löschfunktion – im Englischen als Wipe bezeichnet – und beschädigt nicht das Dateisystem des Opfers. Die Malware verhindert jedoch, dass der Benutzer mit dem Rechner interagieren kann, meldet ihn ab und zeigt auf dem Bildschirm ein Einzelbild-Video an, welches den Cyber-Angriff ankündigt. Die Malware beschädigt den Computer somit in dem Sinne, dass sie ihn daran hindert, korrekt zu starten. Ein Video, das auf dem Computer dem Nutzer abgespielt wird, zeigt die Logos der jüngsten Opfer von Predatory Sparrow:

  • Khouzestan Steel Company (KSC)
  • Iranische Offshore-Ölgesellschaft
  • Ministerium für Straßenbau und Stadtentwicklung
  • Eisenbahngesellschaft der Islamischen Republik Iran

Es könnte sein, dass die damals erbeuteten Dateien für den Angriff auf KSC verwendet wurden, da das Unternehmen mittlerweile bestätigte, dass es angegriffen wurde. Wie bei früheren Angriffen trieb die Gruppe ihren alten Scherz mit den Opfern und leitete sie über die Nummer 64411 an das Büro des Obersten Führers des Iran.

Alte Check Point-Analysen


Anzeige

Im vergangenen Jahr analysierte Check Point Research die Angriffe auf die iranischen Bahnsysteme und konnte sie mit früheren Angriffen einer Gruppe namens Indra in Verbindung bringen, die seit 2019 gegen Ziele im Iran und in Syrien vorgeht.

Predatory Sparrow, welche die Verantwortung für den Angriff auf die iranische Stahlindustrie übernahm, ist auch für die Angriffe auf die iranischen Eisenbahnsysteme und das iranische Ministerium für Straßen und Stadtentwicklung verantwortlich. Angesichts der Verwendung derselben Werkzeuge, Methoden und Techniken ist es nicht unwahrscheinlich, dass es sich bei Indra und Predatory Sparrow um dieselbe Gruppe handelt.

Ähnliche Artikel
Iranische Cyber-Aktivitätspläne – deutsche WAGO im Fokus
Iranische Spionageaktion: Kommunikation per Telegram kann überwacht werden
Info-Stealer-Kampagne zielt auf deutsche Autohäuser
IT-Sicherheit: Achillesferse SSL-VPN-Schwachstellen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Khuzestan Steel Company (KSC) im Iran von Hackern lahmgelegt

  1. Andreas sagt:

    In den Malware Samples fanden sich nicht zufällig Hinweise auf eine Build-Time, die mit den Bürozeiten in Tel Aviv korreliert, oder auf Verzeichnisnamen mit hebräischen Buchstaben? Moskauer Bürozeiten und kyrillische Buchstaben kommen in diesem Fall ja wohl eher nicht in Frage…

  2. Olli sagt:

    >>> Moskauer Bürozeiten und kyrillische Buchstaben kommen in diesem Fall ja wohl eher nicht in Frage…

    Wieso? Wenn Moskau es Israel oder den USA unterschieben will macht es schon Sinn.

    Das ist ja das Schöne: Nichts genaues weiß man nicht.

    • Andreas sagt:

      Mein Kommentar war eigentlich mit einem Augenzwinkern gemeint. Ich halte es eher für fraglich, dass solche Metadaten-Spuren wirklich von den Originalautoren in der Malware "vergessen" wurden. Vielmehr könnten diese Daten auch platziert worden sein, um eine falsche Spur zu legen. Im konkreten Fall hier wären falsche Spuren nach Russland aber absolut unglaubwürdig – Russland und Iran haben gerade gemeinsame Feinde und machen deshalb auf Freundschaft.

      Was auf jeden Fall stimmt: Nichts genaues weiß man nicht. Die Attributierung von Malware ist letztendlich nichts als Kaffeesatzleserei. Sollte man immer im Hinterkopf behalten, wenn mal wieder entsprechende Meldungen in den Medien auftauchen.

      • Ralf S. sagt:

        "Mein Kommentar war eigentlich mit einem Augenzwinkern gemeint."

        In Zeiten, in denen sogar lupenreine Satire für viele Zeitgenossen nicht mehr als solche erkennbar zu sein scheint, ist es leider immer gefährlich zu denken, dass alle anderen "das Augenzwinkern" schon erkennen werden. Ist einfach IMMER sicherer solche Beiträge mit einem Emoticon zu "kennzeichnen". Unglaublich, aber leider wahr (und irgendwie sogar bedenklich): Selbst der "Postillon" (https://www.der-postillon.com/) und z. B. "Reinhard Pfaffenbergs Heimseite" – die leider nicht mehr gepflegt wird (http://www.pfaffenberg.permuda.net/) nehmen manche Mitmenschen nicht sofort als Satire wahr …

Schreibe einen Kommentar zu Ralf S. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.