FBI warnt vor „bösen“ Domains und IP-Adressen
Das FBI hat vor einer anhaltenden Cyber-Attacke gewarnt, die vor allem auf Netzwerke in der USA, Europa und dem Mittleren Osten ausgerichtet ist. Die Warnung wurde auf der Site der American Bar Association und am 31. Juli auf der Public Intelligence Open Source-Website veröffentlicht.
Die erste Meldung über die Attacken wurde bereits knapp eine Woche vorher herausgegeben. Darin wurde vor „“malicious cyber actors“ „ gewarnt, die virtuelle private Serverstrukturen unter US-Hosts nutzten um Cyberfallen für Regierungs-, Unternehmens- und akademische Netzwerke zu stellen. Die Attacker, die augenscheinlich von einer vermögenden Gruppe im Iran beauftragt wurden, verwenden verschiedene Angriffsmethoden, u.a. h E-Mail-Speer-Phishing, Social Engineering und „Watering Hole“ Webseiten, die über verschleierte, böswillige Domains und IP Adressen geleitet werden.
Das FBI listet 87 IP-Adressen und 136 Domain-Namen auf, die mit der Gruppe assoziiert sind, auf die sich die Organisationen konzentrieren sollten, sowie einige Ratschläge zur Abschwächung der Exposition. Laut FBI Warnung wurden vorerst mehrheitlich Ziele im Nahen Osten attackiert: „Die Mehrheit der Opfer befand sich in den Ländern des Nahen Ostens, die als traditionelle Gegner des iranischen Regimes bekannt sind“.
Nach offiziellen Angaben ist die Hackergruppe, die hinter diesen Attacken steht, bereits seit 2015 aktiv und mehrfach aufgefallen. Namen wurden nicht genannt. Um die Cybersicherheit und „Wertigkeit“ von Cyberangriffen einzustufen, nutzt das FBI das „Traffic Light Protocol“, das in Zusammenarbeit mit der US-Heimatschutzbehörde entwickelt wurde. Die Attacken im Juli wurden als relevant ( Amber) eingestuft, was der zweithöchsten Gefahrenposition entspricht.
Weitere Angriffe weltweit: gleiche Ziele, gleiche Quelle
Nahezu identisch mit den Angriffen waren Attacken, die von TrendMicro und Clearsky beschrieben wurden. Im Fokus dieser Berichte steht eine Gruppe namens „CopyKittens“, die ebensolche Methoden verwendet, wie die Gruppe, vor denen das FBI warnt. Die Ziele strategischer Art liegen laut Bericht in Israel, Saudi Arabien, der Türkei, den USA, Jordanien und Deutschland. Laut TrendMicro wurden Infrastrukturen in den USA, Russland und den Niederlanden verwendet, die keinen direkten Bezug zum Iran haben. Andere Sicherheitsforscher haben gegenüber der Presseagentur Reuters die Vermutung geäußert, dass die Angreifer zur „iranischen Regierungsinfrastruktur“ gehören.