{"id":269914,"date":"2022-06-29T09:25:02","date_gmt":"2022-06-29T07:25:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269914"},"modified":"2023-04-11T07:04:21","modified_gmt":"2023-04-11T05:04:21","slug":"khuzestan-steel-company-ksc-im-iran-von-hackern-lahmgelegt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/29\/khuzestan-steel-company-ksc-im-iran-von-hackern-lahmgelegt\/","title":{"rendered":"Khuzestan Steel Company (KSC) im Iran von Hackern lahmgelegt"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\"\/>[English]Khuzestan Steel Company (KSC) ist ein gro\u00dfer Stahlproduzent im Iran. Am 27. Juni 2022 wurde bekannt, dass dieses Unternehmen Opfer eines Cyberangriffs wurde. Hacker haben wohl eine Malware auf die IT-Systeme losgelassen, so dass die Rechner nicht mehr benutzbar waren und in Folge die Produktion des Unternehmens lahmgelegt werden musste. Es k\u00f6nnten staatliche Akteure hinter diesem Angriff stehen. Check Point Security hat den Vorfall analysiert und einige Informationen dazu ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/2e8b001b66604a6c961039f65e2e0549\" width=\"1\" height=\"1\"\/>Check Point schreibt zwar in einer deutschen Information, dass der Iranischer Stahlriese Khuzestan Steel Company (KSC) am Dienstag (28. Juni 2022) von Hackern lahmgelegt wurde. The Washington Post <a href=\"https:\/\/www.washingtonpost.com\/business\/cyberattack-forces-iran-steel-company-to-halt-production\/2022\/06\/27\/8341ec7e-f5f5-11ec-81db-ac07a394a86b_story.html\" target=\"_blank\" rel=\"noopener\">berichtete<\/a> aber bereits am 27. Juni 2022, dass ein Stahlproduzent im Iran nach einer Cyberattacke die Produktion stillegen musste. Ich gehe daher davon aus, dass der Angriff am 26. oder 27. Juni stattfand. <\/p>\n<h2>Reihe von Cyberangriffen<\/h2>\n<p>Dieser Angriff reiht sich, nach Beobachtungen von Sicherheitsforschern, in eine Flut von Angriffen ein, die von Hacker-Gruppen gegen den Iran durchgef\u00fchrt worden sind. Die Anzahl der Angriffe, ihr Erfolg und ihre Qualit\u00e4t deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgef\u00fchrt wurden \u2013 vielleicht von einem Nationalstaat, der ein Interesse daran hat, die kritische Infrastruktur (KRITIS) des Iran zu sabotieren und Panik unter der iranischen Bev\u00f6lkerung sowie den Staatsbediensteten zu verbreiten.  <\/p>\n<h2>Angriff durch Predatory Sparrow<\/h2>\n<\/p>\n<p>Im aktuellen Fall hat, laut <a href=\"https:\/\/web.archive.org\/web\/20220630095108\/https:\/\/www.jpost.com\/middle-east\/iran-news\/article-710522\" target=\"_blank\" rel=\"noopener\">The Jerusalem Post<\/a>, eine Gruppe mit dem Namen <em>Predatory Sparrow<\/em>, die Verantwortung f\u00fcr diesen Angriff \u00fcbernommen und ist dieselbe, welche den Angriff auf die iranische Eisenbahn, den iranischen Rundfunk und die iranischen Tankstellen durchgef\u00fchrt hatte. Die Sicherheitsforscher von Check Point Research hatten bereits im vergangenen Jahr einige dieser Angriffe gegen den Iran und seine KRITIS untersucht. Im Februar 2022 <a href=\"https:\/\/web.archive.org\/web\/20221110214240\/https:\/\/research.checkpoint.com\/2022\/evilplayout-attack-against-irans-state-broadcaster\/\" target=\"_blank\" rel=\"noopener\">dekonstruierten<\/a> die Forscher die Programme, welche bei einem Cyber-Angriff auf das staatliche iranische Medienunternehmen <em>Rundfunk der Islamischen Republik des Iran<\/em> verwendet wurden. Im August 2021 <a href=\"https:\/\/web.archive.org\/web\/20230306050623\/https:\/\/research.checkpoint.com\/2021\/indra-hackers-behind-recent-attacks-on-iran\/\" target=\"_blank\" rel=\"noopener\">folgten<\/a> wir IT-Attacken auf iranische Bahnh\u00f6fe zu einer Gruppe, die sich selbst als <em>Indra<\/em> bezeichnete. Check Point Research wird daher weiterhin Cyber-Angriffe im Zusammenhang mit dieser Nachricht beobachten und analysieren.<\/p>\n<h2>Erkenntnisse von Check Point<\/h2>\n<p>Check Point Research <a href=\"https:\/\/twitter.com\/_CPResearch_\/status\/1541753913732366338\" target=\"_blank\" rel=\"noopener\">hat nun Dateien gefunden<\/a>, die im Zusammenhang mit den j\u00fcngsten Angriffen auf das Stahlwerk im Iran stehen. Eine erste Analyse der Malware, die von den Angreifern als <em>Chaplin<\/em> bezeichnet wird, ergab, dass sie auf einer <em>Wiper<\/em>-Malware namens <em>Meteor<\/em> basiert, die bereits bei den Angriffen auf das iranische Eisenbahnsystem und auf das Ministerium f\u00fcr Stra\u00dfen und Stadtentwicklung im vergangenen Jahr verwendet wurde.  <\/p>\n<p>Obwohl <em>Chaplin<\/em> auf diesen Tools aus fr\u00fcheren Angriffen basiert, enth\u00e4lt es nicht deren L\u00f6schfunktion \u2013 im Englischen als Wipe bezeichnet \u2013 und besch\u00e4digt nicht das Dateisystem des Opfers. Die Malware verhindert jedoch, dass der Benutzer mit dem Rechner interagieren kann, meldet ihn ab und zeigt auf dem Bildschirm ein Einzelbild-Video an, welches den Cyber-Angriff ank\u00fcndigt. Die Malware besch\u00e4digt den Computer somit in dem Sinne, dass sie ihn daran hindert, korrekt zu starten. Ein Video, das auf dem Computer dem Nutzer abgespielt wird, zeigt die Logos der j\u00fcngsten Opfer von <em>Predatory Sparrow<\/em>:  <\/p>\n<ul>\n<li>Khouzestan Steel Company (KSC) <\/li>\n<li>Iranische Offshore-\u00d6lgesellschaft <\/li>\n<li>Ministerium f\u00fcr Stra\u00dfenbau und Stadtentwicklung <\/li>\n<li>Eisenbahngesellschaft der Islamischen Republik Iran <\/li>\n<\/ul>\n<p>Es k\u00f6nnte sein, dass die damals erbeuteten Dateien f\u00fcr den Angriff auf KSC verwendet wurden, da das Unternehmen mittlerweile best\u00e4tigte, dass es angegriffen wurde. Wie bei fr\u00fcheren Angriffen trieb die Gruppe ihren alten Scherz mit den Opfern und leitete sie \u00fcber die Nummer 64411 an das B\u00fcro des Obersten F\u00fchrers des Iran.  <\/p>\n<h2>Alte Check Point-Analysen<\/h2>\n<\/p>\n<p>Im vergangenen Jahr analysierte Check Point Research die Angriffe auf die iranischen Bahnsysteme und konnte sie mit fr\u00fcheren Angriffen einer Gruppe namens <em>Indra<\/em> in Verbindung bringen, die seit 2019 gegen Ziele im Iran und in Syrien vorgeht.  <\/p>\n<p><em>Predatory Sparrow<\/em>, welche die Verantwortung f\u00fcr den Angriff auf die iranische Stahlindustrie \u00fcbernahm, ist auch f\u00fcr die Angriffe auf die iranischen Eisenbahnsysteme und das iranische Ministerium f\u00fcr Stra\u00dfen und Stadtentwicklung verantwortlich. Angesichts der Verwendung derselben Werkzeuge, Methoden und Techniken ist es nicht unwahrscheinlich, dass es sich bei <em>Indra<\/em> und <em>Predatory Sparrow<\/em> um dieselbe Gruppe handelt.<\/p>\n<p><strong>\u00c4hnliche Artikel<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/07\/28\/iranische-cyber-aktivittsplne-deutsche-wago-im-fokus\/\">Iranische Cyber-Aktivit\u00e4tspl\u00e4ne \u2013 deutsche WAGO im Fokus<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/09\/22\/iranische-spionageaktion-kommunikation-per-telegram-kann-berwacht-werden\/\">Iranische Spionageaktion: Kommunikation per Telegram kann \u00fcberwacht werden<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/15\/info-stealer-kampagne-zielt-auf-deutsche-autohuser\/\">Info-Stealer-Kampagne zielt auf deutsche Autoh\u00e4user<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2021\/09\/05\/it-sicherheit-achillesverse-ssl-vpn-schwachstellen\/\">IT-Sicherheit: Achillesferse SSL-VPN-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Khuzestan Steel Company (KSC) ist ein gro\u00dfer Stahlproduzent im Iran. Am 27. Juni 2022 wurde bekannt, dass dieses Unternehmen Opfer eines Cyberangriffs wurde. Hacker haben wohl eine Malware auf die IT-Systeme losgelassen, so dass die Rechner nicht mehr benutzbar waren &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/29\/khuzestan-steel-company-ksc-im-iran-von-hackern-lahmgelegt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-269914","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269914"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269914\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}