{"id":274512,"date":"2022-10-30T00:10:00","date_gmt":"2022-10-29T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274512"},"modified":"2023-11-30T17:14:09","modified_gmt":"2023-11-30T16:14:09","slug":"iran-hackerangriffe-auf-agentur-fr-atomenergie-und-industrieanlagen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/30\/iran-hackerangriffe-auf-agentur-fr-atomenergie-und-industrieanlagen\/","title":{"rendered":"Iran: Hackerangriffe auf Agentur für Atomenergie und Industrieanlagen"},"content":{"rendered":"

\"Sicherheit[English]Seit den politischen Unruhen sehen sich Beh\u00f6rden und Firmen im Fokus von Hackern, die erfolgreich in IT-Systeme einbrechen. Da werden Webauftritte von TV-Sendern ver\u00e4ndert oder die Hacker dringen in IT-Systeme ein und ziehen Daten ab. So musste Irans Agentur f\u00fcr Atomenergie zugeben, dass sie gehackt wurden (passierte erst, nachdem Daten \u00f6ffentlich wurden). Mir liegt zudem eine Beschreibung vor, wie Hacker in iranische Industrieanlagen eindringen. Nachfolgend ein kleiner \u00dcberblick.<\/p>\n

<\/p>\n

Hackerangriffe auf Agentur f\u00fcr Atomenergie<\/h2>\n

\"\"Es ging bereits seit einigen Tagen durch die Medien: Hacker waren bei Irans Agentur f\u00fcr Atomenergie in die IT-Systeme eingedrungen und hatte Dokumente entwendet. The Register berichtet im Beitrag Hacktivists say they stole 100,000 emails from Iran's nuclear energy agency<\/a>, dass die Verantwortlichen diese als PR-Stunt der Medien abtun wollten. Erst als diese ver\u00f6ffentlicht wurden, gaben die Verantwortlichen der Agentur diesen Hack zu.<\/p>\n

\"Iran's<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben das hier<\/a> aufgegriffen und weisen in obigem Tweet<\/a> auf das Thema hin. Auch bei heise wurde das Thema aufgegriffen<\/a> und es hei\u00dft, dass 50 GByte Daten abgeflossen seien.<\/p>\n

Angriffe auf Irans Industrieanlagensteuerungen<\/h2>\n

Sicherheitsexperten von Otorio haben mir zudem Details einer Analyse von ICS-Angriffen (ICS, Industrial Control Systems) bereitgestellt. Die Gruppe der \"GhostSec\"-Hackeraktivisten wurde vor kurzem dabei beobachtet, wie sie israelische PLCs<\/a> (Programmable Logic Controller) ins Visier nahmen – wohl um ihre Hacking-F\u00e4higkeiten im Bereich von ICS (Industrial Control Systems) zu demonstrieren.<\/p>\n

In ihren j\u00fcngsten Kampagnen haben sich die Hackeraktivisten den Hijab-Protestwellen im Iran zugewandt und greifen nun iranische Steuerungssysteme in Industrieanlagen an. David Krivobokov, Research Team Leader bei OTORIO, <\/strong>schreibt:<\/p>\n

Die Hacker haben mehrere Bilder als Beweis f\u00fcr erfolgreich \"gehackte\" Systeme ver\u00f6ffentlicht. Diese zeigen die Verwendung von SCADA-Modulen des Metasploit-Frameworks und ein MOXA E2214 Controller-Admin-Webportal nach einem erfolgreichen Login. Es ist zwar nicht klar, welche sch\u00e4digenden Auswirkungen die \"durchbrochenen\" Systeme letztlich haben, aber der Fall zeigt erneut die Leichtigkeit und die potenziellen Auswirkungen von Angriffen auf ICS-Systeme, die nur \u00fcber unzureichende Sicherheitskontrollen verf\u00fcgen.<\/p><\/blockquote>\n

Hier die Abbildungen der Hacker zu diesen Angriffen aus GhostSecs-Telegram-Kanal, das die Verwendung des Metasploit-Frameworks zeigt.<\/p>\n

\"Iran<\/p>\n

\"Iran<\/a><\/p>\n

\"Iran<\/p>\n

Die GhostSec-Angreifer verwendeten ein, von Sicherheitsforschern und Pen-Testern sehr h\u00e4ufig eingesetztes, Metasploit-Framework f\u00fcr die Hacks. Metasploit ist ein \u00e4u\u00dferst leistungsf\u00e4higes und modulares Framework, das die Ausf\u00fchrung einer Vielzahl von Angriffen auf entfernte Anlagen erm\u00f6glicht.<\/p>\n

Kali Linux – eine Linux-Distribution f\u00fcr Hacker – umfasst Metasploit \"out-of-the-box\" und wird mit speziellen Modulen f\u00fcr Angriffe auf OT-Systeme geliefert. Mit dieser Toolbox sind selbst unerfahrene Hacker in der Lage, ICS-Zielen erheblichen Schaden zuzuf\u00fcgen. In vielen F\u00e4llen k\u00f6nnen sie einfach das Internet nach potenziellen ICS-Zielen scannen, die offene Ports aufweisen, die mit Industrieprotokollen verbunden sind, wie zum Beispiel Modbus auf Port TCP 502 oder CIP auf TCP Port 44818, und dann die Metasploit SCADA-Module oder andere ICS-Angriffstools auf sie anwenden.<\/p>\n

Das am meisten Beunruhigende an dieser Entwicklung besteht darin, dass GhostSec vor zwei Wochen die Webschnittstellen von PLCs kompromittiert<\/a> hat. Inzwischen beginnt die Gruppe damit, nach neuen Open-Source-Tools zu suchen und verschiedene OT-Protokolle und deren F\u00e4higkeiten n\u00e4her zu untersuchen. Die Gruppe der Hackeraktivisten scheint hoch motiviert zu sein und verf\u00fcgt \u00fcber F\u00e4higkeiten, die von Mal zu Mal st\u00e4rker werden.<\/p>\n

Die Empfehlung von OTORIO f\u00fcr Unternehmen mit gef\u00e4hrdeten PCLs oder ICSs: Stellen Sie sicher, dass es keinen direkten Zugang vom Internet zu Ihren OT-Ger\u00e4ten gibt, insbesondere zu deren Betriebsdiensten. Investieren Sie au\u00dferdem in minimale Ma\u00dfnahmen zur Cyber-Absicherung wie zum Beispiel das kontinuierliche \u00c4ndern von standardm\u00e4\u00dfig verwendeten Passw\u00f6rtern.<\/p>\n

Zum Abschluss noch ein Link auf diesen Artikel<\/a> von fdd.org mit einer Analyse der iranischen Ambitionen in Sachen Cyberangriffen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Seit den politischen Unruhen sehen sich Beh\u00f6rden und Firmen im Fokus von Hackern, die erfolgreich in IT-Systeme einbrechen. Da werden Webauftritte von TV-Sendern ver\u00e4ndert oder die Hacker dringen in IT-Systeme ein und ziehen Daten ab. So musste Irans Agentur f\u00fcr … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-274512","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274512","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274512"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274512\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274512"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}