Rüstungsspionage

Teherans Hacker tarnten sich als Aerobic-Trainerin

Symbolbild: Die iranischen Hacker machten ihrer Zielperson als falsche Aerobic-Trainerin zwei Jahre lang schöne Augen.

(Bild: stock.adobe.com)

Um in die Netzwerke hochspezialisierter Hightech- und Rüstungskonzerne einzudringen, nehmen im staatlichen Auftrag agierende Hacker einiges in Kauf. Das zeigt sich an einer Cyberspionage-Operation des Iran: Hacker mit Nähe zu den Revolutionsgarden gaben sich auf Facebook jahrelang als fesche Aerobic-Trainerin aus, um das Vertrauen des Mitarbeiters eines Flugzeugzulieferers zu erschleichen und mit seiner Hilfe einen Trojaner in das Unternehmen einzuschleusen.

Das berichtet das IT-Security-Newsportal „The Hacker News“ unter Berufung auf den IT-Dienstleister Proofpoint. Dieser hatte nach der Entdeckung der iranischen Spionageoperation durch Facebook gemeinsam mit den betroffenen Unternehmen das Treiben der Hackergruppe TA456 näher analysiert und sich die Fake-Profile auf Facebook angesehen, mit denen die iranische Armee mögliche Quellen anzuzapfen versuchte.

Der Hackergruppe TA456 wird in der IT-Security-Szene eine Nähe zu den iranischen Revolutionsgarden nachgesagt.

(Bild: AFP)

Jahrelang Vertrauen aufgebaut
Eine dieser Quellen, ein Mitarbeiter eines kleinen Flugzeugzulieferers aus der Rüstungsbranche, wurde 2019 von der falschen Aerobic-Trainerin kontaktiert und offenbar über viele Monate um den Finger gewickelt. Die falsche „Marcella Flores“, hinter der sich letztlich iranische Hacker verbargen, pflegte eine Art Brieffreundschaft mit dem Mann und schickte ihm immer wieder Aerobic-Tipps. „Anfang Juni 2021 versuchten die Angreifer dann, Kapital aus dieser Beziehung zu schlagen, indem sie dem Ziel in einer laufenden E-Mail-Korrespondenz Schadcode schickten“, berichtet Proofpoint.

Spionage-Tool eingeschleust
Der arglose Mitarbeiter des Flugzeugbauers klickte auf den in der Nachricht enthaltenen OneDrive-Link, hinter dem sich weitere Aerobic-Anleitungen verbergen sollten - und fing sich auf seinem Firmen-PC prompt den iranischen Computervirus LEMPO ein.

Nachdem sie das Vertrauen des Mitarbeiters erschlichen hatten, jubelten die Hacker ihm die Spionage-Software LEMPO unter.

(Bild: ©pinkeyes - stock.adobe.com)

Dieser ist als Spionagetool konzipiert, das sich in einem Firmennetzwerk einnistet und möglichst lang unentdeckt sensible Daten nach außen schickt. Lang konnte die Hackergruppe mit Nähe zur iranischen Armee aber nicht auf die Daten zugreifen: Im Juli wurden die falschen Profile aus dem Iran von Facebook enttarnt und die Spionageoperation flog auf.

Facebook löschte Fake-Konten
Der Account der falschen Aerobic-Schönheit wurde - ebenso wie 200 andere Konten - gelöscht. In den von der Spionageoperation ins Visier genommenen Firmen in den USA, Großbritannien und Europa leitete man Untersuchungen ein, an denen unter anderem Proofpoint mitwirkte.

Der auf IT-Sicherheit im Firmenumfeld spezialisierte Anbieter analysiert: „TA456 hat hier eine erhebliche Investition getätigt, indem man über Jahre hinweg eine Beziehung zu einem Mitarbeiter des Ziels pflegte, um LEMPO einzusetzen und Aufklärung in einer hochsicheren Zielumgebung in der Verteidigungsindustrie zu betreiben.“

Neu sind solche im Fachjargon Social Engineering genannten Taktiken freilich nicht: Cyberkriminelle und regierungsnahe Hacker verwenden seit Jahren verschiedenste Finten, um der Daten ihrer Zielpersonen habhaft zu werden. So flog im vergangenen Jahr beispielsweise eine Operation der palästinensischen Terrororganisation Hamas auf, bei der sich Hacker als junge Frauen ausgaben und israelischen Soldaten Honig ums Mail schmierten, um diesen eine Spionage-App unterzujubeln.