Eine prominente Cybersicherheitsgruppe hat die Angriffe auf Regierungswebseiten im Iran untersucht und ist zu dem Schluss gekommen, dass aufgrund der Struktur des iranischen Internets und seiner Trennung vom globalen Internet die Angriffe auf Regierungswebseiten, einschließlich der Webseiten des staatlichen Rundfunks und Fernsehens am 27. Januar 2022, des Außenministeriums am 7. Mai 2023 und des Präsidialamtes am 29. Mai 2023, durch Infiltration erfolgten und nicht das Ergebnis eines Eindringens von außerhalb des Irans gewesen sein können.
In den letzten Jahren hat die Cybersicherheitsgruppe Treadstone71 mehrere Berichte über die iranische Regierung und ihre Cyberangriffe veröffentlicht und sich zu einer Autorität auf diesem Gebiet entwickelt.
Der Treadstone71-Bericht unterstreicht, dass die wichtigsten Angriffe auf die iranischen Regierungsseiten höchstwahrscheinlich durch Eindringlinge aus dem Inneren des Irans durchgeführt wurden, insbesondere durch Insider, die Zugang zu diesen Systemen hatten.
Zahlreiche der wichtigsten Websites der iranischen Regierung sowie die Online-Systeme der Stadtverwaltung von Teheran und der nationalen Radio- und Fernsehsender waren seit Januar 2022 massiven Angriffen ausgesetzt.
Die Gruppe “Gyamsarnegouni” (“Aufstand bis zum Umsturz”) hat die Verantwortung für die Hauptangriffe übernommen und auf ihrem Telegram-Konto umfangreiche interne Regierungsdokumente der iranischen Regierung veröffentlicht. Die Gruppe hat die Startseiten einer Reihe von Websites verunstaltet, indem sie Bilder des Obersten Führers Ali Khamenei durchgestrichen und Bilder von iranischen Oppositionsführern platziert hat.
Im Jahr 2022 waren die Internetstrukturen und -dienste der albanischen Regierung Ziel eines massiven Cyberangriffs, der zahlreiche Probleme verursachte. Ausführliche Untersuchungen von Microsoft und anderen Unternehmen wiesen auf Teheran hin.
Der Einschätzung von Treadstone71 zufolge “hat der Iran eine lange Geschichte von Angriffen auf die Cybersicherheit und steht einigen Statistiken zufolge an fünfter Stelle der Nationen, die dafür bekannt sind, ihre Gegner durch Cyberkriegsführung anzugreifen”.
“Als Sicherheitsvorkehrung”, so Treadstone71 in seinem Bericht, “beschloss der Iran, seine Regierungswebsites von europäischen Hosting-Servern zu inländischen Hosting-Unternehmen zu verlagern, als Teil seines ‘Nationalen Internets'”, und als Ergebnis wurden “alle Regierungs- und staatlich kontrollierten Websites von europäischen und amerikanischen Hosting-Servern zu inländischen Hosts verlagert”, und “der Zugang zu ausgewählten Regierungs- und staatlich kontrollierten Websites wurde auf das ‘Nationale Internet’ beschränkt, wodurch sie über das globale Internet unzugänglich wurden.”
Der Bericht von Treadstone71 unterstreicht: “Wir wurden auch Zeuge einer anderen Art von Angriffen, die sich von den Angriffen auf Regierungswebsites auf anfälligen iranischen Hosting-Diensten unterscheiden: die von Gyamsarnegouni (“Aufstand bis zum Umsturz”). Die von dieser Gruppe durchgeführten Angriffe gehörten zu den tiefsten Infiltrationen gegen die Netzwerke der iranischen Regierung”.
Der Bericht stellt fest:
Diese Angriffe zeichneten sich durch drei Hauptmerkmale aus:
1. Das Ausmaß des Eindringens in die sichersten Regierungsnetzwerke, vergleichbar nur mit dem Stuxnet-Angriff (der ein Flash-Laufwerk verwendete).
2. Das Volumen der exfiltrierten Dokumente.
3. Der weit verbreitete Zugang zu Servern und Computern.
Der Treadstone-Bericht71 unterstreicht, dass die staatlichen Rundfunk- und Fernsehnetze, insbesondere in undemokratischen Ländern wie dem Iran, “zu den am stärksten isolierten und am besten geschützten Netzen gehören”. Weiter heißt es: “Irans internes Rundfunknetz ist nicht mit dem Internet verbunden und stark abgeschottet, d.h. es ist physisch vom Internet isoliert und kann nur von innen erreicht werden… Die einzige Möglichkeit für einen Außenstehenden, sich Zugang zum Netzwerk zu verschaffen, wäre eine physische Infiltration.”
Im Januar 2022 wiesen die iranischen Nachrichtenmedien darauf hin, dass Regierungseinrichtungen davon ausgehen, dass dieser Angriff von Personen durchgeführt wurde, die Insiderinformationen über die staatlichen iranischen Radio- und Fernsehsysteme hatten.
Bei dem Angriff auf die Websites der Stadtverwaltung von Teheran am 2. Juni 2022 wurde in 5.000 Kameras eingebrochen, die zur Verkehrskontrolle und Gesichtserkennung eingesetzt werden. Laut Treadstone71 hätten die Hacker “gewusst, dass die Kameras nicht mit dem Internet verbunden waren und dass sie sich physischen Zugang zu den Kameras verschaffen mussten, um sie zu hacken.”
Die verblüffendsten Erkenntnisse von Treadstone71 beziehen sich jedoch auf die beiden öffentlichkeitswirksamen und aufsehenerregenden Angriffe von Gyamsarnegouni im Mai 2023.
Bei dem Angriff auf die Website des iranischen Außenministeriums verschafften sich die Hacker Zugang zu 50 Terabyte an Daten aus den Archiven des Ministeriums. Nach Einschätzung von Treadstone71 war dafür ein “Eindringen in die innersten Schichten dieser Regierungsbehörde” erforderlich. Die Art der durchgesickerten Dokumente deutet darauf hin, dass derartige Dokumente über das Internet nicht zugänglich sind, was den Verdacht auf eine Beteiligung von Insidern weiter erhärtet.”
Die Experteneinschätzung von Treadstone71 kam zu dem Schluss, dass “die Übertragung von 50 TB Daten aus der Ferne – und über ein gefiltertes Netzwerk wie das des Iran – nicht möglich wäre”, und fügte hinzu, dass die schiere Größe des Hacks auch Aufschluss darüber gibt, wie er durchgeführt wurde.
“Die normale Internet-Download-Geschwindigkeit eines Iraners beträgt 11,8 Megabit pro Sekunde. Um 50 Terabyte Daten vom iranischen Außenministerium mit dieser Geschwindigkeit herunterzuladen, bräuchte man 392 Tage oder mehr als ein Jahr ununterbrochener Downloadzeit, und das iranische Internet fällt häufig aus, wird von der Regierung gedrosselt und erfährt regelmäßige, von der Regierung verursachte Stromausfälle”, heißt es in dem Bericht.
“Aufgrund dieser Zahlen ist es sehr wahrscheinlich, dass ein solcher Angriff durch direkten Zugriff auf die Daten erfolgte.
Bei dem Angriff auf die Website des Präsidialamtes drangen die Hacker in die sichersten Kommunikationssysteme der Regierung ein und gelangten so an Zehntausende von Dokumenten, die nicht älter als ein paar Monate waren.
Einem iranischen Experten zufolge wurde für diese Website “eine spezielle IP-Adresse verwendet, die nicht zu knacken war”.
“Die Tatsache, dass sich die Hacker Zugang zu Zehntausenden von Dokumenten verschafft haben, die nicht älter als ein paar Monate sind, deutet ebenfalls darauf hin, dass der Angriff von Insidern durchgeführt wurde. Diese Dokumente wären auf Computern mit eingeschränktem Internetzugang gespeichert gewesen, und es wäre für einen Außenstehenden schwierig gewesen, auf sie zuzugreifen”, so Treadstone71.
Der Bericht schloss mit den Worten: “Die iranische Regierung gab zunächst ausländischen Gegnern die Schuld. Cybersecurity-Experten und zunehmende Beweise deuten jedoch auf eine Beteiligung von Insidern hin.”
