Iran-nahe, Hackergruppe

Iran-nahe Hackergruppe infiltriert irakische und kurdische Regierungsnetzwerke

05.06.2025 - 14:15:00 | pressetext.de

Jena - Regierungsbeamte gehören zu den lukrativsten Zielen von Cyberkriminellen. Ein erfolgreicher Angriff liefert mitunter wertvolle Informationen, die unter UmstĂ€nden nur fĂŒr die höchsten Stellen eines Landes gedacht waren. Einen besonders perfiden Fall haben nun Forscher des europĂ€ischen IT-Sicherheitsherstellers ESET aufgedeckt. Cyberkriminelle der Gruppe "BladedFeline" konnten mit einer erfolgreichen Spionagekampagne zahlreiche Computer hochrangiger kurdischer und irakischer Beamter hacken. Ihr Ziel: Wertvolle Daten fĂŒr zielgerichtete Sabotage und Manipulation.

"Zwischen Öl, Diplomatie und geopolitischer Kontrolle verlaufen die Frontlinien moderner Cyberspionage", sagt Michael Klatte, IT-Sicherheitsexperte bei ESET. "Wer in der Region Einfluss gewinnen will, braucht Informationen. Genau deshalb sind kurdische und irakische Regierungsstellen ein bevorzugtes Ziel iranisch gesteuerter Hackergruppen wie BladedFeline."

Spionage mit maßgeschneiderten Tools

Wie die Angreifer in die Systeme ihrer Opfer gelangten, ist bislang ungewiss. Klar ist jedoch, womit sie gearbeitet haben. Im Zentrum der Kampagne stehen zwei neu entdeckte Schadprogramme, mit denen die Hacker unbemerkt Daten abgreifen und ihre Spionage langfristig sichern konnten.

* Whisper : eine Backdoor, die sich in kompromittierte Microsoft Exchange-Webmail-Konten einklinkt und ĂŒber manipulierte E-Mail-AnhĂ€nge mit den Angreifern kommuniziert. * PrimeCache : ein bösartiges IIS-Modul, das auf Windows-Webservern installiert wird und verdeckte Befehle ĂŒber manipulierte HTTP-Anfragen entgegennimmt.

Beide Werkzeuge ermöglichen den Angreifern eine nahezu unsichtbare Kommunikation mit infizierten Systemen. Die Tools wurden zusammen mit zwei Reverse-Tunnel-Programmen namens Laret und Pinar eingesetzt, um Daten verdeckt aus den Netzwerken abzuleiten und dauerhaft Zugriff zu behalten.

ZusÀtzlich nutzte die Gruppe weitere Werkzeuge, etwa Webshells, PowerShell-Loader und Listener-Module, um ihre AktivitÀten in den betroffenen Systemen zu koordinieren. Selbst ein regionaler Telekommunikationsanbieter in Usbekistan fiel der Kampagne zum Opfer.

BladedFeline nutzt Werkzeuge der gefĂŒrchteten OilRig-Gruppe

Die technischen Merkmale vieler der eingesetzten Schadprogramme zeigen deutliche Parallelen zu bekannten Schadprogrammen von OilRig. So weist das PrimeCache-Modul signifikante Ähnlichkeiten zur RDAT-Backdoor auf, die OilRig bereits in frĂŒheren Kampagnen verwendet hatte. Auch der verwendete Code zur DatenverschlĂŒsselung stammt augenscheinlich aus derselben Entwicklungsumgebung. Die Hackergruppe ist seit mindestens 2017 aktiv. In der Vergangenheit hat sie sich mit Ă€hnlichen Attacken auf kurdische Beamte einen Namen gemacht.

"Die Hacker gehen Ă€ußerst zielgerichtet vor und verfĂŒgen ĂŒber Ressourcen, wie sie nur staatlich unterstĂŒtzte Akteure besitzen", so Klatte weiter. "Unsere Analyse legt nahe, dass BladedFeline langfristige ZugĂ€nge aufbauen will, um vertrauliche Informationen aus Politik, Verwaltung und möglicherweise auch Wirtschaft zu erlangen."

Weitere Informationen zu BladedFeline und der aktuellen Hackingkampagne gibt es auf ESETs Blog Welivesecurity.com ( https://www.welivesecurity.com/de/eset-research/bladedfeline-cyber-spionage-im-schatten ).

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de

So schÀtzen die Börsenprofis Aktien ein!

<b>So schÀtzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlĂ€ssliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂŒr. Immer. Kostenlos.
wissenschaft | 67457924 |