Hacker, die mit der iranischen Regierung in Verbindung stehen, haben im Rahmen einer Spionagekampagne Tausende von Unternehmen in der Satelliten-, Verteidigungs- und Pharmaindustrie ins Visier genommen, wie neue Untersuchungen ergeben haben. Die Hackergruppe, die hinter dem Angriff steckt, wurde von Microsoft als Peach Sandstorm identifiziert. Dieser Gruppe gelang es, in eine Reihe von Zielorganisationen einzudringen und deren Daten zu stehlen. Microsoft hat nicht bekannt gegeben, welche Länder das Ziel waren.
Die jüngsten iranbezogenen Angriffe konzentrierten sich auf Israel, die Vereinigten Staaten, Brasilien und die Vereinigten Arabischen Emirate. In seiner neuen Kampagne, die von Februar bis Juli lief, nutzte Peach Sandstorm eine Kombination aus öffentlich verfügbaren und eigenen Tools, um seine Ziele zu stören und Informationen "zur Unterstützung der nationalen Interessen des Iran" zu sammeln, so Microsoft.
Um in das Konto eines Opfers einzudringen, verwendete Peach Sandstorm eine Technik, die als "Passwort-Spraying" bekannt ist. Dabei wird versucht, mit einem einzigen Passwort oder einer Liste von häufig verwendeten Passwörtern unbefugten Zugriff auf das Zielgerät zu erhalten. Peach Sandstorm (früher unter dem Namen Holmium bekannt) hat auch bei früheren Angriffen auf Unternehmen aus der Luft- und Raumfahrt, der Rüstungsindustrie, der chemischen Industrie und dem Bergbau Passwort-Injektionen eingesetzt, um die Erfolgschancen zu erhöhen und das Risiko einer automatischen Kontosperre zu verringern.
Wenn es der Organisation gelingt, ein Ziel anzugreifen, werden ihre Angriffe immer ausgefeilter. So hat Microsoft beispielsweise festgestellt, dass Hacker die AzureHound- und Roadtools-Tools des Unternehmens nutzen, um Informationen aus dem System eines Opfers zu sammeln, auf Daten in der Cloud-Umgebung des Ziels zuzugreifen und bestimmte Daten von Interesse in eine einzige Datenbank zu übertragen.
Die Hackerorganisation installierte den Azure Arc-Client auf einem kompromittierten Gerät und verknüpfte ihn mit ihrem eigenen Azure-Abonnement, wodurch sie die Kontrolle über das Zielgerät in der gehackten Cloud-Infrastruktur übernehmen konnten. Sie versuchten auch, bekannte Schwachstellen auszunutzen, z. B. in Zoho ManageEngine, das für die Verwaltung von IT-Diensten verwendet wird, und in Confluence, einem Tool für die Zusammenarbeit von Teams, sowie in AnyDesk, einem kommerziellen Tool für die Fernüberwachung und -verwaltung, um den Zugriff auf das Ziel zu erhalten.
Forscher haben außerdem ein neues Backdoor-Tool entdeckt, das vermutlich von iranischen Hackern für Angriffe auf Ziele in Brasilien, Israel und den Vereinigten Arabischen Emiraten verwendet wurde. Nach Angaben des Cybersicherheitsunternehmens ESET setzte die Hackergruppe, die als Ballistic Bobcat oder Glamour Kitten bekannt ist, das Tool zwischen März 2021 und Juni 2022 ein und griff mindestens 34 Opfer an, die meisten von ihnen in Israel.
Einem aktuellen Microsoft-Bericht zufolge nutzen staatlich gesponserte iranische Hacker zunehmend Einflussoperationen, um die Wirkung herkömmlicher Cyberangriffe zu verstärken und die politische Agenda Teherans in Israel und den Vereinigten Staaten voranzutreiben.
Da Peach Sandstorm zunehmend neue Funktionen entwickelt und einsetzt, ist es wichtig, dass die betroffenen Unternehmen geeignete Abwehrmaßnahmen entwickeln, um ihre Angriffsfläche zu vergrößern und die Kosten dieser Angriffe zu erhöhen.