Israelisches Unternehmen deckt iranischen Cyberangriff auf Gaza-Waffenstillstandsvermittler auf

Das israelische Unternehmen Dream Security gab Anfang dieses Monats bekannt, dass der Iran einen ausgeklügelten Cyberangriff durchgeführt habe, um mindestens 200 Ziele auszuspionieren, die an den laufenden Waffenstillstandsverhandlungen im Gazastreifen beteiligt sind. Zu den Zielen gehörten ägyptische Beamte in Kairo und Paris sowie Vermittler aus den Vereinigten Staaten und Katar.

In der ersten Phase richtete sich der Cyberangriff gegen das E-Mail-Konto des Außenministeriums von Oman, wobei bösartige Nachrichten eingesetzt wurden, um die Kommunikation der beteiligten Diplomaten zu infiltrieren und zu überwachen. Die E-Mails, die als diplomatische Korrespondenz getarnt waren, enthielten Microsoft Word-Dokumente, die so gefälscht waren, dass sie wie offizielle Briefe aus Oman aussahen. Sobald sie geöffnet wurden, setzten sie einen bösartigen Code frei, der sich in eine offensive Cyber-Software verwandelte, mit der das Ziel überwacht, Korrespondenz gelesen und Gespräche aufgezeichnet werden konnten, laut einem Bericht von Ynet News.

Dream Security geht davon aus, dass der Cyberangriff gegen Oman und die Diplomaten Teil einer umfassenderen iranischen Phishing-Operation war, hinter der die Hackergruppe „Homeland Justice“ stand, die mit dem iranischen Ministerium für Geheimdienst und Sicherheit in Verbindung steht.

Im Gegensatz zu früheren iranischen Cyberangriffen, die in erster Linie auf die Infrastruktur abzielten oder darauf aus waren, Daten zu stehlen, schien diese Operation darauf ausgerichtet zu sein, Verhandlungen zu stören oder zu beeinflussen.

Das israelische Unternehmen betonte, dass das Hacken diplomatischer Kanäle eine Angriffsmethode darstellt, die den Cyber- und den diplomatischen Bereich miteinander verbindet.

„Wenn ein authentischer diplomatischer Kanal zu einer Cyberwaffe wird, verschmelzen die diplomatische und die Cyberfront zu einem einzigen Schlachtfeld”, erklärte das Unternehmen und fügte hinzu, dass der Angriff Teil umfassenderer regionaler Versuche war, diplomatische Kanäle anzugreifen.

„Die Phishing-Operation des Iran spiegelt umfassendere regionale Spionagebemühungen wider, die sich in Zeiten erhöhter geopolitischer Spannungen gegen diplomatische und staatliche Stellen richten“, so Vertreter von Dream Security. „Diplomatisches Vertrauen ist zu einem strategischen Ziel geworden. Die Muster spiegeln frühere Angriffe wider, die mit dem Iran in Verbindung stehen, darunter eine Operation in Albanien im Jahr 2023.“

Die Gruppe „Homeland Justice“ hackt seit mehreren Jahren die albanische Regierung, weil das Land seit 2013 auf Wunsch der US-Regierung 3.000 Mitglieder der iranischen Oppositionsgruppe „People's Mojahedin Organization of Iran“ – besser bekannt als Mojahedin-e-Khalq (MEK) – beherbergt.

Dream Security wurde im Januar 2023 von CEO Shalev Hulio gegründet und hat den ehemaligen österreichischen Bundeskanzler Sebastian Kurz als Vorsitzenden und Gil Dolev als CTO. Laut Tal Fialkov, Vice President of AI and Cyber des Unternehmens, bieten die KI-Agenten von Dream Security „eine beispiellose Echtzeit-Kartierung und -Analyse von Cyberangriffen auf staatlicher Ebene und verschaffen Ländern so einen Verteidigungsvorteil gegenüber komplexen Bedrohungen“.

Mithilfe seiner eigenen KI-Systeme kartierte Dream Security den Angriff auf das Außenministerium von Oman mit autonomen Agenten, die sowohl das offene als auch das Dark Web nach böswilligen Aktivitäten durchsuchten. Die KI-Agenten führten auch forensische Analysen durch, bei denen Domains, Server und Angriffsinfrastrukturen miteinander verknüpft wurden. Sie verfolgten die für den Angriff verantwortliche iranische Gruppe zurück, kartierten die Infektionskampagne und deckten deren Vorgehensweise auf – wodurch möglicherweise die Fähigkeiten der Gruppe gestört werden konnten.

Der Iran führt regelmäßig Cyberangriffe gegen Israel durch. Zuletzt vereitelte die israelische Nationale Cyberdirektion einen Versuch des iranischen Regimes, eine gefälschte Website zu nutzen, die sich an IDF-Veteranen und Reservisten mit PTBS richtete, um sie zur Weitergabe persönlicher Daten zu verleiten und gleichzeitig Malware zu installieren.