Iranische Anmeldedaten-Diebe haben es auf medizinische Forscher abgesehen

Cyber Security News

Der Azadi-Turm in Teheran, Iran. (Christiaan Triebert, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Ende 2020 startete eine bekannte Hackergruppe, von der man annimmt, dass sie von der iranischen Regierung gesponsert wird, eine Kampagne zum Sammeln von Anmeldedaten, die auf medizinisches Personal in den USA und Israel abzielte, so eine neue Untersuchung von Proofpoint.

Die Forscher schreiben die Kampagne, die sie “BadBlood” getauft haben, Charming Kitten zu, auch bekannt als Phosphorous oder, in der Sprache von Proofpoint, TA453.

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, bemerkte, dass die Wahl der Ziele ein interessantes Merkmal der Kampagne ist.

“TA453 konzentriert sich typischerweise auf das Anvisieren von Dissidenten, Akademikern, Diplomaten und Journalisten. BadBlood hat das Ziel auf medizinische Forschung (Genetik, Onkologie und Neurologie) und möglicherweise auf patientenbezogene Informationen verlagert”, sagte sie gegenüber SC Media per E-Mail.

Proofpoint hat keine schlüssige Vorstellung davon, was die Motivation für die Kampagne war.

“Da die Zusammenarbeit für die medizinische Forschung oft informell über E-Mail erfolgt”, so DeGrippo, “könnte diese Kampagne zeigen, dass eine Untergruppe der TA453-Betreiber ein nachrichtendienstliches Bedürfnis hat, spezifische medizinische Informationen im Zusammenhang mit genetischer, onkologischer oder neurologischer Forschung zu sammeln. Alternativ kann diese Kampagne ein Interesse an den Patientendaten des anvisierten medizinischen Personals zeigen oder das Ziel, die Konten der Empfänger für weitere Phishing-Kampagnen zu nutzen.”

BadBlood nutzte Phishing-Köder im Zusammenhang mit israelischen Atomwaffenfähigkeiten, die von einem gefälschten Gmail-Konto gesendet wurden, das vorgab, Daniel Zajfman zu gehören, einem israelischen Physiker und Präsidenten des Weizmann Institute of Science. Laut DeGrippo ist es für TA453 üblich, politische Köder zu verwenden, einschließlich solcher über die Verbreitung von Atomwaffen, selbst wenn sie auf nicht verwandte Bereiche abzielen. Die Köder-E-Mails verknüpften mit einer gefälschten Microsoft OneDrive-Seite, die dann Anmeldeinformationen sammelte.

Proofpoint brachte die Kampagne durch die Verwendung einer einheitlichen Infrastruktur und ähnlicher Köder mit TA453 in Verbindung. Der Anbieter schreibt die Gruppe nicht unabhängig dem Iran zu, obwohl der Bericht anmerkt, dass die Vereinigten Staaten und mehrere Industriegruppen, einschließlich Microsoft, die Verbindung in der Vergangenheit hergestellt haben.

“TA453 versucht routinemäßig, die E-Mail-Zugangsdaten von Personen zu erhalten, die möglicherweise über Informationen verfügen, die mit der [Islamic Revolutionary Guard’s] Sammelprioritäten übereinstimmen”, sagte DeGrippo.

Dem Bericht zufolge wurde der Name BadBlood “aufgrund des medizinischen Schwerpunkts und der anhaltenden geopolitischen Spannungen zwischen Iran und Israel” gewählt.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com