TEL AVIV – Als im vergangenen Monat ein Cyberangriff auf das iranische Eisenbahnsystem mit Hunderten von verspäteten oder ausgefallenen Zügen ein weit verbreitetes Chaos verursachte, zeigten die Finger natürlich auf Israel, das in einen langjährigen Schattenkrieg mit Teheran verstrickt ist.
Aber eine neue Untersuchung eines israelisch-amerikanischen Cybersicherheitsunternehmens, Check Point Software Technologies, kam zu dem Schluss, dass höchstwahrscheinlich eine mysteriöse Gruppe, die sich der iranischen Regierung widersetzt, hinter dem Hack steckt. Dies steht im Gegensatz zu vielen früheren Cyberangriffen, die staatlichen Stellen zugeschrieben wurden. Die Gruppe ist als Indra bekannt, benannt nach dem Kriegsgott in der hinduistischen Mythologie.
„Wir haben viele Cyberangriffe im Zusammenhang mit angeblich professionellen Geheimdienst- oder Militäreinheiten gesehen“, sagte Itay Cohen, ein leitender Forscher bei Check Point. “Aber hier scheint es etwas ganz anderes zu sein.”
Der Bericht des Unternehmens, der von der New York Times überprüft wurde, sagte, der Angriff sei eine Warnung: Eine Oppositionsgruppe ohne das Budget, das Personal oder die Fähigkeiten einer Regierung könnte immer noch viel Schaden anrichten.
Der Iran und sein Nuklearprogramm waren in den letzten Jahren das Ziel einer Reihe von Cyberangriffen, darunter eine von 2009 bis 2010 von Israel und den Vereinigten Staaten geleitete Kampagne gegen eine Urananreicherungsanlage.
Teheran wiederum wird beschuldigt, in den letzten zehn Jahren andere Regierungen, Cybersicherheitsunternehmen und Websites gehackt zu haben. In einem Fall beschuldigten die USA Computerspezialisten, die regelmäßig für das Korps der Islamischen Revolutionsgarden des Iran arbeiteten, Cyberangriffe auf Dutzende von amerikanischen Banken durchgeführt und versuchten, die Kontrolle über einen kleinen Damm in einem Vorort von New York City zu übernehmen.
In Fällen, in denen der Iran zugegeben hat, Opfer eines Cyberangriffs zu sein, beschuldigt er normalerweise das Ausland. Aber nach dem Anschlag auf das Eisenbahnnetz vom 9. Juli machte Teheran niemandem Vorwürfe und es gab kein Bekenntnis.
Check Point sagte, der Hack habe auffallende Ähnlichkeiten mit anderen gegen Unternehmen, die mit der iranischen Regierung verbunden sind, die Indra 2019 und 2020 behauptet hatte.
„Es ist gut möglich, dass Indra eine Gruppe von Hackern ist, die sich aus Gegnern des iranischen Regimes zusammensetzt, die entweder innerhalb oder außerhalb des Landes agieren und es geschafft haben, ihre eigenen einzigartigen Hacker-Tools zu entwickeln und sie sehr effektiv einzusetzen“, sagte Mr ., sagte Cohen.
Eine solche Gruppe könnte immer noch von einem Staat unterstützt werden oder ihr Name könnte als Deckmantel für einen verwendet werden, aber Check Point und andere Experten sagten, sie hätten keinen Hinweis darauf gefunden.
Ari Eitan, Vizepräsident für Forschung bei Intezer, einem in New York ansässigen Unternehmen, das sich auf den Vergleich von Codes in verschiedenen Cyberwaffen spezialisiert hat, sagte auch, dass es eine starke Verbindung zwischen den Tools und Methoden gibt, die beim Zug-Hack im Juli verwendet wurden, und den behaupteten Hacks in der Vergangenheit von Indra.
„Sie teilen Code-Gene, die nirgendwo anders als bei diesen Angriffen gesehen wurden, und die im letzten Juli verwendeten Dateien sind eine aktualisierte und verbesserte Version der Dateien, die 2019 und 2020 verwendet wurden“, sagte er. „Angesichts der Codeverbindungen kann man davon ausgehen, dass hinter allen Angriffen dieselbe Gruppe steckt.“
Indra tauchte zum ersten Mal kurz vor ihrer ersten Hacking-Behauptung im Jahr 2019 in den sozialen Medien auf und hat seitdem auf Englisch und Arabisch gepostet. Sie bekannte sich zu einer Reihe von Angriffen auf Unternehmen, die mit dem Iran und seinen Stellvertretern verbunden sind, wie die libanesische militante Gruppe Hisbollah.
Die Gruppe Twitter-Account sagt Ihre Mission ist es, „den Schrecken von QF und seinen mörderischen Stellvertretern in der Region ein Ende zu setzen“, und bezieht sich dabei auf die Quds Force – den ins Ausland gerichteten Zweig der Revolutionsgarden – und die Stellvertreter-Milizen, die sie im Nahen Osten beaufsichtigt.
Am Tag des Zugangriffs erschien auf elektronischen Fahrplantafeln an Bahnhöfen im ganzen Iran eine Ankündigung: „Lange Verspätungen aufgrund von Cyberangriffen“. Die Nachricht selbst war das Werk der Hacker und riet verwirrten Reisenden, sich unter der Nummer 64411, der Büronummer des obersten iranischen Führers Ayatollah Ali Khamenei, zu informieren.
Einen Tag später wurde auch das Computersystem des iranischen Verkehrsministeriums gehackt, was den Betrieb massiv unterbrach. Bei beiden Angriffen tauchten ähnliche Hinweise auf Computerbildschirmen auf, die deutlich machten, dass es sich um einen Hack handelte, obwohl Indra in den Behauptungen nicht erwähnt wurde.
Check Point sagte, dass seine Untersuchung ergab, dass die Hacker vor ihrem Angriff an der Informationsbeschaffung beteiligt waren. Für beide Hacks wurde ein identisches Einbruchstool verwendet, das die Computer deaktivierte, indem sie sie sperrte und ihren Inhalt löschte. Das Tool namens Wiper ist laut Check Point eine erweiterte Version desselben, das Indra seit 2019 verwendet.
„Was wir hier sehen, sind Muster, die sich von allem unterscheiden, was wir in der Vergangenheit bei Angriffen von Staaten gesehen haben“, sagte Cohen und fügte hinzu, dass Indra einzigartige und exklusive Angriffswerkzeuge entwickelt und die Fähigkeit zur Informationsbeschaffung bewiesen habe.
Er sagte auch, dass die Gruppe anscheinend dabei ist, ihre Fähigkeiten zu entwickeln, aber dass sie noch weit von der Raffinesse eines staatlichen Cyberangriffs entfernt ist.
Ihre Operationen, so Cohen, erschienen „eher wie ein Team ideologisch motivierter Jugendlicher mit Fähigkeiten, die sie sich in der Cyberwelt selbst beigebracht haben, als wie eine geordnete und organisierte Organisation“.
Im Jahr 2019 behauptete Indra, die Server der Fadel Exchange and International Forwarding Company gehackt zu haben, einem in Syrien ansässigen Unternehmen, das sich mit internationalen Geldüberweisungen und Devisenhandel beschäftigt. Indra warf dem Unternehmen vor, bei der Finanzierung der Quds-Truppe und der Hisbollah mitzuwirken.
Im Jahr 2020 behauptete Indra, die syrische Privatgesellschaft Cham Wings Airlines gehackt zu haben, die seit 2016 wegen der Unterstützung der syrischen Regierung im Bürgerkrieg des Landes unter Sanktionen des US-Finanzministeriums steht.