Iran-nahe Hacker attackieren Regierungssysteme

BladedFeline: Cyberspionage im Nahen Osten

Hackergruppe, bladedfeline hackergruppe, cyberspionage naher osten, BladedFeline, Cyberspionage
Bildquelle: KI-generiert mithilfe von shutterstock.com
LinkedInRedditWhatsAppPocket

Die Hackergruppe BladedFeline hat sich Zugang zu hochsensiblen Netzwerken in Irak und Kurdistan verschafft. Die Spionagekampagne zielte offenbar auf Informationen zur gezielten Einflussnahme und Sabotage.

Angriff auf politische Schlüsselstellen

Sicherheitsforscher des europäischen IT-Sicherheitsunternehmens ESET haben eine Cyberangriffskampagne aufgedeckt, die sich gezielt gegen hohe Regierungsstellen im Irak und in Kurdistan richtet. Hinter der Aktion steckt die Gruppe BladedFeline, die nach Einschätzung der Experten in engem Zusammenhang mit dem iranischen Machtapparat steht. Ziel war es, Informationen mit hoher politischer und strategischer Relevanz auszuspähen.

Anzeige

„Zwischen Öl, Diplomatie und geopolitischer Kontrolle verlaufen die Frontlinien moderner Cyberspionage“, sagt Michael Klatte, IT-Sicherheitsexperte bei ESET. „Wer in der Region Einfluss gewinnen will, braucht Informationen. Genau deshalb sind kurdische und irakische Regierungsstellen ein bevorzugtes Ziel iranisch gesteuerter Hackergruppen wie BladedFeline.“

Tarnkappen-Malware im Einsatz

Die Angreifer nutzten zwei bislang unbekannte Spionagewerkzeuge:

  • Whisper, eine Backdoor, die sich in Exchange-Webmail-Konten einnistet und über präparierte E-Mail-Anhänge mit den Angreifern kommuniziert.
  • PrimeCache, ein Schadmodul für Windows-IIS-Server, das Befehle über manipulierte HTTP-Anfragen entgegennimmt.

Zusammen mit weiteren Tools – etwa Laret und Pinar (Reverse-Tunnel-Programme), PowerShell-Loadern, Listener-Modulen und Webshells – entstand ein komplexes Arsenal zur verdeckten Überwachung. Selbst ein Telekommunikationsanbieter in Usbekistan wurde in die Kampagne hineingezogen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Spuren führen zu OilRig

Die eingesetzten Werkzeuge zeigen auffällige Parallelen zur bekannten OilRig-Gruppe, die seit Jahren für staatlich gelenkte Angriffe im Nahen Osten verantwortlich gemacht wird. Das Modul PrimeCache ähnelt stark der RDAT-Backdoor, auch der verwendete Code zur Datenverschlüsselung stammt augenscheinlich aus derselben Quelle.

Die Gruppe BladedFeline ist laut ESET mindestens seit 2017 aktiv und trat bereits in der Vergangenheit mit Angriffen auf kurdische Regierungsstellen in Erscheinung. Die aktuelle Kampagne beweist erneut, wie strategisch und langfristig digitale Spionage im geopolitischen Machtkampf eingesetzt wird.

“Die Hacker gehen äußerst zielgerichtet vor und verfügen über Ressourcen, wie sie nur staatlich unterstützte Akteure besitzen”, so Klatte weiter. “Unsere Analyse legt nahe, dass BladedFeline langfristige Zugänge aufbauen will, um vertrauliche Informationen aus Politik, Verwaltung und möglicherweise auch Wirtschaft zu erlangen.”

Weitere Informationen zu BladedFeline und der aktuellen Hackingkampagne gibt es auf ESETs Blog Welivesecurity.com.

(vp/ESET Deutschland GmbH)


Anzeige

Weitere Artikel

3AM-Ransomware: Getarnte Cyberangriffe mit virtuellen Maschinen
Fancy Bear: Russlands digitale Speerspitze gegen die Demokratie
Lumma-Infostealer: Analyse des Takedowns
TA397: Gezielte Angriffe auf Regierungen und Unternehmen weltweit
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.