MESOP MIDEAST WATCH: Iranischer Phishing-Angriff soll auf israelische Spitzenbeamte, ehemaligen US-Botschafter, abzielen
14.6.22 TIMES OF ISRAEL – Iranische Hacker führten kürzlich eine Spear-Phishing-Operation gegen hochrangige israelische
und mit Israel verbundene Ziele durch, darunter die ehemalige Außenministerin Tzipi Livni und einen ehemaligen US-Botschafter im jüdischen Staat, sagte eine israelische Cybersicherheitsfirma am Dienstag.
In einer Erklärung beschrieb Check Point Research den Angriff und sagte, dass er eine breite Palette von gefälschten E-Mail-Konten einsetzte, um sich als vertrauenswürdige Parteien auszugeben, die Konten der Ziele zu übernehmen, Informationen zu stehlen und sie zu verwenden, um neue Ziele anzugreifen. In vielen Fällen bezog sich die E-Mail-Korrespondenz oder die von den Angreifern verlinkten Dokumente auf Sicherheitsprobleme im Zusammenhang mit dem Iran und Israel.
Check Point sagte, seine Analyse habe zu der Annahme geführt, dass der Angriff von einer iranischen Gruppe namens Phosphorus verübt wurde, die eine lange Geschichte der Durchführung hochkarätiger Cyber-Operationen hat, die auf die Interessen Teherans ausgerichtet sind, sowie auf israelische Beamte abzielt.
Die Ziele wurden von Check Point nicht benannt, um ihre Privatsphäre zu schützen, mit Ausnahme von Livni, die sich bereit erklärte, ihren Namen veröffentlichen zu lassen. Die Liste der Ziele umfasste auch einen bekannten ehemaligen Generalmajor der israelischen Verteidigungskräfte, der in einer “hochsensiblen Position” diente, den derzeitigen Vorsitzenden eines der führenden israelischen Sicherheits-Think-Tanks, den ehemaligen Vorsitzenden eines bekannten Nahost-Forschungszentrums und einen leitenden Angestellten der israelischen Verteidigungsindustrie.
Laut der Erklärung führten die Hacker “eine Kontoübernahme der Posteingänge einiger Opfer durch und entführten dann bestehende E-Mail-Konversationen, um Angriffe aus einer bereits bestehenden E-Mail-Konversation zwischen einem Ziel und einer vertrauenswürdigen Partei zu starten und diese Konversation in dieser Form fortzusetzen”.
Sie erstellten eine gefälschte URL-Shortener-Website, um die Phishing-Links zu verschleiern und nannten sie Litby[.] us – anscheinend versucht, dem beliebten Bitly-URL-Kürzungsdienst zu ähneln. Sie nutzten auch einen legitimen Identitätsüberprüfungsdienst, validation.com, für den Diebstahl von Ausweisdokumenten.
“Der sichtbare Zweck dieser Operation scheint zu sein… Zugang zu den Posteingängen der Opfer, ihren persönlich identifizierbaren Informationen und ihren Ausweisdokumenten “, sagte Check Point.
Livni, eine ehemalige Diplomatin und erfahrene Politikerin, die als Außenministerin, stellvertretende Premierministerin und Justizministerin diente, wurde per E-Mail von jemandem kontaktiert, der sich als ehemaliger IDF-Generalmajor ausgab, der dessen authentisches E-Mail-Konto benutzte, nachdem er die Kontrolle über das Konto erlangt hatte.
Die E-Mail enthielt einen Link zu einer Datei, die der Angreifer Livni zum Öffnen aufforderte. “Als sie dies verzögerte, näherte sich der Angreifer ihr mehrmals und bat sie, die Datei mit ihrem E-Mail-Passwort zu öffnen”, so Check Point.
E-Mails vom echten Konto eines ehemaligen IDF-Generalmajors, die im Rahmen eines angeblichen iranischen Spear-Phishing-Angriffs an die ehemalige Außenministerin Tzipi Livni gesendet wurden. (Check Point Research/Höflichkeit)
“Als sie den ehemaligen Generalmajor traf und ihn nach der E-Mail fragte, wurde bestätigt, dass er ihr nie eine solche E-Mail geschickt hat”, heißt es in der Erklärung. “Sie wandte sich dann an Check Point, um dieses verdächtige Ereignis zu untersuchen.”
In einem anderen Fall gaben sich die Angreifer als amerikanischer Diplomat aus, der zuvor als US-Botschafter in Israel gedient hatte, und zielten auf den Vorsitzenden des Sicherheits-Thinktanks ab. Sie initiierten eine E-Mail-Korrespondenz, die auf einen echten kopierten Thread zwischen den beiden Beamten von zwei Wochen zuvor folgte, der aus dem Posteingang eines von ihnen gestohlen wurde.
Ein E-Mail-Austausch zwischen einem angeblichen iranischen Hacker, der sich als ehemaliger US-Botschafter in Israel ausgibt, und dem Vorsitzenden eines der führenden Think Tanks Israels. (Check Point Research/Höflichkeit)
Check Point sagte, dass die Kampagne mehrere Merkmale hatte, die darauf hindeuten, dass sie von einer vom Iran unterstützten Entität betrieben wurde, einschließlich einer gefälschten Yahoo-Anmeldeseite, die von einer iranischen IP-Adresse kopiert wurde, und eines auskommentierten Codeabschnitts, der darauf hinweist, dass sie möglicherweise auch bei einem früheren Angriff von Phosphor verwendet wurde.
Die Nachricht kam zwei Tage, nachdem hebräische Medien berichtet hatten, dass israelische und türkische Sicherheitsbehörden im vergangenen Monat eine iranische Verschwörung zur Entführung israelischer Touristen in der Türkei aufgedeckt und rechtzeitig vereitelt hatten. Israel hat seitdem eine Reisewarnung auf höchster Ebene für Istanbul herausgegeben.
Letzten Monat sagte der Sicherheitsdienst Shin Bet, er habe einen Versuch iranischer Agenten aufgedeckt und vereitelt, israelische Akademiker, Geschäftsleute und ehemalige Verteidigungsbeamte ins Ausland zu locken, um sie zu entführen oder anderweitig zu verletzen.
Ebenfalls im Mai sagte der Shin Bet, er habe eine iranische Operation aufgedeckt, die versuchte, israelische Zivilisten zu rekrutieren, um Informationen über Ziele in Israel zu sammeln, indem er ein gefälschtes Social-Media-Profil verwendete.
Der Shin Bet hat davor gewarnt, dass der iranische Geheimdienst ständig versucht, Israelis über das Internet zu rekrutieren, um Informationen über das Land zu sammeln.
Letztes Jahr wurde ein israelischer Mann fast von einem iranischen Agenten dazu gebracht, in die Vereinigten Arabischen Emirate zu reisen, brach aber seine Reise ab, nachdem er von iranischen Bemühungen gehört hatte, israelische Bürger zu entführen oder anderweitig zu verletzen.
Im Jahr 2020 verhaftete der Shin Bet einen weiteren israelischen Bürger, der verdächtigt wurde, für den Iran spioniert zu haben.