Bundesamt für Verfassungsschutz: Warnung vor iranischen Hackern

Berlin taz | Das Bundesamt für Verfassungsschutz (BfV) warnt vor Aktivitäten iranischer Hacker in Deutschland. Die Cyberangriffe richteten sich „gegen Dissidentenorganisationen und Einzelpersonen“ – wie JuristInnen, JournalistInnen oder MenschenrechtsaktivistInnen. Konkret nennt das BfV eine Angreifergruppe namens „Charming Kitten“. Bei dieser geht der Inlandsgeheimdienst seit Ende 2022 von „konkreten Ausspähversuchen gegen iranische Personen und Organisationen in Deutschland“ aus, heißt es in einem aktuellen „Cyber-Brief“, der am Donnerstag veröffentlicht wurde.

„Charming Kitten“ habe sich laut Verfassungsschutz dabei auf die Methode des Social Engeneerings und das gezielte Ausspähen einzelner RegimegegnerInnen und Organisationen spezialisiert. Zunächst würden die Angreifer dafür die Vorlieben und auch politischen Interessen ihrer Zielpersonen ausforschen. Danach nähmen sie persönlich Kontakt auf und manipulierten ihre Opfer. In einem weiteren Schritt würde irgendwann ein Videotelefonat vereinbart. Über einen Link zu einer gefälschten Log-in-Seite gelangten die Angreifer dann an die Zugangsdaten ihrer Opfer.

Bereits Ende 2022 berichtete die Organisation Human Rights Watch, dass zwei ihrer MitarbeiterInnen Opfer solcher Attacken wurden, ebenso wie mindestens 18 weitere JournalistInnen, WissenschaftlerInnen, Diplomaten und PolitikerInnen.

Nach Einschätzung der US-Sicherheitsfirma Mandiant, die zu Google gehört, handelt die Hackergruppe vermutlich im Auftrag der Cyber-Branche der islamischen Revolutionsgarden (IRGC-IO, Islamic Revolutionary Guard Corps Intelligence Organization).

Spezielle Schadsoftware für Smartphones

Die Angreifer würden sich einerseits mit den gestohlenen Anmeldedaten Zugang zu den Netzwerken, Geräten und Konten des Arbeitgebers, der Kollegen und der Familienangehörigen des Opfers verschaffen. Doch die Sicherheitsexperten warnen zudem auch vor gezielter Überwachung: Die Hacker des iranischen Regimes würden spezifische Schadsoftware für Smartphones nutzen, um die Aufenthaltsorte ihrer Opfer nachzuverfolgen.

Laut einem Bericht der Organisation Certfa, die sich auf Cybersicherheit im Zusammenhang mit dem Iran spezialisiert hat, agiert „Charming Kitten“ seit 2014. Auch Certfa sieht sie mit den Islamischen Revolutionsgarden verbunden. In dem Report führen die Experten das Fallbeispiel eines französischen Neuro-Onkologen an: Die Angreifer fälschten dessen Profil auf der Social-Media-Plattform LinkedIn, um darüber Kontakt zu anderen WissenschaftlerInnen und MedizinerInnen aufzunehmen. In einem anderen Fall gaben sich die Regimespione als Leiter eines bekannten Thinktanks aus und kontaktierten iranische und nichtiranische AktivistInnen, darunter mindestens einen LGBTQ-Aktivisten.

„Zielgruppen dieser Operation waren politische Aktivisten, Medienvertreter, Menschenrechtsaktivisten und Frauenrechtler“, so Certfa. Die Daten seien für das iranische Regime von Bedeutung und könnten zur Verhaftung unter dem Vorwurf der Zusammenarbeit mit dem Ausland führen.

Amin Sabeti, exiliranischer Experte für IT-Sicherheit und Gründer von Certfa, erklärte der taz, „Charming Kitten“ sei die aktivste Gruppe aus dem Iran, von der aktuell Bedrohungen ausgingen. „Ziele in Großbritannien, den USA und Israel sind bereits seit langem auf ihrer Liste.“

Weitere Bedrohungen aus dem Iran

Gleichwohl verweist Sabeti im Bereich der Cybersicherheit auch auf weitere Bedrohungen aus dem Iran. So zeigt eine Übersicht von Certfa zahlreiche Akteure, die etwa für den iranischen Geheimdienst MOIS Industriespionage oder digitale Sabotage betreiben oder sich über das Versenden von Schadsoftware Zugang zu Computern verschaffen.

Während „Charming Kitten“ dabei Zugangsdaten über gefälschte Log-in-Seiten bei Video-Anrufen von Zoom oder Skype abgreift, hätten sich andere Gruppen beispielsweise auf Schadsoftware im Zusammenhang mit Microsoft Office spezialisiert – etwa die Rana Intelligence Computing Company, eine Tarnfirma des iranischen Geheimdienstes MOIS.