Bundesamt für Verfassungsschutz: Warnung vor iranischen Hackern
Der Verfassungsschutz geht von „Ausspähversuchen“ gegen iranische Oppositionelle in Deutschland aus. Die Auftraggeber: wohl Revolutionsgarden.
„Charming Kitten“ habe sich laut Verfassungsschutz dabei auf die Methode des Social Engeneerings und das gezielte Ausspähen einzelner RegimegegnerInnen und Organisationen spezialisiert. Zunächst würden die Angreifer dafür die Vorlieben und auch politischen Interessen ihrer Zielpersonen ausforschen. Danach nähmen sie persönlich Kontakt auf und manipulierten ihre Opfer. In einem weiteren Schritt würde irgendwann ein Videotelefonat vereinbart. Über einen Link zu einer gefälschten Log-in-Seite gelangten die Angreifer dann an die Zugangsdaten ihrer Opfer.
Bereits Ende 2022 berichtete die Organisation Human Rights Watch, dass zwei ihrer MitarbeiterInnen Opfer solcher Attacken wurden, ebenso wie mindestens 18 weitere JournalistInnen, WissenschaftlerInnen, Diplomaten und PolitikerInnen.
Nach Einschätzung der US-Sicherheitsfirma Mandiant, die zu Google gehört, handelt die Hackergruppe vermutlich im Auftrag der Cyber-Branche der islamischen Revolutionsgarden (IRGC-IO, Islamic Revolutionary Guard Corps Intelligence Organization).
Spezielle Schadsoftware für Smartphones
Die Angreifer würden sich einerseits mit den gestohlenen Anmeldedaten Zugang zu den Netzwerken, Geräten und Konten des Arbeitgebers, der Kollegen und der Familienangehörigen des Opfers verschaffen. Doch die Sicherheitsexperten warnen zudem auch vor gezielter Überwachung: Die Hacker des iranischen Regimes würden spezifische Schadsoftware für Smartphones nutzen, um die Aufenthaltsorte ihrer Opfer nachzuverfolgen.
Laut einem Bericht der Organisation Certfa, die sich auf Cybersicherheit im Zusammenhang mit dem Iran spezialisiert hat, agiert „Charming Kitten“ seit 2014. Auch Certfa sieht sie mit den Islamischen Revolutionsgarden verbunden. In dem Report führen die Experten das Fallbeispiel eines französischen Neuro-Onkologen an: Die Angreifer fälschten dessen Profil auf der Social-Media-Plattform LinkedIn, um darüber Kontakt zu anderen WissenschaftlerInnen und MedizinerInnen aufzunehmen. In einem anderen Fall gaben sich die Regimespione als Leiter eines bekannten Thinktanks aus und kontaktierten iranische und nichtiranische AktivistInnen, darunter mindestens einen LGBTQ-Aktivisten.
„Zielgruppen dieser Operation waren politische Aktivisten, Medienvertreter, Menschenrechtsaktivisten und Frauenrechtler“, so Certfa. Die Daten seien für das iranische Regime von Bedeutung und könnten zur Verhaftung unter dem Vorwurf der Zusammenarbeit mit dem Ausland führen.
Amin Sabeti, exiliranischer Experte für IT-Sicherheit und Gründer von Certfa, erklärte der taz, „Charming Kitten“ sei die aktivste Gruppe aus dem Iran, von der aktuell Bedrohungen ausgingen. „Ziele in Großbritannien, den USA und Israel sind bereits seit langem auf ihrer Liste.“
Weitere Bedrohungen aus dem Iran
Gleichwohl verweist Sabeti im Bereich der Cybersicherheit auch auf weitere Bedrohungen aus dem Iran. So zeigt eine Übersicht von Certfa zahlreiche Akteure, die etwa für den iranischen Geheimdienst MOIS Industriespionage oder digitale Sabotage betreiben oder sich über das Versenden von Schadsoftware Zugang zu Computern verschaffen.
Während „Charming Kitten“ dabei Zugangsdaten über gefälschte Log-in-Seiten bei Video-Anrufen von Zoom oder Skype abgreift, hätten sich andere Gruppen beispielsweise auf Schadsoftware im Zusammenhang mit Microsoft Office spezialisiert – etwa die Rana Intelligence Computing Company, eine Tarnfirma des iranischen Geheimdienstes MOIS.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund
Wirbel um KI von Apple
BBC kritisiert „Apple Intelligence“
Russische Männer auf TikTok
Bloß nicht zum Vorbild nehmen
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei