Vor wenigen Jahren hätte wohl kaum jemand erwartet, dass sich staatlich unterstützte Hacker so lange und unbemerkt in kritischen Infrastrukturen einnisten können. Doch eine aktuelle Untersuchung enthüllt, wie eine iranische Hackergruppe über fast zwei Jahre hinweg Zugang zu wichtigen Einrichtungen im Nahen Osten erhalten hat, indem sie Schwachstellen bei VPN-Lösungen ausnutzte und eine Vielzahl von Schadsoftware-Tools einsetzte. Diese Tat verdeutlicht die anhaltende Gefahr durch Cyberangriffe auf nationale Infrastrukturen, insbesondere in einem geopolitisch sensiblen Raum wie dem Nahen Osten. Die Zielsetzung war dabei offenbar nicht nur Spionage, sondern auch das Schaffen langfristiger strategischer Vorteile im Bereich der Operational Technology (OT). Die Details dieses komplexen Angriffszenarios werfen ein Schlaglicht auf die zunehmende Digitalisierung kritischer Systeme und die damit verbundenen Sicherheitsrisiken.
Die iranische Hackergruppe, die hinter diesen Angriffen steht, wird von Experten unter dem Namen Lemon Sandstorm geführt und war bereits zuvor für gezielte Cyberoperationen weltweit bekannt. Sie geht auf eine Historie zurück, die bis ins Jahr 2017 reicht und Infrastrukturziele in Nordamerika, Europa, Australien sowie dem Nahen Osten umfasst. Die vorliegenden Erkenntnisse zeigen, dass die Angreifer insbesondere Schwachstellen in weit verbreiteten VPN-Lösungen von Fortinet, Pulse Secure und Palo Alto Networks nutzten, um den initialen Zugang zu den Zielnetzwerken zu erlangen. VPN-Systeme dienen dabei als sicherer Fernzugang zu Unternehmensnetzwerken, weshalb ihre Absicherung von entscheidender Bedeutung ist. Innerhalb des Zeitraums von Mai 2023 bis Februar 2025 wurde der Angriff in mehreren Phasen durchgeführt, wobei die Hacker ihre Werkzeuge und Taktiken kontinuierlich weiterentwickelten, um Entdeckungen zu umgehen und möglichst tief ins Netzwerk vorzudringen.
In der ersten Phase gelang es den Angreifern, sich mit gestohlenen Zugangsdaten in das SSL VPN-System einzuloggen, Webshells auf öffentlich zugänglichen Servern zu implantieren und mehrere Backdoors wie Havoc, HanifNet und HXLibrary zu aktivieren. Diese Backdoors boten den Angreifern langfristige Zugangsmöglichkeiten und ermöglichten das Sammeln detaillierter Informationen über die Netzwerkumgebung. Die Nennung von Havoc und MeshCentral als Open-Source-Tools verdeutlicht dabei die Sorgfalt und die hohe technische Versiertheit der Angreifer, die auf bestehende Frameworks zurückgreifen und diese ihren Zwecken anpassen. Im Verlauf des Angriffs wurde die Komplexität der eingesetzten Methoden weiter gesteigert. Durch den Einsatz zusätzlicher Webshells und Backdoors wie NeoExpressRAT, der wohl über Plattformen wie Discord kommuniziert, verschafften sich die Hacker tiefere Zugänge, unter anderem zu Virtualisierungsinfrastrukturen.
Gleichwohl konzentrierten sie sich auf gezielte Exfiltration besonders sensibler Dateien, wie etwa E-Mails, um strategisch wertvolle Informationen zu erlangen. Dabei nutzten sie Werkzeuge wie plink und Ngrok, um verschleierte Kommunikationswege zu etablieren und ihre Aktivitäten vor einfachen Erkennungsmechanismen zu verbergen. Selbst als bereits Gegenmaßnahmen eingeleitet wurden, reagierte die Gruppe mit der Implementierung weiterer Backdoors und dem Auslösen erneuter Kompromittierungsversuche. In der letzten Phase griffen die Angreifer auf bekannt gewordene Schwachstellen im ZKTeco BioTime-System zurück und führten Spear-Phishing-Angriffe durch, die gezielt auf die Microsoft-365-Zugangsdaten von elf Mitarbeitern abzielten. Diese ausgefeilten Angriffe zeigen, wie intensiv und beharrlich staatlich gelenkte Akteure sind, um an wertvolle Daten zu gelangen oder im Netzwerk präsent zu bleiben.
Interessanterweise blieb eine vollständige Kompromittierung der Operational Technology-Netzwerke aus, obwohl die Angreifer umfangreiche Aufklärung darin betrieben und angrenzende Systeme infiltrierten. Dies spricht dafür, dass die Abwehrmaßnahmen in diesem hochsensiblen Bereich zumindest teilweise wirksam waren, wenngleich die Erkennung der Angriffe erst mit erheblicher Verzögerung gelang. Neben der technischen Analyse lag ein Fokus auf den operativen Verhaltensmustern der Hacker. Die zahlreichen Hinweise auf „Hands-on-Keyboard“-Tätigkeiten deuteten auf unterschiedliche Betreiber hin, die kontinuierlich im Einsatz waren. Zudem wurde der Einsatz komplexer Proxy-Ketten dokumentiert, die das Abwehren von Netzsegmentierungsmaßnahmen erschwerten und gleichzeitig die unentdeckte Seitenbewegung begünstigten.
Das gesamte Angriffsspektrum umfasst auch die Verwendung eines komplexen Sets an maßgeschneiderter Malware. Dazu gehören Tools wie HanifNet, ein nicht signiertes .NET-Programm, und HXLibrary, ein bösartiges IIS-Modul, das über Google Docs verschlüsselte Steuerbefehle erhält. Auch CredInterceptor kann Echtzeit-Zugangsdaten aus dem Speicher des Local Security Authority Subsystem (LSASS) auslesen. Damit lässt sich eine Kombination aus neu entwickelter und offen verfügbarer Software erkennen, deren Zielsetzung tiefe Netzwerkdurchdringung, langanhaltende Präsenz und effiziente Datenextraktion ist.
Die Aufdeckung solcher Angriffe verdeutlicht die Notwendigkeit einer ganzheitlichen Cyberverteidigungsstrategie. Betreiber kritischer Infrastrukturen müssen sich nicht nur gegen bekannte Schwachstellen absichern, sondern auch die Angriffsvektoren stetig überwachen und ihre Erkennungssysteme verbessern. Speziell die Sicherheitslücken in VPN-Produkten zeigen, dass regelmäßige Updates, Patches und eine robuste Zugangskontrolle unerlässlich sind, um unautorisierte Zugriffe zu verhindern. Weiterhin ist die Bewusstseinsbildung bei den Mitarbeitern ein Schlüsselfaktor, insbesondere da Spear-Phishing hier eine bedeutende Rolle spielt. Ein besonderes Augenmerk sollte auf Netzwerktrennung und segmentierte Architekturen gelegt werden, um seitliche Bewegungen zu erschweren und den Zugriff auf Operational Technology-Netzwerke weiter einzuschränken.
Gleichzeitig fördern automatisierte Analysen der Netzwerkkommunikation und die Nutzung von Threat-Intelligence-Datenbanken ein schnelleres Erkennen ungewöhnlicher Verhaltensweisen. Insgesamt wird deutlich, dass der Schutz kritischer nationaler Infrastruktur im Zeitalter digitaler Vernetzung eine zentrale Herausforderung darstellt. Die komplexen und langanhaltenden Angriffe einer staatlich geförderten Gruppe aus dem Iran zeigen, wie Ressourcen, Know-how und Geduld kombiniert werden, um strategische Ziele im Cyberraum zu verfolgen. Die internationale Staatengemeinschaft ist gefordert, die defensive Zusammenarbeit zu intensivieren und Informationsaustausch über solche Bedrohungen zu verbessern. Nur so kann das zunehmende Risiko durch Cyberangriffe auf lebenswichtige Versorgungsnetze und Industrieanlagen wirksam begrenzt werden.
Sichere VPN-Lösungen, proaktive Sicherheitsrichtlinien und eine ganzheitliche Risikoanalyse bilden die Grundlage, um zukünftige Angriffswellen abzuwehren und die Zuverlässigkeit kritischer Infrastrukturen langfristig zu gewährleisten. Die Erkenntnisse aus dem beobachteten Angriff auf eine Infrastruktur im Nahen Osten sind ein eindringlicher Weckruf in einer Zeit, in der digitale Angriffe zunehmend Bestandteil geopolitischer Auseinandersetzungen werden. Unternehmen, Behörden und Sicherheitsanbieter müssen ihre Strategien kontinuierlich anpassen, um dieser sich wandelnden Bedrohungslage gerecht zu werden und ihre Systeme effizient zu schützen.
![Indonesian tofu factories powered by plastic waste [video]](/images/6B60FA0E-2F24-41C8-AC17-4FB0D3AC4745)
