Cyberrache aus dem Iran ist ein Problem für US-Unternehmen – „Es liegt in den Händen eines 19-jährigen Hackers in einem Telegram-Raum“, sagt ein ehemaliger NSA-Mitarbeiter

(SeaPRwire) –   Als am Samstagmorgen Schläge Teheran trafen, erhielten Millionen Iraner eine seltsame Push-Benachrichtigung auf ihren Handys. Die BadeSaba Calendar-App, die mehr als 5 Millionen Downloads hat, wurde kompromittiert, und die App sendete Warnungen mit dem Text „Hilfe ist eingetroffen!“ und rief zu einer „Volksarmee“ auf, um ihre „iranischen Brüder“ zu verteidigen, laut einer Einschätzung des Cyber-Intelligenzunternehmens Flashpoint. Am Sonntag sendete die App mit Kapitulationsanweisungen für gewöhnliche Mitglieder der Islamischen Revolutionsgarde und sichere Orte, an denen sich Protestierende versammeln konnten.

Dann schlugen Regimetreue schnell zurück.

Laut Flashpoint war das, was am Sonntag folgte, der bislang „aggressivste“ Einsatz dessen, was als Irans Cyberkampagne „Great Epic“ bekannt ist, eine lose koordinierte Gruppe von Cyber-Operateuren unter einem Kanal namens „Cyber Islamic Resistance“. Unter dem Dach dieser Gruppe haben verschiedene Cyber-Angreifer Gas in abgeschaltet und Angriffe gegen US-amerikanische und israelische Militärdienstleister geführt, um Daten zu zerstören sowie psychologische Operationen durchzuführen, die die BadeSaba nachahmen.

Die nächsten 48 Stunden werden wahrscheinlich eine Phase der „extremen Volatilität“ sein, in der Hacktivisten und Stellvertreter „die Führung bei der Eskalation übernehmen, um das Vakuum zu füllen, das das zentrale Kommando von Teheran hinterlassen hat“, bemerkte Flashpoint in einem Update. Diese Akteure nutzen angeblich Telegram und Reddit als Koordinationszentrum und posten Screenshots angeblicher Angriffe als Beweis, obwohl es Wochen und manchmal Monate dauert, um die Genauigkeit zu überprüfen, sagte Kathryn Raines, eine ehemalige NSA-Expertin, die jetzt Teamleiterin für Bedrohungsanalyse bei Flashpoint ist.

Der Hack von BadeSaba zeigt die Vorlage, die iranische Stellvertretergruppen jetzt versuchen könnten, im Umkehrschluss gegen westliche Unternehmen und andere einzusetzen. Außerdem ist die Kommandostruktur, die Teherans Cyberoperationen überwachte, nach den Schlägen am Samstag effektiv dezimiert, sagte Raines.

„Das Vakuum in der iranischen Führung wird wahrscheinlich zu unvorhersehbareren, dezentralisierten Stellvertreterangriffen führen“, sagte sie .

In der Praxis bedeutet das, dass ausgerichtete Hacktivisten und Stellvertretergruppen ihre eigenen Zielentscheidungen treffen, ohne Genehmigung der zentralen Behörden. Wenn also eine hochaggressive Gruppe beschließt, ein mittelgroßes Logistikunternehmen anzugreifen, um ein Statement abzugeben, kaskadiert das Risiko über Teheran, Washington, D.C. oder New York hinaus, sagte Raines.

„Es liegt in den Händen eines 19-jährigen Hackers in einem Telegram-Raum, der wirklich keine Aufsicht oder Richtung hat“, warnte sie.

Dementsprechend müssen sich US-amerikanische Geschäftsführer auf anhaltende Unsicherheit einstellen, sagte Brian Carbaugh, Mitbegründer und CEO des auf KI basierenden Sicherheitsunternehmens Andesite und ehemaliger Leiter des elitären Special Activities Center (SAC) der CIA. Die Iraner haben im Laufe der Jahre konsequent gezeigt, dass sie als Regierung und Widerstandskraft unglaublich widerstandsfähig sind. Und da das Regime ist, sollten die Leute erwarten, dass Iran weiterhin seine formidable offensive Cyberfähigkeit entfesselt, zusätzlich zu anderen Aspekten der nationalen Macht wie seinen Raketen und bewaffneten Stellvertretern auf der ganzen Welt, sagte er.

„Aggressiver und kreativer Widerstand ist im Ethos des iranischen Sicherheitsapparates und in der gesamten Islamischen Republik Iran verankert“, sagte Carbaugh, der früher als Stabschef für zwei CIA-Direktoren tätig war. „Für Geschäftsführer und diejenigen, die Unternehmen schützen und auf sehr hoher Ebene Entscheidungen treffen, müssen sie darauf vorbereitet sein, dass dies noch eine Weile andauert und dass der Konflikt eine Reihe verschiedener Richtungen einschlägt und vom Weg abkommt.“

Da US-amerikanische und israelische Angriffe die konventionellen militärischen Fähigkeiten des Iran schwächen, erscheinen Cyberangriffe attraktiver, sagte Carbaugh. Die Bereitstellung ist kostengünstig, schwer zuzuordnen und extrem fähig, übermäßige psychologische und operative Störungen im Verhältnis zum erforderlichen Investment zu verursachen. Iran hat gezeigt, dass es in der Lage ist, Cyberangriffsmethoden zu emulieren und weiterzuentwickeln, die erstmals von Russland gezeigt wurden.

„Die Islamische Republik hat immer großen Stolz auf Cyberfähigkeiten innerhalb der Sicherheitsdienste gehabt“, sagte Carbaugh. Dieser Stolz wird durch den Verlust der Führungsebene wahrscheinlich nicht verdunsten, sondern sich verstärken, wenn sich andere Optionen verengen.

Laut Raines sind die meisten Unternehmenssicherheitspläne nicht auf Angriffe wie den BadeSaba-Hack vorbereitet, der eine Benachrichtigung an potenziell Millionen Muslime im Iran schickte, die die App nutzen, um tägliche religiöse Zeitpläne abzurufen, genau in dem Moment, in dem die Schläge begannen.

„Unternehmen sind nicht wirklich auf das vorbereitet, was ich nihilistische psychologische Operationen nennen würde, die wirklich darauf abzielen, den Geisteszustand und das Vertrauen ihrer Belegschaft zu treffen“, erklärte sie und stellte sie in Kontrast zu Angriffen, die darauf ausgelegt sind, Daten zu stehlen und Systeme zu deaktivieren.

Es könnte sich in Unternehmen so manifestieren: Mitarbeiter in der Golfregion beginnen, das, was wie dringende Nachrichten aussieht, zu erhalten, vielleicht Deepfake-Audio, das ihrem regionalen Leiter oder CEO zugeschrieben wird, oder Kommunikation, die angeblich vom Unternehmen über Evakuierungen stammt. Aber mit lokalen Nachrichten offline und spärlichem Internetzugang haben die Menschen sehr wenig Möglichkeit, Fakten zu überprüfen.

Nur wenige Unternehmen haben Pläne dafür, wie die Realität der Mitarbeiter in den folgenden Stunden aussehen wird, während die Risikomodellierung oft auf dem Staatsverhalten und angenommenen „roten Linien“ basiert, die den totalen Krieg verhindern, bemerkte Raines.

Für Vorstände und C-Suites, die sich in der kommenden Woche versammeln, werden sich die Schlüsselfragen an Sicherheitsleiter darauf beziehen, wie lange Geschäftsfunktionen maximal offline sein können, bevor es Umsatz und Ruf beeinträchtigt, sagte sie voraus.

„Wir sind weniger an der Blockrate interessiert und mehr an der Wiederherstellungszeit“, sagte Raines.

Carbaugh sagte, wenn er diese Woche an einem Vorstandsgespräch teilnehmen würde, würde er wissen wollen, ob das Unternehmen aufgrund dessen, was im Iran passiert, auf einem erhöhten Risikoniveau steht. Wenn die Antwort ja ist, würde er wissen wollen, was getan wird, um dies zu mildern. Wenn die Antwort nein ist, würde er noch mehr Fragen stellen.

Führungskräfte sollten herausfinden, welche Schritte unternommen wurden, um sicherzustellen, dass Unternehmen nicht gefährdet sind, herausfinden, wie Unternehmen mit Partnern und anderen zusammengearbeitet haben, um herauszufinden, wie sie Angriffe erkennen, und wie KI derzeit dabei eingesetzt wird, sagte Carbaugh.

Er wiederholte, dass dies keine Krise mit einer kurzfristigen Lösung ist, und dass sie sich in ein Cyberrisiko übersetzt, das nicht sofort verfliegen wird.

„Dieser Konflikt könnte viele Wendungen nehmen und in viele verschiedene Richtungen gehen“, sagte Carbaugh. „Ich glaube nicht, dass dies einer sein wird, den wir in ein paar Tagen sauber packen und hinter uns lassen können. Dies wird ständige Wachsamkeit und den Schutz unserer Cyber-Netzwerke, physischen Sicherheit und aller anderen Vermögenswerte erfordern.“