RadioCSIRT Deutsche Ausgabe –Update Cyber-Dimension des Iran-Konflikts (Ep.77)

In dieser Folge: die Cyber-Dimension des Iran-Konflikts — eine
sechswöchige Retrospektive von den ersten Angriffen am 28.
Februar bis zum fragilen Waffenstillstand vom 9. April 2026, mit
einer vollständigen Analyse der Entwicklung iranischer und
pro-iranischer Cyber-Operationen — von den ersten
Hacktivist-DDoS-Wellen bis zur bestätigten Ausbeutung
industrieller Steuerungssysteme innerhalb der Vereinigten
Staaten.


Am 28. Februar 2026 starteten die Vereinigten Staaten und Israel
gemeinsame Militärschläge gegen iranische strategische Ziele im
Rahmen der Operationen Epic Fury und Roaring Lion. Innerhalb von
Stunden geschahen im Cyberspace zwei Dinge gleichzeitig: Irans
inländische Internetkonnektivität brach auf zwischen einem und
vier Prozent der normalen Kapazität ein, und eine koordinierte
mehrvektorielle Cyber-Gegenoffensive wurde gestartet — eine
Kombination aus staatlichen APT-Operationen und einer Koalition
aus über sechzig Hacktivistengruppen. In den ersten
zweiundsiebzig Stunden wurden mehr als 149 Angriffsreklamationen
gegen 110 verschiedene Organisationen in sechzehn Ländern
registriert. Zwei Gruppen machten siebzig Prozent des gesamten
DDoS-Volumens aus: Keymous Plus, das auf GCC-Regierungen und
Finanzinstitute abzielte, und DieNet, das die Flughäfen Bahrain
und Sharjah, Riyadh Bank, Bank of Jordan und die Infrastruktur
der VAE traf. Parallel dazu führte APT34/OilRig aktive
Credential-Harvesting-Kampagnen gegen regionale
Telekommunikations- und Regierungsinstitutionen durch, mit
bestätigter Ausnutzung von CVE-2026-22719 — einer
CVSS-8.1-Befehlsinjektions-Schwachstelle ohne
Authentifizierungsanforderungen in VMware Aria Operations, die am
4. März in den CISA-KEV-Katalog aufgenommen wurde. MuddyWater
führte die Operation Olalampo gegen IT-Anbieter in der
META-Region durch. UNC1549 operierte gegen Ziele in den Bereichen
Verteidigung, Luft- und Raumfahrt sowie Telekommunikation. APT35
und APT42 führten Cloud-Credential-Theft-Kampagnen gegen M365-
und Google-Workspace-Umgebungen durch.

In der ersten Woche trat eine Supply-Chain-Dimension zutage:
Staatliche Akteure begannen, Schadcode in beliebte npm- und
PyPI-Pakete zu injizieren, der nur innerhalb von
Produktions-CI/CD-Pipelines aktiviert wird, mit KI-generiertem
Code zur Umgehung konventioneller Erkennungstools. Am 31. März
wurde die npm-Bibliothek axios — über eine Milliarde monatliche
Downloads — über den Diebstahl von Maintainer-Anmeldedaten
kompromittiert. Die schadhaften Versionen 1.14.1 und 0.30.4
enthielten eine versteckte Abhängigkeit, plain-crypto-js 4.2.1,
die ein Post-Install-Dropper ausführte und einen
plattformübergreifenden RAT für Windows, macOS und Linux
einsetzte. Jede Entwicklungsumgebung, die axios während des
Kompromittierungsfensters installiert oder aktualisiert hat,
sollte als potenziell betroffen behandelt werden.


Ebenfalls am 31. März bezeichnete die IRGC formal westliche
Technologie- und Finanzunternehmen als legitime Ziele für
Vergeltungsoperationen, wirksam ab dem 1. April. Zu den genannten
Zielen gehören Cisco, HP, Intel, Oracle, Microsoft, Apple,
Google, Meta, IBM, Dell, Nvidia und Palantir im Technologiesektor
— alle als hohes Bedrohungsniveau eingestuft — JPMorgan Chase im
Finanzbereich sowie Boeing und General Electric in der
Verteidigungs- und Industriebranche. Diese Einstufung verwandelte
die Bedrohung von opportunistischer Hacktivist-Aktivität in eine
erklärte Targeting-Haltung gegen namentlich genannte westliche
Entitäten.
Die operativ bedeutsamste Eskalation ereignete sich am 8. April
2026. Das FBI, CISA, NSA, EPA, das Energieministerium und
USCYBERCOM veröffentlichten ein gemeinsames Advisory, das die
aktive Ausnutzung von speicherprogrammierbaren Steuerungen in
amerikanischen Wasser-, Abwasser-, Energie- und Behördensektoren
durch mit Iran verbundene APT-Akteure bestätigte, mit bestätigten
Betriebsstörungen und finanziellen Verlusten. Zu den Zielgeräten
gehören Rockwell Automation CompactLogix und Micro850 PLCs, wobei
die Aktivitäten auf eine mögliche Ausweitung auf
Siemens-S7-Geräte hindeuten. Akteure griffen auf
internetexponierte PLCs über Auslandsinfrastrukturen und
Rockwells Studio 5000 Logix Designer zu, manipulierten
Projektdateien und HMI/SCADA-Displays. Dies ist keine
Einschätzung — es ist ein bestätigtes gemeinsames
Regierungs-Advisory mit bestätigten operativen Auswirkungen. Der
Übergang von DDoS und Datenexfiltration zur bestätigten
OT/PLC-Exploitation mit operativen Konsequenzen stellt eine
qualitative Eskalation des Bedrohungsniveaus dar, die jeder
Industriebetreiber sofort in seine Verteidigungshaltung
integrieren muss.


Zu den Erkennungsprioritäten: alle npm- und PyPI-Installationen
auf die kompromittierten axios-Versionen und die
plain-crypto-js-Abhängigkeit prüfen. Den IOC-Satz des
FBI/CISA/NSA-Advisories vom 8. April in SIEM- und EDR-Plattformen
integrieren, mit erweiterter Überwachung von SCADA- und
ICS-Systemen sowie internetexponierter OT-Verbindungen auf den
Ports 44818, 2222, 102, 22 und 502. Für Unternehmensumgebungen:
APT34-DNS-Hijacking und APT35/42-Cloud-Credential-Theft bleiben
aktiv — M365- und Google-Workspace-Umgebungen auf anomale
Authentifizierungsmuster überwachen. Jede Organisation, die in
der IRGC-Einstufung vom 31. März namentlich genannt wird, sollte
diese Bedingung als bestätigte erhöhte Bedrohung behandeln, nicht
als Hintergrundrisiko.

Quellen


CISA – Joint advisory AA26-097A: Iranian-affiliated cyber
actors exploit programmable logic controllers across US critical
infrastructure :
https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

Cybersecurity Dive – Iran-linked hackers target water and
energy in US, FBI and CISA warn :
https://www.cybersecuritydive.com/news/iran-linked-hackers-targeting-water-energy-in-us-fbi-and-cisa-warn/816949/

Security Affairs – US agencies alert: Iran-linked actors
target critical infrastructure PLCs :
https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html



Nicht nachdenken, patchen!


Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher
Newsletter:https://radiocsirtgermanedition.substack.com/