Foto: REUTERS/Dado Ruvic/Illustration/Dateifoto.

Eine neue Studie des Cybersicherheitsunternehmens Mandiant, einer Tochtergesellschaft von Alphabet und Google Cloud, hat ergeben, dass eine iranische Hackergruppe eine gefälschte Rekrutierungsfirma betrieb, um nationale Sicherheitsbeamte im Iran, in Syrien und im Libanon zur Cyberspionage zu verleiten.

Forscher sagten, die Hacker stünden in Verbindung zu einer Gruppe namens APT42 (Charming Kitten), die kürzlich beschuldigt wurde, in die US-Präsidentschaftskampagne des republikanischen Kandidaten Donald Trump eingedrungen zu sein. Man geht davon aus, dass APT42 mit einer Geheimdiensteinheit des Korps der Iranischen Revolutionsgarde in Verbindung steht, einer Militärorganisation unter der Regierung in Teheran. Das FBI erklärte, es untersuche die Bemühungen von APT42, in die US-Präsidentschaftswahlen 2024 einzugreifen.

Die von Mandiant festgestellte Aktivität begann vermutlich im Jahr 2017 und dauerte bis vor Kurzem an. In verschiedenen Phasen führten die Iraner die Operation auf eine Weise durch, die den Anschein erweckte, als würde sie von der israelischen Regierung durchgeführt. Analysten gehen davon aus, dass die Manipulation möglicherweise dazu diente, Personen im Nahen Osten zu identifizieren, die bereit sind, Geheimnisse an Israel und westliche Regierungen weiterzugeben. Die Operation richtete sich gegen Angehörige von Militär- und Geheimdienstorganisationen mit Verbindungen zu den Verbündeten des Iran in der Region.

„Die im Rahmen dieser Operation gesammelten Daten könnten dem iranischen Geheimdienst dabei helfen, Personen zu identifizieren, die an einer Zusammenarbeit mit den Gegnern des Iran interessiert sind. Diese Daten könnten dazu verwendet werden, gegen den Iran gerichtete Human Intelligence-Aktivitäten (HUMINT) aufzudecken und Personen anzuklagen, die im Verdacht stehen, an solchen Aktivitäten beteiligt zu sein“, heißt es im Mandiant-Bericht.

Der iranische Botschafter bei den Vereinten Nationen reagierte nicht auf Anfragen nach einem Kommentar.

Mandiant stellte fest, dass Cyberspione ein Netzwerk von Websites nutzten, die sich als Personalvermittlungsunternehmen ausgaben, um Farsi sprechende Ziele zu manipulieren. Diese Scheinfirmen heißen unter anderem VIP Human Solutions, VIP Recruitment, Optima HR und Kandovan HR. Die Spione nutzten eine Reihe gefälschter Profile auf Telegram, Twitter, YouTube und Virasty, einem beliebten sozialen Netzwerk im Iran, um für die gefälschten Unternehmen zu werben. Fast alle mit dieser Kampagne verbundenen Konten wurden gelöscht.

Auf einer Website heißt es: „VIP Recruitment, ein Rekrutierungszentrum für Militär-, Sicherheits- und Geheimdienstpersonal aus Syrien, der Hisbollah und dem Libanon. Helfen Sie uns dabei, gemeinsam die Welt positiv zu beeinflussen. Unsere Mission ist es, Ihre Privatsphäre zu schützen.“

Diese Hacker führten eine groß angelegte Kampagne durch, indem sie auf verschiedenen Social-Media-Plattformen Links zu gefälschten Personalunternehmen verbreiteten. Die gesammelten Daten, darunter Adressen, Kontaktdaten und andere Lebenslaufdaten, könnten in Zukunft genutzt werden, sagte Mandiant.

Nguyen Quang Minh (Laut Reuters)