USA - Iran, ein neuer Hybridkrieg mit ungewisser Zukunft

(Di Carlo Mauceli)
13 / 01 / 20

„Es gibt einen stillen Krieg. Die Waffen sind unsichtbar, die Einsätze fließend und schwer zu identifizieren. Es mag wie eine neuartige Spionagegeschichte erscheinen, und dennoch sind Ereignisse wie die der Cyber-Angriffe, die während der letzten amerikanischen Wahlen stattfanden, nur einige der auffälligsten Episoden des Cyber-Krieges, eine Realität auf halbem Weg zwischen Spionage und Kriegshandlung. China, Nordkorea, USA, Russland, lose Hunde, Websöldner. Das Szenario ist groß und kompliziert ". Dies ist die Beschreibung des Buches "Cyber ​​War, The War Next Venture" von Aldo Giannuli und Alessandro Curioni und stellt sehr gut das Szenario dar, das wir von 2007 bis heute beobachten.

In diesem Szenario wird aufgepfropft, was wir in diesen Tagen zwischen den USA und dem Iran erleben. Das ist es, was wir als neuen hybriden Konflikt definieren können, der eine klare politische Matrix hat. Nach dem, was Alessandro Rugolo vor ein paar Tagen geschrieben hat (v.articolo), versuchen wir auch aus technischer Sicht zu untersuchen, was in diesen Tagen passiert.

Die Regierung der Vereinigten Staaten gab Anfang des Jahres eine Sicherheitswarnung heraus, die vor möglichen Terrorakten und Cyberangriffen warnte, die der Iran nach der Ermordung von General Qassim Suleimani durchführen könnte am Flughafen Bagdad vom US-Militär am Freitag, dem 3. Januar. Der Luftangriff, der zum Tod von General Suleimani führte, erfolgte nach gewaltsamen Protesten und Angriffen von Anhängern des Iran auf iranische Botschaften.
Nach der Ermordung von General Suleimani erklärten die iranische Führung und einige der Regierung angeschlossene extremistische Organisationen öffentlich, sie wollten sich so sehr an den Vereinigten Staaten rächen, dass das DHS (Department of Homeland Security) erklärte: "Iran und seine Partner, Wie die Hisbollah verfügen sie über alle Fähigkeiten, um Cyber-Operationen gegen die Vereinigten Staaten durchzuführen. "
Kritische Infrastrukturen sind zweifelsohne ein vorrangiges Ziel, und laut DHS könnten mögliche Angriffsszenarien "Aufspüren und Planen von Infrastruktur- und Cyber-gezielten Angriffen auf eine Reihe von Zielen in den USA" umfassen.
"Der Iran verfügt über ein solides Computerprogramm und kann Cyber-Angriffe gegen die Vereinigten Staaten ausführen", sagte das DHS. "Der Iran ist zumindest in der Lage, Angriffe mit vorübergehenden störenden Auswirkungen auf die kritische Infrastruktur in den USA durchzuführen."
Englisch: www.germnews.de/archive/dn/XNUMX/XNUMX/XNUMX.html Obwohl der US - amerikanische Innenminister Chad F. Wolf sagte, dass "keine spezifische und glaubwürdige Bedrohung für das Land besteht", warnte die US - Regierung Nationales Terrorismus-Beratungssystem (NTAS) warnt auch, dass "ein Angriff in den USA ohne oder mit geringer Warnung erfolgen kann".
Cyber-Sicherheitsunternehmen wie Crowdstrike und FireEye sind der Ansicht, dass zukünftige Cyber-Angriffe möglicherweise kritische US-Infrastrukturen treffen und höchstwahrscheinlich destruktive und datenlöschende Malware wie von Iranern gesponserte Hacker-Gruppen einsetzen werden Sie hätten in der Vergangenheit gegen andere Ziele im Nahen Osten vorgegangen.
Was vielleicht nicht so bekannt ist, ist die Tatsache, dass iranische Hacking-Gruppen im vergangenen Jahr wiederholt US-amerikanische Ziele angegriffen haben, obwohl Cyberspionage die beiden Hauptgründe waren (Stiller Bibliothekar) und aus anderen finanziellen Gründen durch Cyberkriminelle (SamSam Ransomware-Gruppe).
Joe Slowik, ein ICS-Malware-Jäger für Dragosschlägt vor, dass die Vereinigten Staaten einen proaktiven Ansatz verfolgen und einige Cyber-Angriffe verhindern sollten.
"Die Vereinigten Staaten oder mit den Vereinigten Staaten verbundene Elemente könnten diese Zeit der iranischen Unsicherheit nutzen, um die Kommando- und Kontrollknoten oder die Infrastruktur zu stören oder zu zerstören, die zur Kontrolle und Einleitung von Cyber-Vergeltungsangriffen verwendet werden, und diese Fähigkeit aufheben, bevor Maßnahmen ergriffen werden können", sagte er. sagte Slowik in einem Beitrag weiter Blog veröffentlicht letzten Samstag.
In der Folge dieses Artikels gab es keine Antworten von Hackergruppen, die sich auf die iranische Regierung bezogen, obwohl wir am vergangenen Wochenende einige Cyberangriffe auf niedriger Ebene gesehen haben, die in Form der Verunstaltung einiger Websites stattfanden.
Unter diesen ist das offizielle Regierungsportal, das Federal Depository Library Program (FDLP), das bedeutendste. Laut einer Analyse, die wir unten beschreiben, lief eine veraltete Installation von Joomla auf dem FDLP-Portal und es wurden höchstwahrscheinlich die Sicherheitslücken ausgenutzt, die durch das fehlende Update von Joomla selbst verursacht wurden.
In jedem Fall ist es gerechtfertigt, darauf hinzuweisen, dass diese Angriffe anscheinend von Akteuren durchgeführt wurden, die nicht mit dem Teheraner Regime verbunden sind, sondern über eine lange Geschichte von nicht besonders ausgeklügelten Verunstaltungsmaßnahmen verfügen, die bis in die vergangenen Jahre zurückreichen. Angriffe scheinen opportunistisch zu sein und nichts mit geplanten Operationen zu tun zu haben.
Im Moment scheint der größte Teil der mit der Ermordung von General Soleimani verbundenen Auseinandersetzungen auf die politische Front beschränkt zu sein. Beispielsweise hat die iranische Regierung am Dienstag, dem 7. Januar, angekündigt, die Grenzen des Atomabkommens Iran-USA 2015, von dem die USA jedoch bereits einseitig zurückgetreten waren, nicht mehr einzuhalten. Darüber hinaus stimmte das irakische Parlament auch dafür, US-Truppen aus dem Land zu vertreiben.
In der Zwischenzeit hat das US-Außenministerium die US-Bürger aufgefordert, den Irak unverzüglich zu verlassen, da ihr Leben in Gefahr sein und inmitten von Verschwörungen und terroristischen Entführungen gefangen sein könnte. Was als nächstes mit dem Start der iranischen Raketen geschah, ist vielleicht nur der Anfang von etwas, das wir alle sofort beenden möchten.

Kurze Analyse der Defacement von FDLP.gov

Wir sind jedoch daran interessiert zu verstehen, was in kybernetischen Begriffen passiert ist und welche Faktoren zur Zerstörung vieler amerikanischer Standorte geführt haben. Zum Zeitpunkt des Schreibens dieses Artikels waren es bereits 150. Konzentrieren wir uns dazu wie erwartet auf die Website http://fdlp.gov/. Lassen Sie mich daher zunächst sagen, dass diese Verunstaltung weder eine Überraschung ist, noch notwendigerweise viel Aufmerksamkeit verdient, sondern eine Übung ist, aus der Sie viel über die Kultur der Verunstaltung lernen und aus der Sie interessante Ideen ziehen können zukünftige Forschung.

Die Defacement ist von äußerster Einfachheit. Die Angreifer haben zwei Bilder hochgeladen und den Rest der Seite verdeckt. Sie fügten das Standardbit "lol u get Owned" am Ende der Seite hinzu und widmeten sich, sobald die Seite auf der Site geändert wurde, dem automatischen Starten von Defacements gegenüber anderen Sites dank SQL Injection-Techniken.

Was sich als sehr interessant herausstellte, war die Tatsache, dass in "we_resist.jpg" EXIF-Typdaten enthalten waren, die darauf hinweisen, dass diese im Jahr 2015 mit Adobe Photoshop CS6 erstellt wurden. Das Bild direkt darunter, das mit Donald Trump (1.jpg), enthielt jedoch keine derartigen Daten. Da fast alle wichtigen Image-Hosting-Sites und Social-Media-Sites diese Daten entfernen, ist dies eine Tatsache für sich. Es stellt eine interessante Anomalie dar.

Durch ein wenig Recherche in Bezug auf den Namen des Bildes entstand eine "izumino.jp" -Seite. Diese Site konzentriert sich auf die Sammlung von Metadaten, die für die Verschleierung von Aktivitäten äußerst relevant sind, und hat es uns daher ermöglicht, festzustellen, dass der Name des Bildes im Quellcode einer früheren Verschleierung vorhanden war.

Das Bild wurde ursprünglich auf eine Hosting-Site für Bilder in persischer Sprache hochgeladen, auf der es noch verfügbar ist (http://s6.picofile.com/file/8223803084/we_resist.jpg). Das Bild wurde zum ersten Mal im Jahr 2015 bei einem Verstoß gegen die Website supersexshop.com.br und anschließend auf anderen Websites verwendet. Diese Defacements wurden in einem Defacement-Ranking, bekannt als Zone-H von "IRAN-CYBER", gemeldet, das rund 2.447 Defacement- "Notifications" aus dem Jahr 2015 enthält. Es ist anzumerken, dass niemand die FDLP-Defacement auf Zone beansprucht hat -H.
FDLP.gov ist seit seiner Gründung im Jahr 2008 eine Joomla-basierte Website. Der Code wurde im Laufe der Jahre mit einer Modelländerung im Jahr 2014 und verschiedenen Plug-Ins, die im Laufe der Jahre implementiert wurden, geändert. Betrachtet man jedoch den neuesten Quellcode vor der Defacement-Aktualisierung, so hat sich herausgestellt, dass viele Plug-Ins wie MooTools und externe Abhängigkeiten wie Bootstrap seit 2012 nicht mehr aktualisiert wurden.

Nachdem wir festgestellt haben, dass ein Großteil des Codes seit 2012 nicht aktualisiert wurde, werfen wir einen Blick auf die Plug-Ins und die verschiedenen Komponenten. Beim Navigieren zwischen den beiden Seiten wird Folgendes hervorgehoben:

Medien / com_rsform
Medien / com_hikashop
Medien / mod_rsseventspro_upcoming
modules / mod_djmegamenu
Plugins / System / maximenuckmobile

Das Schockierende ist, dass eine dieser Zeichenfolgen ohne Sicherheitskriterien erstellt wurde und daher Änderungen von Benutzern ohne Administratorrechte akzeptiert und veröffentlicht werden können.

Wenn wir uns die RSForm ansehen, ist offensichtlich, dass diese seit 2014 auf der Seite fdlp.gov/collection-tools/claims vorhanden ist und dass die aktuelle Version seit über eineinhalb Jahren bekannte Schwachstellen aufweist, wie von gemeldet KingSkrupellos.

Kurz gesagt, leider ist die ganze Welt ein Land.

Notiz:
Verunstaltung - Ein englischer Begriff, der wie sein Synonym defacement die wörtliche Bedeutung von "Narbenbildung, Verunstaltung" (auf Italienisch selten mit Verunstaltung wiedergegeben) im Bereich der IT-Sicherheit hat, hat normalerweise die Bedeutung, die Homepage einer Website illegal zu ändern ( sein "Gesicht") oder ändern, ersetzen sie eine oder mehrere interne Seiten. Praktiken, die von Unbefugten durchgeführt werden und denen, die die Website verwalten, nicht bekannt sind, sind in allen Ländern der Welt illegal.

Bei einer Site, die dieser Art von Verunstaltung ausgesetzt war, wurde die Hauptseite häufig zusammen mit allen internen Seiten durch einen Bildschirm ersetzt, der die von einem oder mehreren Crackern ausgeführte Aktion anzeigt. Es gibt verschiedene Gründe für diesen Vandalismus, von der Demonstration der Fähigkeit bis zu ideologischen Gründen. Die Techniken, die verwendet werden, um Schreibzugriffsberechtigungen für die Site zu erhalten, nutzen normalerweise die Fehler, die in der Site-Verwaltungssoftware oder in den zugrunde liegenden Betriebssystemen vorhanden sind. Der Fall des Einsatzes von Social-Engineering-Techniken ist seltener.

Quellen:
https://www.zdnet.com/article/dhs-iran-maintains-a-robust-cyber-program-...
https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-t...
https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransom...
https://pylos.co/2020/01/04/assassination-retaliation-and-implications/
https://medium.com/@ Sshell_ / Kurz-Analyse-of-the-DFLP-gov-verunstalten-980caba9c786