Die verbrannte-Erde-Taktik der iranischen Cyber-Armee
Während anhaltender Proteste hat das iranische Regime die Kontrolle über sein Image verloren und setzt zunehmend drastische Taktiken ein, bei denen jeder verliert. Der Cyberterror richtet sich gegen die eigene Bevölkerung und das mit hinterlistigsten Methoden.
In den frühen Morgenstunden des 5. Januars verkündete ein beliebtes anonymes iranisches Dissidentenkonto namens Jupiter auf Twitter, dass seine Freunde Abolqasem Salavati, einen verachteten Richter, der den Spitznamen "Richter des Todes" hatte, getötet hatten. Der Tweet wurde viral und Tausende von jubelnden Menschen strömten in den Twitter Space des Kontos, um ihnen für die Ermordung des Mannes zu danken, der für die Verurteilung von Hunderten von politischen Gefangenen zum Tode verantwortlich war.
Bald äußerten jedoch einige Teilnehmer Zweifel an der Richtigkeit der Aussage. Sie wurden beschimpft und aus dem Raum geworfen, während der Gastgeber behauptete: "Heute Abend geht es um Feier!" und die Zuschauer wiederholt aufforderte, den Space viral zu machen. Am nächsten Tag bestätigten Aktivisten vor Ort und iranische Medien, dass Salavati tatsächlich am Leben war. Mehrere Experten vermuten, dass Jupiter ein Cyber-Operation der Islamischen Republik Iran war, die darauf abzielte, die Menschen abzulenken, während die iranische Regierung in derselben Nacht zwei Protestierende hinrichtete.
Innerhalb seiner Grenzen kontrolliert das iranische Regime seine Bevölkerung durch eines der härtesten Internetfilter-Systeme der Welt, physische Unterdrückung und Massenverhaftungen, die straflos durchgeführt werden. Das IRI ist jedoch auch außerhalb seiner physischen und virtuellen Grenzen verwundbar, da das Regime Schwierigkeiten hat, die Diskussionen zu kontrollieren und Dissidenten zum Schweigen zu bringen. Um oppositionelle Erzählungen im Westen und unter mit VPN ausgestatteten inländischen Aktivisten online zu bekämpfen, setzt die iranische Cyber-Armee vielseitige, hinterhältige und manchmal ungeschickte Taktiken ein. Mit den anhaltenden politischen Unruhen im Iran wurden alte Cyber-Taktiken verstärkt und neue Tricks, die darauf abzielen, abzulenken, zu diskreditieren, zu verzerrern und Misstrauen zu säen, sind in den Vordergrund getreten, da das Regime sich in einem kritischen Moment befindet.
Zu den von den Cyber-Agenten des IRI - umgangssprachlich als Cyberi bezeichnet - eingesetzten Taktiken gehört das altmodische Hacking. Die im Jahr 2020 bekannt gewordene, dem Iran zugeordnete Hacker-Gruppe Charming Kitten erlangte traurige Berühmtheit für ihre Spear-Phishing-Versuche auf Journalisten, Gelehrte und Experten für Politik im Westen. Die Gruppe wurde anhand ihrer Signaturstrategie erkannt, sich als Reporter oder Forscher auszugeben und Interesse an der Arbeit ihrer Ziele vorzutäuschen, um Interviewanfragen zu stellen, die mit einem Spear-Phishing-Link eingebettet sind. Kürzlich veröffentlichte Berichte des National Cyber Security Center der britischen Regierung und der Sicherheitsfirma Mandiant haben ergeben, dass solche Spear-Phishing-Aktivitäten von Cyber-Gruppen wie TA453 und APT42, die dem iranischen Revolutionsgarden angehören, immer häufiger vorkommen.
Die Protestbewegung im Iran hat eine Welle von Desinformationskampagnen ausgelöst, die sich insbesondere auf sozialen Medien abspielen. Einige dieser Aktivitäten lassen sich staatlichen Akteuren zuordnen, die ihre Glaubwürdigkeit und Vertrauenswürdigkeit durch die Maskierung als anti-regime Stimmen oder Unterstützer der Protestbewegung aufbauen. Ein Beispiel hierfür ist das Konto "Sara Shokouhi", das im Oktober 2022 erstellt wurde und Monate damit verbrachte, Oppositionsstimmen zu fördern und herzzerreißende Tributes an Protestierende zu schreiben, bevor es schließlich von Iran-Experten als staatlich unterstützte Phishing-Operation entlarvt wurde.
Es ist jedoch schwierig, die Aktivitäten anonymer Konten mit Sicherheit dem iranischen Regime zuzuschreiben, da viele Iraner aus Sicherheitsgründen anonym bleiben. Gelegentlich haben jedoch Nachlässigkeiten wie das Nichtlöschen alter Tweets oder das versehentliche Posten von pro-regime Nachrichten auf Oppositionskonten ihre wahrscheinliche Zugehörigkeit zu IRI-Geheimdiensten enthüllt.
Die schnelle, chaotische Umgebung während der Proteste im Iran hat sich als fruchtbarer Boden für Desinformation und Informationsverschmutzung erwiesen, sodass es selbst für Forscher zu überwältigend ist, jeden Anspruch zu überprüfen, sagt Simin Kargar, eine Gastwissenschaftlerin beim Digital Forensic Research Lab des Atlantic Council.
Obwohl die weit verbreitete Wachsamkeit gegenüber IRI-Staatsakteuren die Öffentlichkeit weniger anfällig für Propagandataktiken gemacht hat, hat sie gleichzeitig ein Umfeld des Misstrauens geschaffen, in dem jeder potenziell ein Regime-Mitarbeiter sein kann.
Ein weiterer wichtiger Bestandteil der iranischen Cyberaktivität besteht darin, die Opposition zu diskreditieren und zu untergraben. Dies erfolgt teilweise durch direktes Hacken von Oppositionsfiguren, aber auch durch Sockenpuppen-Konten, die eine Fraktion der Opposition gegen eine andere ausspielen.
Kargar glaubt, dass die Cyber-Reaktion des Iran auf die jüngste Anti-Regime-Bewegung ein schlaueres und vorsichtigeres Vorgehen signalisiert. Sie beschreibt, wie regimeaffiliierte Cybergruppen so viel wie möglich hacken und ihr Material manchmal jahrelang aufbewahren, nur um es dann zu veröffentlichen, wenn es maximalen Effekt haben kann. Diese Bemühungen sind Teil eines breiteren Versuchs, den Eindruck zu erwecken, dass niemand vertrauenswürdig und niemand glaubwürdig ist.
Während das Regime den Kampf um die Erzählung verloren haben mag, hat es dennoch einige Erfolge erzielt, wie die Ablenkung durch den "Richter des Todes". Sabeti, der Cybersecurity-Experte, glaubt, dass der Fall ein Versuch von IRI-Cyberkräften war, die Gewässer für zukünftige Aktivitäten zu testen.
Quelle: The Scorched-Earth Tactics of Iran’s Cyber Army
In den frühen Morgenstunden des 5. Januars verkündete ein beliebtes anonymes iranisches Dissidentenkonto namens Jupiter auf Twitter, dass seine Freunde Abolqasem Salavati, einen verachteten Richter, der den Spitznamen "Richter des Todes" hatte, getötet hatten. Der Tweet wurde viral und Tausende von jubelnden Menschen strömten in den Twitter Space des Kontos, um ihnen für die Ermordung des Mannes zu danken, der für die Verurteilung von Hunderten von politischen Gefangenen zum Tode verantwortlich war.
Bald äußerten jedoch einige Teilnehmer Zweifel an der Richtigkeit der Aussage. Sie wurden beschimpft und aus dem Raum geworfen, während der Gastgeber behauptete: "Heute Abend geht es um Feier!" und die Zuschauer wiederholt aufforderte, den Space viral zu machen. Am nächsten Tag bestätigten Aktivisten vor Ort und iranische Medien, dass Salavati tatsächlich am Leben war. Mehrere Experten vermuten, dass Jupiter ein Cyber-Operation der Islamischen Republik Iran war, die darauf abzielte, die Menschen abzulenken, während die iranische Regierung in derselben Nacht zwei Protestierende hinrichtete.
Innerhalb seiner Grenzen kontrolliert das iranische Regime seine Bevölkerung durch eines der härtesten Internetfilter-Systeme der Welt, physische Unterdrückung und Massenverhaftungen, die straflos durchgeführt werden. Das IRI ist jedoch auch außerhalb seiner physischen und virtuellen Grenzen verwundbar, da das Regime Schwierigkeiten hat, die Diskussionen zu kontrollieren und Dissidenten zum Schweigen zu bringen. Um oppositionelle Erzählungen im Westen und unter mit VPN ausgestatteten inländischen Aktivisten online zu bekämpfen, setzt die iranische Cyber-Armee vielseitige, hinterhältige und manchmal ungeschickte Taktiken ein. Mit den anhaltenden politischen Unruhen im Iran wurden alte Cyber-Taktiken verstärkt und neue Tricks, die darauf abzielen, abzulenken, zu diskreditieren, zu verzerrern und Misstrauen zu säen, sind in den Vordergrund getreten, da das Regime sich in einem kritischen Moment befindet.
Verzweifelte Maßnahmen
Zu den von den Cyber-Agenten des IRI - umgangssprachlich als Cyberi bezeichnet - eingesetzten Taktiken gehört das altmodische Hacking. Die im Jahr 2020 bekannt gewordene, dem Iran zugeordnete Hacker-Gruppe Charming Kitten erlangte traurige Berühmtheit für ihre Spear-Phishing-Versuche auf Journalisten, Gelehrte und Experten für Politik im Westen. Die Gruppe wurde anhand ihrer Signaturstrategie erkannt, sich als Reporter oder Forscher auszugeben und Interesse an der Arbeit ihrer Ziele vorzutäuschen, um Interviewanfragen zu stellen, die mit einem Spear-Phishing-Link eingebettet sind. Kürzlich veröffentlichte Berichte des National Cyber Security Center der britischen Regierung und der Sicherheitsfirma Mandiant haben ergeben, dass solche Spear-Phishing-Aktivitäten von Cyber-Gruppen wie TA453 und APT42, die dem iranischen Revolutionsgarden angehören, immer häufiger vorkommen.
Der Einfluss von staatlichen Akteuren auf die Protestbewegung im Iran
Die Protestbewegung im Iran hat eine Welle von Desinformationskampagnen ausgelöst, die sich insbesondere auf sozialen Medien abspielen. Einige dieser Aktivitäten lassen sich staatlichen Akteuren zuordnen, die ihre Glaubwürdigkeit und Vertrauenswürdigkeit durch die Maskierung als anti-regime Stimmen oder Unterstützer der Protestbewegung aufbauen. Ein Beispiel hierfür ist das Konto "Sara Shokouhi", das im Oktober 2022 erstellt wurde und Monate damit verbrachte, Oppositionsstimmen zu fördern und herzzerreißende Tributes an Protestierende zu schreiben, bevor es schließlich von Iran-Experten als staatlich unterstützte Phishing-Operation entlarvt wurde.
Es ist jedoch schwierig, die Aktivitäten anonymer Konten mit Sicherheit dem iranischen Regime zuzuschreiben, da viele Iraner aus Sicherheitsgründen anonym bleiben. Gelegentlich haben jedoch Nachlässigkeiten wie das Nichtlöschen alter Tweets oder das versehentliche Posten von pro-regime Nachrichten auf Oppositionskonten ihre wahrscheinliche Zugehörigkeit zu IRI-Geheimdiensten enthüllt.
Die schnelle, chaotische Umgebung während der Proteste im Iran hat sich als fruchtbarer Boden für Desinformation und Informationsverschmutzung erwiesen, sodass es selbst für Forscher zu überwältigend ist, jeden Anspruch zu überprüfen, sagt Simin Kargar, eine Gastwissenschaftlerin beim Digital Forensic Research Lab des Atlantic Council.
Obwohl die weit verbreitete Wachsamkeit gegenüber IRI-Staatsakteuren die Öffentlichkeit weniger anfällig für Propagandataktiken gemacht hat, hat sie gleichzeitig ein Umfeld des Misstrauens geschaffen, in dem jeder potenziell ein Regime-Mitarbeiter sein kann.
Ein weiterer wichtiger Bestandteil der iranischen Cyberaktivität besteht darin, die Opposition zu diskreditieren und zu untergraben. Dies erfolgt teilweise durch direktes Hacken von Oppositionsfiguren, aber auch durch Sockenpuppen-Konten, die eine Fraktion der Opposition gegen eine andere ausspielen.
Kargar glaubt, dass die Cyber-Reaktion des Iran auf die jüngste Anti-Regime-Bewegung ein schlaueres und vorsichtigeres Vorgehen signalisiert. Sie beschreibt, wie regimeaffiliierte Cybergruppen so viel wie möglich hacken und ihr Material manchmal jahrelang aufbewahren, nur um es dann zu veröffentlichen, wenn es maximalen Effekt haben kann. Diese Bemühungen sind Teil eines breiteren Versuchs, den Eindruck zu erwecken, dass niemand vertrauenswürdig und niemand glaubwürdig ist.
Während das Regime den Kampf um die Erzählung verloren haben mag, hat es dennoch einige Erfolge erzielt, wie die Ablenkung durch den "Richter des Todes". Sabeti, der Cybersecurity-Experte, glaubt, dass der Fall ein Versuch von IRI-Cyberkräften war, die Gewässer für zukünftige Aktivitäten zu testen.
Quelle: The Scorched-Earth Tactics of Iran’s Cyber Army