Das FBI hat Untersuchungen gestartet, nachdem Donald Trumps Präsidentschaftskampagne nach eigenen Angaben von iranischen Hackern angegriffen wurde. Proofpoint-Sicherheitsforscher Joshua Miller klärt über mögliche Hintergründe auf.
Proofpoint verfügt über keine direkten Erkenntnisse über Aktivitäten, die sich speziell gegen die Trump-Kampagne richten oder zu Aktivitäten, die kürzlich von Microsoft gemeldet und Mint Sandstorm zugeschrieben wurden. Die Aktivitäten stimmen jedoch mit typischen TA453-Kampagnen und -Aktivitäten überein. Die Aktivitäten von TA453 überschneiden sich mit denen von Mint Sandstorm alias Charming Kitten.
TA453 ist dafür bekannt, Phishing-E-Mails mit Links zu versenden, um Anmeldedaten zu sammeln, wobei häufig Marken wie Yahoo, LinkedIn oder Microsoft missbraucht werden. Diese Gruppe verwendet in ihren Phishing-E-Mails verschiedene Methoden: Sie nimmt die Persönlichkeit von Journalisten oder Akademikern an, ahmt Gmail- oder Google Drive-Seiten nach oder gibt sich als bekannte gemeinnützige Organisation aus. Außerdem richtet die Gruppe gefälschte Social-Media-Konten und Domains ein, deren Name bzw. Internetadresse sich nur in einem kleinen Detail von Websites bekannter Marken unterscheiden („Typo Squatting“).
Wie andere Akteure, die Advanced Persistent Threats (APT) zur Spionage einsetzen, passt auch TA453 seine Instrumente, Taktiken, Techniken und Zielsetzungen beständig an. TA453 adaptiert seine Kampagnen wahrscheinlich an die dynamischen, nachrichtendienstlichen Anforderungen der Iranischen Revolutionsgarde an (Islamic Revolutionary Guard Corps: IRGC), einschließlich der möglichen Unterstützung feindlicher und sogar kinetischer Operationen.
Proofpoint geht weiterhin davon aus, dass TA453 die IRGC unterstützt, insbesondere die IRGC Intelligence Organization (IRGC-IO). Diese Einschätzung basiert auf einer Vielzahl von Beweisen, darunter Überschneidungen in der Nummerierung der Einheiten zwischen den Berichten von Charming Kitten und den von PWC identifizierten IRGC-Einheiten, die Anklage des US-Justizministeriums gegen Monica Witt und mit dem IRGC verbundene Akteure sowie eine Analyse der Zielsetzung von TA453 im Vergleich zu den gemeldeten IRGC-IO-Prioritäten.
TA453 versucht immer wieder, die Inhalte von E-Mail-Postfächern typischer nachrichtendienstlicher Ziele der iranischen Regierung wie der iranischen Diaspora, politischer Analysten und Lehrkräfte zu sammeln und zu exfiltrieren. Darüber hinaus hat Proofpoint festgestellt, dass TA453 derzeitige und ehemalige US-Beamte und Vertreter der Kampagnen von US-Politikern im Visier hat. Ausnahmsweise richtet die Gruppe ihre Angriffe auch auf Medizinforscher.
Mehrere mit dem Iran verbündete APT-Akteure, darunter TA453, nutzen Journalisten oder Zeitungen als Vorwand, um Ziele zu überwachen und zu versuchen, deren Zugangsdaten abzugreifen. TA453 gibt sich routinemäßig als Journalisten aus aller Welt aus. Die Cyberkriminellen nutzen diese Personas, um harmlose Gespräche mit den Zielpersonen zu führen, bei denen es sich zumeist um Akademiker und Politikexperten handelt, die sich mit den politischen Beziehungen im Nahen Osten befassen.
TA453 ist derzeit mit laufenden Phishing-Kampagnen aktiv.