Eine iranische, möglicherweise staatlich unterstützte Hackergruppe namens APT33 hat laut Microsoft ihren Angriffsschwerpunkt auf Industrial Control Systems (ICS) verlagert, wie jetzt die Online-Plattform heise.de berichtet. Sie habe seit Mitte Oktober Dutzende Unternehmen angegriffen, die sich der Fertigung, Zulieferung und Betreuung industrieller Kontrollsysteme widmen.
Wahrscheinlich gehe es dabei nicht etwa um diese Firmen der ICS-Branche selbst, sondern um deren Kunden beziehungsweise um die verkauften Steuerungsanlagen. Möglicherweise will die Gruppe herausfinden, wie die Kontrollsysteme funktionieren und wer die Käufer sind, um künftig kritische Infrastrukturen angreifen zu können.
Microsoft beobachte die Aktivitäten von APT33 bereits seit über vier Jahren, heißt es. Im März 2019 berichtete Microsoft-Manager John Lambert gegenüber dem Wall Street Journal, die Gruppe habe innerhalb von zwei Jahren mehr als 200 Unternehmen weltweit angegriffen. Dabei seien vertrauliche Informationen gestohlen oder von den Systemen gelöscht worden.
Nach Aussagen der Sicherheitsforschung von Microsoft hat APT33 seine Aktivitäten im Laufe des Jahres 2019 massiv ausgeweitet. Zeitweise seien „Password-Spraying“-Angriffe auf „Zehntausende“ Organisationen erfolgt. Inzwischen habe die Gruppe allerdings die Attacken wieder stark eingegrenzt – nämlich auf rund 2000 Unternehmen pro Monat. Zugleich habe sich die Zahl der innerhalb dieser Unternehmen angegriffenen Accounts fast verzehnfacht.
Password Spraying ist nach der Darstellung von heise.de eine stark eingegrenzte Brute-Force-Variante, die bekannte, in einem Unternehmen vergebene Nutzernamen in einer Schleife mit je nur einem (beliebten oder im Unternehmenskontext wahrscheinlichen) Passwort durchprobiert. Im nächsten Schleifendurchgang folgt dann das nächste Passwort und so weiter. Diese Taktik reduziert das Risiko der Sperrung von Accounts nach zu vielen Brute-Force-Versuchen hintereinander.