USA Geheimdienste haben gewarnt, dass Hacker der iranischen Regierung aktiv die Messaging-App Telegram nutzen, um Dissidenten, Journalisten und Oppositionsgruppen auf der ganzen Welt einzuschleusen und deren Daten zu stehlen. Das FBI hat am Freitag eine öffentliche Warnung herausgegeben, in der detailliert beschrieben wird, wie diese Akteure Telegram nutzen, um Malware einzusetzen, Fernzugriff auf die Geräte der Opfer zu erhalten und vertrauliche Informationen zu exfiltrieren.
Wie die Angriffe funktionieren
Die Operation verläuft in zwei Hauptphasen. Erstens geben sich Hacker als vertrauenswürdige Kontakte oder technischer Support aus, um Ziele dazu zu verleiten, schädliche Dateien herunterzuladen, die als legitime Anwendungen getarnt sind (wie Telegram oder WhatsApp selbst). Sobald diese Malware installiert ist, verbindet sie den Computer des Opfers mit Telegram-basierten Bots und ermöglicht es den Angreifern, das Gerät fernzusteuern.
Dadurch können Hacker Dateien stehlen, Screenshots aufnehmen und sogar private Kommunikation wie Zoom-Anrufe aufzeichnen.
Die Angreifer nutzen die Infrastruktur von Telegram aus, weil sie bösartige Aktivitäten im regulären Netzwerkverkehr verschleiert, was die Erkennung durch Cybersicherheitstools erschwert. Diese Taktik verdeutlicht den wachsenden Trend, dass Cyber-Akteure ihre Operationen in häufig genutzte Plattformen einbetten, um sich der Kontrolle zu entziehen.
Staatlich geförderte Aktivität
Das FBI schreibt diese Angriffe dem iranischen Ministerium für Geheimdienste und Sicherheit (MOIS) zu und bezeichnet sie als Teil einer umfassenderen Anstrengung, die geopolitischen Interessen des Regimes voranzutreiben. Eine verbundene pro-iranische Hacktivistengruppe, „Handala“, hat die Verantwortung für die jüngsten aufsehenerregenden Angriffe übernommen, darunter einen verheerenden Verstoß gegen das Medizintechnikunternehmen Stryker.
Stryker bestätigte in einer Einreichung bei der SEC, dass das Unternehmen sich immer noch von dem Hack erholt, bei dem Zehntausende Mitarbeitergeräte gelöscht wurden. Das US-Justizministerium hat Handala beschuldigt, als Tarnung für das MOIS zu agieren, was zur Beschlagnahmung von Websites geführt hat, die mit Handala und einer anderen iranischen Gruppe, „Homeland Justice“, in Verbindung stehen. Das FBI behauptet, dass beide von denselben staatlichen Akteuren kontrolliert werden.
Antwort von Telegram
Der Sprecher von Telegram, Remi Vaughn, erklärte, dass die Plattform aktiv Konten entfernt, die an der Verbreitung von Malware beteiligt sind. Die fortgesetzte Nutzung des Dienstes durch diese Akteure zeigt jedoch, wie schwierig es ist, solche Aktivitäten in großem Umfang zu überwachen.
Der Vorfall unterstreicht die sich weiterentwickelnde Natur der staatlich geförderten Cyberkriegsführung, bei der scheinbar harmlose Plattformen wie Telegram als Waffe eingesetzt werden, um Spionage und Störung zu ermöglichen. Die Warnung des FBI dient als Erinnerung daran, dass Benutzer wachsam gegenüber Social-Engineering-Taktiken und nicht autorisierten Software-Downloads bleiben müssen.
