Jena. Forscher des europäischen Sicherheitsunternehmens ESET haben eine neue, besonders ausgeklügelte Angriffswelle der iranischen Hackergruppe MuddyWater aufgedeckt. Die Cyberakteure, die seit Jahren mit dem iranischen Geheimdienst in Verbindung gebracht werden, attackierten Technologie- und Fertigungsunternehmen, Bildungseinrichtungen sowie staatliche Stellen in Israel und Ägypten. Ihr Ziel war es, verdeckt in die Netzwerke einzudringen und möglichst viele sensible Daten zu entwenden.
Nach Erkenntnissen der ESET-Analysten setzte die Gruppe dabei auf eine ungewöhnliche Tarnstrategie. Ein zentrales Werkzeug der Angreifer war ein Schadcode-Loader, der sich hinter einem harmlos erscheinenden Snake-Spiel verbarg. Dateinamen und Programmstruktur waren so gestaltet, dass sie wie eine funktionsfähige Spiele-App wirkten – und selbst Sicherheitssoftware nur mit Mühe erkennen konnte, dass im Hintergrund ein Angriff vorbereitet wurde. Besonders perfide: Die kurze Verzögerung, die im klassischen Snake bei jeder Bewegung der Spielfigur entsteht, nutzte MuddyWater bewusst, um automatische Analysen auszutricksen und Schadfunktionen zu verschleiern.
Über diesen getarnten Loader wurde anschließend die neue Backdoor der Gruppe, genannt MuddyViper, direkt im Arbeitsspeicher ausgeführt. Durch die ausschließliche Ausführung im RAM hinterließ der Angriff kaum forensische Spuren auf den Systemen und blieb damit lange unentdeckt. MuddyViper ermöglichte es den Tätern, detaillierte Systemdaten zu erfassen, Dateien auszuführen, Daten zu übertragen und Anmeldeinformationen aus Windows und diversen Browsern auszuspähen. Die Kommunikation mit den Kontrollservern erfolgte verschlüsselt über HTTPS und war so getarnt, dass sie im normalen Netzwerkverkehr kaum auffiel.
Flankiert wurde die Backdoor von mehreren Spezialwerkzeugen, die gezielt für bestimmte Aufgaben entwickelt wurden. CE-Notes diente dem Abgriff von Browserdaten, LP-Notes manipulierte Windows-Sicherheitsdialoge, um Passwörter abzugreifen, und ein weiteres Tool namens Blub extrahierte Zugangsdaten aus Chrome, Edge, Firefox und Opera. Alle Komponenten sammelten die erbeuteten Informationen lokal, bevor sie weitergeleitet wurden.
Wie schon in früheren Kampagnen nutzte MuddyWater präparierte Spearphishing-Mails zum Erstzugriff. Die Nachrichten enthielten PDF-Dokumente mit Links zu scheinbar seriösen Websites, hinter denen sich jedoch Remote-Monitoring-Tools wie Atera, Level, PDQ oder SimpleHelp verbargen. Über diese Werkzeuge verschafften sich die Angreifer anschließend dauerhaften Zugriff auf die Systeme ihrer Opfer.
MuddyWater zählt seit Jahren zu den aktivsten und vielseitigsten Cyberspionage-Gruppen im iranischen Umfeld. Seit mindestens 2017 zielt die Organisation auf Regierungsstellen, kritische Infrastrukturen und Technologieunternehmen. Die nun aufgedeckte Offensive zeigt nach Einschätzung der Sicherheitsforscher eine klare Weiterentwicklung. Die Kombination aus altbewährten Angriffsmethoden, neu entwickelten Schadkomponenten und präzise orchestrierten Zugriffsketten mache die Gruppe gefährlicher denn je, warnt ESET-Experte Adam Burgher.
