Hacker störten Irans Bahnnetz mit neuer Schadsoftware

Am 9. Juli legte ein Cyberangriff Teile des iranischen Bahnnetzes lahm. Ein neuartiger Wiper (Schadsoftware, die auf das Löschen von Festplatten abzielt) namens "MeteorExpress" wurde dabei eingesetzt. Die Angreifer*innen schafften es damit u.a. Botschaften auf den Anzeigetafeln von Bahnhöfen auszuspielen. Darin stand u.a. "Lange Verspätungen wegen Cyberangriff", und die Telefonnummer 64411 wurde angezeigt - jene des Büros des "obersten Führers" Ali Chamenei.

Angreifer auf mittlerem Niveau

Wie ZDNet berichtet, hat die US-amerikanische Cybersicherheitsfirma SentinelOne gemeinsam mit einem russischen Sicherheitsforscher und einem iranischen Antivirus-Unternehmen den Angriff mit MeteorExpress untersucht. Das Unternehmen kommt zu dem Schluss, dass an der Schadsoftware ausgiebig getüftelt worden ist. Einzelne Komponenten weisen einen verblüffenden Grad an Fehlerbereinigung auf, andere seien eher amateurhaft zusammengebastelt, weshalb den Angreifer*innen ein mittleres Niveau unterstellt wird.

Identität völlig unklar

Um wen es sich bei den Angreifer*innen handelt, konnten die Sicherheitsforscher allerdings nicht herausfinden. Sie spekulieren, dass es sich entweder um eine "skrupellose Söldnertruppe" handelt, oder um staatlich unterstützte Akteure. Die Angreifer müssen außerdem ein relativ genaues Wissen über den Aufbau der IT-Infrastruktur des iranischen Bahnsystems besitzen.