NWRI- Diese beiden letzten Leaks kamen kurz nach der Aufdeckung der Quelle von mehreren Mailware Programmen, die alle zu der vom Iran unterstützten Cyberspionage Gruppe APT34 (Oilrig) führten. Nun hat einer User mit dem Pseudonym Lab Dookhtegam weitere Informationen über Telegram verbreitet und eine Gruppe mit dem Namen Green Leakers die Verantwortung für die Verbreitung übernommen. Die Echtheit dieser Informationen wurde mittlerweile von mehreren Sicherheitsunternehmen bestätigt, darunter Chronicle, FireEye, und Palo Alto Networks.
Die aktuellen Leaks sind noch einmal speziell, weil sie nicht den Quellcode für Mailware oder andere freie Tools enthalten, sondern vielmehr Bilder von Quellcodes mit unbekanntem Ursprung und auch eine Liste von Opfern des Hackingversuches enthalten.
Obwohl es dieses Mal klare Unterschiede gibt, gehen viele davon aus, dass sie eine Hackeraktion aus dem Iran zeigen, in der Hoffnung, dass dies politische Auswirkungen hat und dass andere Nationen und deren Unternehmen überdenken, in den Iran zu investieren.
The Green Leakers betreibt zwei Kanäle auf Telegram und zwei Portale im Darknet. Dort verkaufen sie Daten, die laut ihrer Aussage von der iranischen Hackergruppe Muddywater APT stammen sollen (ATP ist das Initialwort für bestehende Bedrohung, ein Begriff, der Hackergruppen beschriebt, die von Regierungen finanziert werden). Sie haben in den Tagen danach keine weiteren Informationen gepostet.
Es gab einen weiteren Leak einer iranischen Cyberoperation, der vor über einer Woche auf einer persischen Webseite und einem Telegram Kanal verbreitet wurde. Dort haben die Leaker kleine Teile an Informationen von „geheimen“ Dokumenten veröffentlicht, die aus dem iranischen Ministerium für Geheimdienste stammen. Dort ist zu erkennen, wie das iranische Regime das Rana Institut dafür anwirbt, dass es Cyberspionageaktionen betreibt. Dies wurde von ClearSky Security bestätigt.
ClearSky Security schrieb dazu in einem Bericht:“ Diese Dokumente enthalten eine Liste von Opfern, diversen Strategien für Cyberangriffe, Gebieten des Zugangs, eine Liste von Angestellten und Screenshots von internen Webseiten, die für Spionagesystreme zuständig sind. Diese Dokumente sind ein kleiner Blick in die Aspekte der Aktivitäten der Gruppe, wie sie Iraner aufspüren und iranische Bürger außerhalb des Iran und Mitglieder der Gruppe kontrollieren.“
Dies ist eine wichtige Information über eine Gruppe, dessen Aktivitäten bisher nicht belegt werden konnten, obwohl sie seit 2015 aktiv ist.
Die Rana Hackers wurden gebeten, eine Malware zu entwickeln, welche die Industriekontrolle SCADA schädigt, heißt es in den geleakten Dokumenten, doch ClearSky sagte, dass das Projekt „nicht erfolgreich war, obwohl man ein großes Budget dafür bereit gestellt habe.“