Die jüngste FBI-Benachrichtigung über die Verwendung von Telegram als Befehls- und Kontrollinfrastruktur von iranischen Akteuren zeigt wieder etwas, das Cyber-Sicherheitsexperten seit Jahren warnen: Messaging-Plattformen, für die tägliche Kommunikation konzipiert, können auch ein Kanal für komplexe Offensive-Operationen werden. In seiner öffentlichen Mitteilung weist die Agentur darauf hin, dass Kampagnen, die kritische Journalisten mit der iranischen Regierung, Dissidenten und andere Oppositionsgruppen ansprechen, Links und bösartige Dateien verwendet haben, um Malware auf Windows-Teams zu spannen und von dort Pantierungen, Dokumente und andere wertvolle Informationen zu extrahieren.
Es ist nicht einfach nur Phishing: Es ist maskierte Intelligenz Sammlung.. Nach Angaben des FBI suchten die Intrusionen nicht nur die Unterbrechung; sie suchten nach Daten, die dann gefiltert oder verwendet wurden, um den Ruf der Opfer zu beschädigen. In vielen Fällen kombinierten die Angreifer Social Engineering mit Werkzeugen, die es erlauben, die engagierten Teams fernzubedienen, eine Technik, die das Opfer kaum das Vorhandensein des Gegners bemerkt, bis es zu spät ist. Die in ihrem IC3-Newsletter veröffentlichte technische Erklärung des FBI enthält Einzelheiten zu den Empfehlungen für Verpflichtungen und Risikominderung: siehe FBI IC3 PDF.
Der FBI-Bericht verknüpft diese Kampagnen mit Gruppen mit iranischen Affinität, einschließlich der Hacktivistengruppe, die als Handala bekannt ist, und einer staatlich unterstützten Gruppe, die als Homeland Justice bezeichnet wird. Darüber hinaus erwähnen Forscher einen separaten Schauspieler namens Karma Unten, alle mit Daten Exfiltration und Website Publikationen, die als öffentliche Postfächer für gestohlene Dokumente dienten. Als Reaktion auf diese Operationen konfiszierten die Behörden der Vereinigten Staaten vor kurzem mehrere Domänen, die von diesen Gruppen verwendet wurden, und blockierten vorübergehend einen der Kanäle, die sie zur Verbreitung von gestohlenem Material verwendet haben.
Ein Fall, der verdeutlicht, inwieweit diese Kampagnen die kritische Infrastruktur beschädigen können, ist der Vorfall gegen den multinationalen medizinischen Sektor Stryker. Bei diesem Eindringen erhielten die Angreifer administrative Privilegien in einer Windows-Domain und starteten eine Remote-Ordnung, um mehrere über Microsoft Intune verwaltete Geräte zu löschen oder wiederherzustellen. Das Ergebnis war der massive Verlust von Daten in der Ausrüstung des Unternehmens und der Arbeiter, deren Management im Unternehmenssystem war. Um die Fähigkeit von Intune zu verstehen, Remote-Änderungen durchzuführen (eine legitime Funktionalität, die Angreifer missbrauchen können, wenn sie Anmeldeinformationen mit Privilegien erhalten), dokumentiert Microsoft, wie die Aktion von "wipe" auf seinem Portal funktioniert: Weitere Informationen zur entfernten Löschung in Intune.
Ein weiteres Anliegen ist die Wiederverwendung von Messaging-Plattformen nicht nur als passiver Vektor (Links oder Dateien), sondern als aktive Befehls- und Kontrollinfrastruktur. Telegram bietet für seine Art von Kanälen und Bots Mechanismen, die Gegner verwenden können, um Anweisungen an Malware zu senden oder exfilterte Daten zu erhalten, ohne durch ihre eigenen Server von schwierigen Rückverfolgbarkeit gehen. Dies erschwert die Erkennung, weil der Verkehr zu Telegram legitim und verschlüsselt erscheinen kann, und viele Organisationen erlauben die Nutzung dieser Anwendungen aus Arbeits- oder persönlichen Gründen.
Parallel zu iranischen Aktivitäten haben die Behörden auch über Kampagnen gewarnt, die von russischen Geheimakteuren organisiert wurden, die Nachrichtennutzer wie Signal und WhatsApp ansprechen. Solche Angriffe basieren oft auf Phishing-Techniken, um Konten zu entführen, indem Überprüfungscodes oder Täuschung für das Opfer, Zugang zu erhalten. Nationale Zertifikate und europäische Agenturen haben Mitteilungen veröffentlicht, die ähnliche Systeme beschreiben und bestätigen, dass das Risiko über eine einzige Plattform oder Geographie hinausgeht; ein Beispiel für eine Ausschreibung von französischen Behörden ist hier zu finden: CERT-FR-Mitteilung über Kampagnen gegen Messaging.
Was kann eine Person oder ein Arbeitsteam tun, um das Risiko zu reduzieren? Nehmen Sie zunächst an, dass Messaging-Plattformen ein legitimer Vektor sind: Misstrauen von unerwarteten Links oder Dateien, auch wenn sie von bekannten Kontakten kommen, deren Konto beeinträchtigt werden kann. Zweitens schützen Sie Konten mit einer robusten Multifaktor-Authentifizierung und vermeiden Sie den Empfang von SMS-Zugriffscodes, wenn möglich, da dieser Kanal für die Entführung anfällig ist. Drittens, wenden Sie das Prinzip von weniger Privileg bei der Systemverwaltung an: nicht alle Benutzer sollten Rechte haben, Administratoren zu erstellen oder Remote Löschaktionen zu starten. Darüber hinaus reduziert die Aufrechterhaltung aktueller Systeme und Anwendungen den Bereich der Ausbeutung, den Angreifer nutzen wollen.
Für Organisationen ist es wichtig, die Erkennung von abnormen Verhaltensweisen zu implementieren (z.B. ungewöhnlicher Verkehr, um Nachrichtendienste von Servern, die nie auf sie zugreifen sollten) und Richtlinien für die Verwendung von persönlichen Anwendungen in Unternehmensausrüstung zu überprüfen. Verifizierte und isolierte Backups sind eine weitere wesentliche Komponente: Erfolgt ein Gegner beim Löschen von Geräten oder Verschlüsselungsdaten, begrenzt eine zuverlässige Wiederherstellung die operative und namhafte Wirkung.
Das Bild, das diese Warnungen zeigt, ist das eines Informationskriegs, in dem der Austausch von Botschaften und die Echtheit der Konten Waffen und Ziele sind. Konvergenz zwischen sozialen Techniken, Missbrauch legitimer Dienste und geopolitische Operationen bedeutet, dass diese Bedrohungen mit einem einzigen Patch nicht abnehmen. Stattdessen erfordert es eine Kombination von individueller digitaler Hygiene, technischer Kontrolle und internationaler Zusammenarbeit zwischen Unternehmen und Behörden, die von den Angreifern genutzte Infrastruktur zu identifizieren, zu blockieren und zu zerlegen.
Die endgültige Empfehlung ist von offiziellen und spezialisierten Quellen zu unterrichten und mit Vorsicht zu handeln: Der technische Bericht des FBI über diese Kampagnen kann Sicherheitsteams und Nutzern helfen, Verpflichtungsindikatoren zu erkennen und konkrete Maßnahmen zu ergreifen, bevor Expositionsergebnisse zu Datenverlusten oder Rufschäden führen. Für diejenigen, die technische Details und Empfehlungen vertiefen wollen, sind der FBI IC3-Newsletter und die Warnungen der nationalen Antwortteams gute Ausgangspunkte: IC3 / FBI und CERT-FR.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...