Hackergruppe APT42Angriffe gegen Journalist:innen und Menschenrechtsaktivist:innen

Offenbar im Auftrag der Iranischen Revolutionsgarden haben Hacker:innen mehr als 20 Journalist:innen und Mitarbeitende von NGOs angegriffen und ausgespäht. Dabei konnten sie auch sensible Daten abgreifen.

Iranische Flagge mit einem Logo von APT42 im Zentrum
Die Hacker:innengruppe APT42 agiert mutmaßlich im Auftrag der Iranischen Revolutionsgarde. – Alle Rechte vorbehalten Iranische Flagge / Mandiant Intelligence

Mutmaßlich im Auftrag der iranischen Regierung haben Hacker:innen 20 Personen ausgespäht, darunter zwei Mitarbeitende von Human Rights Watch (HRW). Zu den weiteren Opfern zählen sechs Journalist:innen sowie Diplomat:innen, Politiker:innen und Aktivist:innen, die zu verschiedenen Themen im Nahen Osten arbeiten.

Eine gemeinsame Analyse von HRW und Amnesty International’s Security Lab (AISL) schreibt die Angriffe der Gruppe APT42 („Charming Kitten“) zu. Sicherheitsfirmen wie Recorded Future, Proofpoint und Mandiant brachten APT42 bereits mehrfach mit dem iranischen Regime in Verbindung.

Menschenrechtsaktivist:innen im Visier

Bei drei Personen erbeuteten die Hacker:innen sensible persönliche Daten. Dabei handelt es sich um einen Korrespondenten einer US-Zeitung, eine Frauenrechtsaktivistin aus der Golfregion und um einen Mitarbeiter von Refugees International im Libanon. Bei diesen Opfern haben sich die Angreifer:innen mit Hilfe einer erfolgreichen Pishing-Attacke über WhatsApp Zugriff auf deren E-Mails, Cloud-Speicher, Kalender und Kontakte unter anderem bei dem Anbieter Google verschafft.

Die jüngsten Angriffe erhöhen „signifikant die Risiken, denen sich Journalist:innen und Verteidigende der Menschenrechte im Iran und anderswo in der Region ausgesetzt sehen“, so Abir Ghattas von HRW – zumal die Betroffenen erst vergleichsweise spät durch HRW von den Hacks erfuhren. Keines der Opfer erhielt zuvor eine Sicherheitswarnung von Google. HRW forderte Google daher dazu auf, seine Sicherheitsvorkehrungen zu verbessern.

Verbindungen zu den Iranischen Revolutionsgarden

Seit 2010 greift der Iran immer wieder Regierungsmitglieder und Unternehmen sowie politische Dissident:innen und Aktivist:innen unter anderem in Europa und Afrika, in den USA und im Nahen Osten an. Das US-amerikanische Sicherheitsunternehmen Mandiant ist mit „moderater Sicherheit“ davon überzeugt, dass die Iranischen Revolutionsgarden hinter APT42 stehen.

Tatsächlich passen die nun bekannt gewordenen Angriffe zum derzeitigen Vorgehen des Irans. Aktuell versucht das Regime mit allen Mitteln, die anhaltenden Proteste im Land zu ersticken und die Kontrolle über die Zivilgesellschaft wiederzuerlangen. Der Einfluss des Mullah-Regimes reicht dabei weit über das Land hinaus, nicht nur etwa bis nach Katar, das derzeit die Fußball-WM ausrichtet, sondern laut Recherchen von taz, Correctiv und netzpolitik.org auch bis nach Düsseldorf.

Erst kürzlich hat die EU auch in Reaktion auf die sich verschärfende Menschenrechtslage im Iran weitere Sanktionen gegen das dortige Regime verhängt. Diese nehmen insbesondere den inneren Zirkel der Revolutionsgarden und das IT-Unternehmen ArvanCloud ins Visier. Im Gegensatz zu den USA stehen die Revolutionsgarden in der EU nicht auf der Terrorliste. Dies würde weitergehende Sanktionen erlauben, wie das Einfrieren von Vermögenswerten der Revolutionsgarden. Dafür gibt es innerhalb der EU allerdings keinen Konsens.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.