IRCNF
Security

Iranische Staatshacker drangen in das Verkehrssystem von Los Angeles ein und löschten Daten, um die Betriebsstörung zu verlängern

TechCrunch
Teilen:
Iranische Staatshacker drangen in das Verkehrssystem von Los Angeles ein und löschten Daten, um die Betriebsstörung zu verlängern

Iranische Staatshacker sind im März 2026 in die Los Angeles County Metropolitan Transportation Authority (LACMTA) eingedrungen, haben Daten gestohlen und diese anschließend absichtlich gelöscht, um die Störung zu maximieren – eine Taktik, die die Behörde zu einer mehrwöchigen Wiederherstellungsoperation zwang, wie TechCrunch unter Berufung auf die Berichterstattung von Lorenzo Franceschi-Bicchierai meldet. Der Angriff wurde vom israelischen Cybersicherheitsunternehmen Gambit Security dem iranischen Ministerium für Geheimdienste und Staatssicherheit (MOIS) zugeschrieben, das unter der falschen Hacktivist-Persona 'Ababil of Minab' agierte.

Die Enthüllung fügt ein bedeutendes US-amerikanisches Ziel der öffentlichen Infrastruktur zu einer wachsenden Liste iranischer Cyberoperationen hinzu, die im Jahr 2026 nach US-amerikanischen und israelischen Militärschlägen gegen Iran zu Beginn des Jahres intensiviert wurden. Die LA Metro ist das zweitgrößte öffentliche Nahverkehrssystem in den USA und befördert täglich über 300.000 Fahrgäste mit Bussen, Stadtbahnen und U-Bahnen.

Wie der Angriff ablief

Der Eindringversuch begann im März 2026. Die Angreifer erlangten Zugang zu den Systemen der LACMTA, extrahierten Daten und löschten anschließend die gestohlenen Dateien aus der eigenen Infrastruktur der Behörde – eine Taktik mit doppelter Wirkung, die nicht nur darauf abzielte, Informationen zu stehlen, sondern auch die operationelle Fähigkeit der Behörde zu beeinträchtigen und die Wiederherstellungszeit zu verlängern. Die LACMTA bestätigte den Vorfall im April 2026. Die Behörde legte den vollen Umfang der gestohlenen oder gelöschten Daten nicht öffentlich offen, aber die Wiederherstellung nach der Datenvernichtung dauerte mehrere Wochen.

Die hinter dem Angriff stehende Gruppe verwendete den Namen 'Ababil of Minab' – eine Anspielung auf einen US-Luftangriff auf eine Schule in der iranischen Stadt Minab, bei dem Anfang 2026 während der US-iranischen militärischen Auseinandersetzung über 175 Menschen, die meisten davon Kinder, getötet wurden. Die Nutzung einer geopolitischen aufgeladenen falschen Persona ist eine durchgängige Taktik bei iranischen staatlich gesteuerten Operationen: Sie ermöglicht es dem MOIS, strategische Cyberziele zu verfolgen, während gleichzeitig plausible Verleugnung geschaffen und der Propagandawert erfolgreicher Einbrüche verstärkt wird.

Zuordnung und das größere Muster

Die Zuordnung des Angriffs zu MOIS-Operateuren durch Gambit Security passt zu einem dokumentierten Muster. Iranische Bedrohungsakteure, darunter Gruppen, die unter dem Dach des MOIS operieren, haben zunehmend 'Hack-and-Leak'- und 'Hack-and-Destroy'-Taktiken gegen die kritische US-Infrastruktur übernommen – und bewegen sich damit über die spionageorientierten Operationen hinaus, die frühere iranische Aktivitäten kennzeichneten, hin zu Operationen, die auf Störung und psychologische Wirkung abzielen.

Dasselbe Vorgehen wurde bereits früher im Jahr 2026 gegen Stryker, das US-amerikanische Medizintechnikunternehmen, von einer Gruppe unter ähnlicher Hacktivist-Tarnung angewendet. In beiden Fällen folgte auf den anfänglichen Einbruch die Datenexfiltration, Löschung und eine öffentliche Behauptung durch die falsche Persona, um maximale Aufmerksamkeit zu erregen und eine schnelle Zuordnung zu verhindern. Die Taktik schafft eine Lücke zwischen der beobachteten Störung und der bestätigten staatlichen Förderung, verschafft Zeit und sorgt für Verwirrung in der Reaktionsphase.

Die US-Regierung hatte diesen Trend direkt angezeigt. Im April 2026 gaben das FBI, die CISA und Partnerbehörden eine gemeinsame Warnung heraus, die Betreiber kritischer US-Infrastruktur vor eskalierender iranischer Cyberzielsetzung warnte und insbesondere die Sektoren Verkehr, Gesundheitswesen und Versorgung als vorrangige Ziele nannte. Die Warnung folgte auf eine Reihe von FBI-Beschlagnahmungen von Websites, die von pro-iranischen Hackergruppen betrieben wurden, zu Beginn des Jahres.

Warum Verkehrssysteme angegriffen werden

Öffentliche Nahverkehrsbetriebe sind aus mehreren Gründen ein attraktives Ziel für staatlich gesteuerte Störoperationen. Sie betreiben alternde Betriebstechnologie (OT)-Netzwerke, die nicht mit modernen Cybersicherheitsanforderungen konzipiert wurden. Sie sind stark von miteinander verbundenen IT- und OT-Systemen für Fahrplan, Ticketing, Kommunikation und Sicherheit abhängig. Und weil sie große städtische Bevölkerungen bedienen, erzeugen erfolgreiche Störungen eine erhebliche öffentliche Sichtbarkeit – was der Punkt für einen staatlichen Akteur ist, der psychologische Wirkung anstrebt, anstatt leise Geheimdienstinformationen zu sammeln.

Die Datenvernichtungskomponente des LACMTA-Angriffs ist besonders bemerkenswert. Im Gegensatz zu Ransomware, bei der eine Wiederherstellung grundsätzlich nach Zahlung eines Lösegelds möglich ist, ist die absichtliche Löschung von Daten ohne funktionierende Backups irreversibel. Wenn auch die Backup-Systeme der LACMTA kompromittiert wurden, spiegelt die mehrwöchige Wiederherstellungszeit die Zeit wider, die benötigt wird, um Systeme aus partiellen Backups oder von Grund auf neu aufzubauen – ein weitaus schädlicheres Ergebnis als ein typischer Ransomware-Vorfall.

Was andere Infrastrukturbetreiber daraus lernen sollten

Der Angriff auf die LACMTA unterstreicht mehrere Lehren, die für Betreiber kritischer Infrastruktur allgemein gelten. Erstens nutzen iranische Bedrohungsakteure geopolitische Ereignisse – US-Militärschläge gegen Iran – als operationelle Auslöser für schnell folgende Cyberkampagnen. Organisationen in Sektoren, die zuvor durch föderale Warnungen gewarnt wurden, sollten das aktuelle geopolitische Umfeld als erhöhte Bedrohungsperiode betrachten, nicht als Basisniveau.

Zweitens ist die Integrität von Backups jetzt ein vorrangiges Anliegen bei der Verteidigung gegen Ransomware und destruktive Angriffe. Die Wirksamkeit eines Datenlöschungsangriffs hängt vollständig davon ab, ob das Ziel aus offline, unveränderlichen, air-gapped Backups wiederherstellen kann. Organisationen, die ihren Backup-Wiederherstellungsprozess nicht unter simulierten Bedingungen des Infrastrukturverlusts getestet haben, sollten diese Lücke als dringend behandeln.

Drittens bedeutet das Muster der falschen Hacktivist-Persona, dass erste öffentliche Verantwortungsübernahmen von unbekannten Gruppen nicht für bare Münze genommen werden sollten. Die Zuordnung braucht Zeit, und die Verzögerung zwischen einem Angriff und der bestätigten staatlichen Zuschreibung ist ein Merkmal des Operationsdesigns, kein Bug.

securityIrancyberattackcritical-infrastructureLACMTAMOISstate-sponsored

Originally reported by TechCrunch. Read the original article for additional details.

View original source
Teilen: