Warnung des Verfassungsschutzes Wie das iranische Regime seine Kritiker hackt
Nur ein Klick: Statt bei einem vielversprechenden Vorstellungsgespräch zu landen, wurde Mansour Sohrabi gehackt. Ein Einzelfall ist das nicht. Diese Hackerangriffe kommen aus dem Iran - und richten sich gezielt gegen Regime-Gegner.
Es war ein kalter Oktobertag, als Dr. Mansour Sohrabi eine erfreuliche Nachricht auf Instagram bekam: ein Jobangebot aus den USA. Sohrabi, der in Köln lebt, gilt als Experte für Ökologie und Umweltthemen im Iran. Jahrelang hat er als Uni-Dozent in Mahabad gearbeitet, bis er 2015 nach Deutschland floh und hier wegen seiner politischen Aktivitäten Asyl bekam.
Er arbeitete zunächst an der Universität Kiel, doch das war zeitlich befristet. "Ich war auf der Suche nach einem Hochschul-Projekt, nachdem mein Projekt an der Uni Kiel beendet war", erinnert sich Sohrabi. Da meldete sich über seine Instagram-Seite ein Mann bei ihm, der einen kurdischen Namen und eine kurdische Fahne im Profilbild hatte.
Mansour Sohrabi lebt in Köln. Im Iran gilt er als Experte für Ökologie und Umweltthemen. "Der Iran ist in viele Umweltkrisen verwickelt", sagt er.
Gesprächslink als Falle
Der Mann gab vor, für das renommierte US-amerikanische "Atlantic Council"-Institut zu arbeiten. Das Institut gibt es wirklich. Man wolle Sohrabi für ein gemeinsames Projekt gewinnen. Der iranische Umweltexperte war elektrisiert: "Ich dachte wirklich, dass es sich um ein Projekt handelt und dass sie mich einstellen wollen. Ich habe ihnen meine Nummer gegeben und war sehr froh darüber", sagt der 48-Jährige mit einem Lächeln.
Zunächst meldete sich eine Frau, die sich als Hagar Chemali ausgab - auch die gibt es wirklich. Sie meldete sich über eine amerikanische Nummer über WhatsApp, dann über Telegram. "Sie hat gefragt, ob ich sofort bereit wäre für ein Vorstellungsgespräch - am gleichen Tag. Ein Videogespräch. Und ich sagte ja, kein Problem."
Screenshot des WhatsApp-Chats von Chemali und Sohrabi
Sohrabi bekam einen Link, über den das Gespräch laufen sollte. Dann musste er immer wieder Codes, die er bekam, durchgeben. Angeblich um die Kamera einzuschalten. Spätestens zu diesem Zeitpunkt war sein Computer gehackt.
Experten gehen davon aus, dass Sohrabi Opfer einer Hackergruppe wurde, die aus dem Iran gesteuert wird. In internationalen Cyber-Sicherheitskreisen wird sie "Charming Kitten" genannt.
Eine geschickte Masche
In einem Konferenzraum des Bundesamtes für Verfassungsschutz in Köln hat Jadran Mesic einen Laptop aufgeschlagen. Der Leiter des Bereichs Cyberabwehr führt vor, wie Gruppen wie "Charming Kitten" vorgehen.
Die Hackergruppe, die im vergangenen in den USA auf die Sanktionsliste gesetzt wurde, sei dafür bekannt, "ein besonders gutes Social Engineering zu haben", sagt der Experte. "Darunter versteht man, dass man so einen Angriff vorbereitet und durch die Geschichte, die man drumherum erzählt, das Opfer dazu verleitet, eine gewisse Handlung vorzunehmen, zum Beispiel einen Anhang in einer E-Mail zu öffnen, in dem sich dann ein Schadprogramm befindet."
"Angriffe richten sich immer gegen die Opposition"
Mehrere Personen wurden dieses Jahr Opfer solcher Cyberattacken, weswegen der Verfassungsschutz nun in einem "Warnhinweis zu Cyberspionage gegen Kritiker des iranischen Regimes in Deutschland" öffentlich dagegen vorgeht. Zum ersten Mal spricht mit Jadran Mesic der Verfassungsschutz öffentlich über die Gruppe "Charming Kitten"- exklusiv mit dem WDR und der tagesschau.
Über die genau Zahl der Opfer will er keine Auskunft geben. Aber deutlich sei, die Angriffe richten sich immer gegen die iranische Opposition. "Es ist ganz klar, dass es Regime-Gegner des Iran sind, die diese Meinung auch ganz offen kommunizieren und deshalb auch dem Iran bekannt sein dürften", sagt er. "Darüber hinaus bestehen da auch enge Anbindungen an entsprechende Organisationen, die sich zum Beispiel für Menschenrechte im Iran einsetzen."
Hacker hinterlassen Spuren
Dass es Hacker des iranischen Regimes sind, da ist sich auch Mike Hart sehr sicher. Der Cyberexperte der US-amerikanischen Sicherheitsfirma Mandiant, das zum IT-Riesen Google gehört, hat in den letzten Jahren rund 40 solcher Angriffe registriert und begleitet: "'Charming Kitten' ist eine Gruppe, die als Teil der iranischen Revolutionsgarde für solche Angriffe verantwortlich ist."
Die Hackergruppe sei seit etwa acht Jahren aktiv. Man müsse nur die Puzzleteile zusammenstecken und dann werde deutlich, dass sie aus dem Iran gesteuert werden, so Hart im Interview mit WDR und tagesschau.
"Natürlich hinterlassen sie manchmal Spuren. Das heißt, sie benutzen zum Beispiel Server mit einer IP-Adresse aus dem Iran. Und wir haben im Laufe der Jahre auch beobachtet, dass sie Zugangsdaten verwendet haben, wo sie versehentlich auch ihre tatsächlichen Daten oder eine iranische Telefonnummer oder iranischen E-Mail-Adressen hinterlegt haben", berichtet er. "Und dieses Gesamtbild deutet darauf hin, dass diese Gruppe aus dem Iran stammt."
Gesundes Misstrauen im Netz
Mansour Sohrabi hatte Glück im Unglück. Für etwa zehn Minuten hatten die Angreifer Zugriff auf seine Mails, aber nicht auf seine Festplatte. "Die war zu dem Zeitpunkt nicht angeschlossen." Der Umweltexperte kann sich gut vorstellen, warum er Opfer einer Cyberattacke aus dem Iran wurde. "Der Iran ist in viele Umweltkrisen verwickelt. Und diese Krisen können die Achillesferse des Regimes werden. Sie haben also Angst, dass Leute darüber sprechen und die Menschen provozieren."
Wissenschaftler Sohrabi geht jetzt mit einem gesunden Misstrauen ins Netz und beantwortet keine E-Mails oder Nachrichten mehr von Menschen, die er nicht kennt.