Als Donald Trumps Präsidentschaftswahlkampf letzte Woche öffentlich verkündete, dass er erfolgreich von iranischen Hackern angegriffen worden sei, schien die Nachricht ein Zeichen dafür zu sein, dass sich das Land im Nahen Osten besonders auf den Kandidaten konzentrierte, den er als den härtesten Ansatz gegenüber seinem Regime ansah. Mittlerweile ist klar geworden, dass der Iran auch die Demokraten im Fadenkreuz seiner Cyberoperationen hat. Cybersicherheitsanalysten von Google haben nun bestätigt, dass beide Kampagnen nicht nur vom Iran ins Visier genommen wurden, sondern von derselben Gruppe von Hackern, die im Dienste der iranischen Revolutionsgarde arbeiteten.
Die Threat Analysis Group von Google veröffentlichte am Mittwoch einen neuen Bericht über APT42, eine Gruppe, die angeblich versuchte, die Präsidentschaftskampagnen der Demokraten und Republikaner sowie israelische Militär-, Regierungs- und diplomatische Organisationen zu kompromittieren. Im Mai und Juni zielte APT42, das vermutlich im Dienst der Iranischen Revolutionsgarde (IRGC) steht, auf ein Dutzend Personen, die mit Trump und Joe Biden in Verbindung stehen, darunter aktuelle und ehemalige Regierungsbeamte sowie Personen, die mit der Politik beider Kampagnen in Verbindung stehen. Laut Google zielt APT42 weiterhin auf republikanische und demokratische Wahlkampfbeamte ab.
„Was die Sammlung betrifft, nehmen sie alle Seiten ins Visier“, sagt John Hultquist, Leiter der Bedrohungsanalyse bei Mandiant, einem Cybersicherheitsunternehmen im Besitz von Google, das eng mit seiner Bedrohungsanalysegruppe zusammenarbeitet. Hultquist weist darauf hin, dass die Chancengleichheit für Cyberspionage keine Überraschung sei, wenn man bedenkt, dass APT42 im Jahr 2020 auch die Kampagnen von Biden und Trump ins Visier genommen habe. Die Ausrichtung von APT42 spiegele nicht unbedingt die Präferenz für einen einzelnen Kandidaten wider, sagt er, sondern eher die Tatsache, dass beide Kandidaten Trump und jetzt Vizepräsidentin Kamala Harris sind für die iranische Regierung von erheblicher Bedeutung. „Sie sind an beiden Kandidaten interessiert, weil diese Personen die Zukunft der amerikanischen Politik im Nahen Osten bestimmen“, sagt Hultquist.
Es scheint jedoch, dass die sensiblen Dateien nur einer Kampagne nicht nur von iranischen Hackern gehackt wurden, sondern auch an die Presse weitergegeben wurden, was eine Wiederholung der russischen Hack-and-Leak-Operation gegen die Kampagne von Hillary Clinton im Jahr 2016 zu sein scheint. Politico, die Washington Post und die New York Times haben alle berichtet, dass ihnen angeblich aus der Trump-Kampagne gestohlene Dokumente angeboten wurden, in einigen Fällen von einer Quelle namens „Robert“.
Es wurde nicht bestätigt, ob diese Dateien tatsächlich durch APT42 kompromittiert wurden. Microsoft sagte letzte Woche, dass APT42, das es Mint Sandstorm nennt, im Juni einen „hochrangigen Präsidentschaftswahlkampfbeamten“ ins Visier genommen habe, indem es das gehackte E-Mail-Konto eines anderen „ehemaligen leitenden Beraters“ des Wahlkampfs ausgenutzt habe. Google stellt in seinem neuen Bericht außerdem fest, dass es APT42 „gelangt ist, auf das persönliche Gmail-Konto eines hochrangigen politischen Beraters zuzugreifen“.
Obwohl keines der beiden Unternehmen bestätigt hat, welche Person oder welche Personen von der iranischen Gruppe erfolgreich gehackt wurden, gab Trump-Berater Roger Stone bekannt, dass er von Microsoft und dann vom FBI darüber informiert wurde, dass seine Microsoft- und Gmail-Konten von Hackern kompromittiert wurden.