Die jüngste Welle von Cyberangriffen auf albanische Organisationen war auf den Einsatz eines sogenannten Wipers namens No-Justice zurückzuführen. Dies geht aus einer Untersuchung des Cybersicherheitsunternehmens ClearSky hervor. Das Windows-basierte Schadprogramm „crasht das Betriebssystem so, dass es nicht neu gestartet werden kann“. Die Angriffe werden einer psychologischen Operationsgruppe des Iran namens Homeland Justice zugeschrieben, die seit Juli 2022 aktiv ist und gezielt zerstörerische Angriffe gegen Albanien orchestriert. Am 24. Dezember 2023 meldete sich der Gegner nach einer Pause wieder zu Wort und erklärte, er sei „zurück, um Unterstützer von Terroristen zu zerstören“ und bezeichnete seine jüngste Kampagne als #DestroyDurresMilitaryCamp. Die albanische Stadt Durrës beherbergt derzeit die dissidente Gruppe Volksmudschahedin-Organisation des Iran (MEK). Zu den Zielen des Angriffs gehörten ONE Albania, Eagle Mobile Albania, Air Albania und das albanische Parlament. Zwei der hauptsächlich eingesetzten Tools während der Kampagne sind ein ausführbarer Wiper und ein PowerShell-Skript, das den Wiper im Zielnetzwerk verbreitet, nachdem Windows Remote Management (WinRM) aktiviert wurde. Der No-Justice-Wiper (NACL.exe) ist eine 220,34 KB große Binärdatei, die Administratorrechte erfordert, um die Daten auf dem Computer zu löschen. Dies geschieht, indem die Boot-Signatur aus dem Master Boot Record (MBR) entfernt wird, der sich auf den ersten Sektor einer Festplatte bezieht, der angibt, wo sich das Betriebssystem auf der Festplatte befindet und so in den Arbeitsspeicher eines Computers geladen werden kann. Im Verlauf des Angriffs werden auch legitime Tools wie Plink (alias PuTTY Link), RevSocks und das Windows 2000 Resource Kit eingesetzt, um Aufklärung, laterale Bewegung und dauerhaften Remotezugriff zu ermöglichen. Diese Entwicklung erfolgt vor dem Hintergrund, dass pro-iranische Bedrohungsakteure wie Cyber Av3ngers, Cyber Toufan, Haghjoyan und YareGomnam Team vermehrt Israel und die USA ins Visier nehmen, angesichts der anhaltenden geopolitischen Spannungen im Nahen Osten. „Gruppen wie Cyber Av3ngers und Cyber Toufan scheinen eine Erzählung der Vergeltung in ihren Cyberangriffen anzunehmen“, enthüllte Check Point im letzten Monat. „Indem sie opportunistisch israelische Technologie nutzen und US-amerikanische Einrichtungen ins Visier nehmen, versuchen diese Hacktivisten-Proxys eine doppelte Vergeltungsstrategie zu verfolgen – indem sie sowohl Israel als auch die USA in einem einzigen orchestrierten Cyberangriff treffen.“ Insbesondere Cyber Toufan wurde mit einer Flut von Hack-and-Leak-Operationen in Verbindung gebracht, die mehr als 100 Organisationen ins Visier nehmen, infizierte Computer löschen und gestohlene Daten über ihren Telegram-Kanal veröffentlichen. „Sie haben so viel Schaden angerichtet, dass viele Unternehmen – fast ein Drittel – sich nicht mehr erholen konnten“, sagte der Sicherheitsforscher Kevin Beaumont. „Einige sind immer noch über einen Monat später vollständig offline, und die gelöschten Opfer sind eine Mischung aus Privatunternehmen und staatlichen Organisationen des israelischen Staates.“ Im vergangenen Monat gab die israelische National Cyber Directorate (INCD) bekannt, dass derzeit etwa 15 Hackergruppen mit dem Iran, der Hamas und der Hisbollah verfolgt werden, die seit Beginn des Israel-Hamas-Krieges im Oktober 2023 bösartige Aktivitäten im israelischen Cyberraum durchführen. Die Behörde stellte außerdem fest, dass die angewandten Techniken und Taktiken Ähnlichkeiten mit denen des Ukraine-Russland-Krieges aufweisen und auf psychologische Kriegsführung und Wiper-Malware setzen, um Informationen zu zerstören.