Ausweitung von Cyber-Feindseligkeiten in Nordafrika [Ein CNSS Breach Update]
Inhaltsübersicht
Am 8. April 2025 postete ein Telegram-Nutzer mit dem Alias "Jabaroot" eine neue Nachricht auf BreachForums, die die Besorgnis über staatlich gelenkten Hacktivismus in Nordafrika neu entfachte. Der Akteur erklärte, er sei für einen massiven Angriff auf Nationale Sozialversicherungskasse Marokkos (CNSS)und markierte damit eine Verlagerung von finanziellen Motiven zu politisch motivierter Cyberkriegsführung. Dieser Verstoß war kein Einzelfall.
Vielmehr war sie der Auslöser für eine Kettenreaktion von Vergeltungsmaßnahmen und eskalierenden regionalen Cyberangriffen. Unser neuester Threat Note-Bericht befasst sich mit den Auswirkungen in der Region.
Wir haben von Anfang an über diesen Angriff berichtet, lesen Sie hier unseren ersten Kurzbericht.
Wer war davon betroffen?
Die durchgesickerten CNSS-Daten umfassen über 50.000 PDF-Dateien und mehr als eine Million Zeilen in zwei CSV-Dateien mit detaillierten finanziellen und persönlichen Daten marokkanischer Unternehmen und Mitarbeiter. Zu den betroffenen Unternehmen gehören der Mohammed VI Investment Fund, große Banken wie der Crédit du Maroc und die Banque Centrale Populaire, marokkanische Medien und sogar das israelische Verbindungsbüro in Rabat.
Sensible Daten, die mit hochrangigen Personen wie dem Privatsekretär des Königs in Verbindung stehen, wurden offengelegt, wodurch der Ruf und die politische Bedeutung der Sicherheitsverletzung zunahmen.
Der Zeitplan für die CNSS-Sicherheitsverletzung: Von April bis heute
Die CNSS-Panne vom April 2025 war nicht nur ein Datenleck. Es war ein Wendepunkt in den Cyber-Spannungen in Nordafrika. Am 8. April übernahm der Bedrohungsakteur Jabaroot die Verantwortung für die Exfiltrierung und Weitergabe großer Mengen sensibler Daten der marokkanischen Sozialversicherungsanstalt (CNSS). Das Leck enthüllte mehr als 50.000 PDF-Dokumente und über eine Million Datensätze, darunter Finanz-, Gehaltslisten- und Identitätsdaten marokkanischer Unternehmen, Beamter und sogar hochrangiger Beamter.
In den 10 Wochen nach dem Einbruch, CybelAngel beobachtete einen Anstieg der durchgesickerten Datenmengen um 312% die marokkanischen Unternehmen zugeschrieben werden. Dieser Anstieg führte zu mehr als 5 Terabyte an gestohlenen Daten, die auf Clear- und Dark-Web-Plattformen zwischen 8. April und 15. Juni, verglichen mit 1,61 Terabyte im gesamten Jahr 2024.
Die Häufigkeit der Angriffe spiegelt den Anstieg der Daten wider. Vor April verfolgte CybelAngel 63 öffentliche Behauptungen von Cyberangriffen auf marokkanische Vermögenswerte zwischen Januar 2024 und Anfang April 2025. In nur zweieinhalb Monaten nach der Sicherheitsverletzung stieg diese Zahl sprang auf 88, a 43% Anstieg des Aufkommens an Vorfällen. Diese Angriffe richteten sich gegen kritische Infrastrukturen, insbesondere im Finanz-, Regierungs- und Bildungssektor, mit einer Mischung aus DDoS-Kampagnen und zusätzlichen Datenlecks.
Wichtig ist, dass diese Maßnahmen offenbar nicht finanziell motiviert sind. Es wurden keine Lösegeldforderungen oder Wiederverkaufsversuche festgestellt.. Stattdessen scheinen die Kampagnen politisch motiviert zu sein, die darauf abzielen, die Institutionen zu destabilisieren und das Signalisieren von regionalen Missständen. Dieser Übergang von einer opportunistischen zu einer strategischen Störung stellt eine bedeutende Entwicklung in den nordafrikanischen Cyberoperationen dar.
Wer ist Jabaroot und warum sind sie zurück?
Jabaroot erlangte erstmals Berühmtheit durch April 8, 2025als die Gruppe einen Beitrag auf BreachForums veröffentlichte, in dem sie die Verantwortung für den CNSS-Einbruch übernahm. Seitdem sind sie zu einem immer wiederkehrenden Akteur in Nordafrikas Cyberkonflikten geworden und symbolisieren die Konvergenz von Hacktivismus, Nationalismus und regionalen Machtkämpfen.
Ursprünglich wurde vermutet, dass Jabaroot algerischen Ursprungs ist, doch weitere Untersuchungen ergaben, dass es sich möglicherweise um ein lose verbundenes Kollektiv handelt, das Mitglieder aus der Westsahara, Mauretanien, Tunesien, Libyen, Ägypten und Algerien umfasst. Diese multinationale Zusammensetzung wird durch Beiträge untermauert, die sich auf mehrere Kampagnen beziehen, darunter eine gegen Marokkos Ministerium für Energie, Bergbau und Umwelt (MIEPEEC).
Ihre Aktivitäten gehen über Datenlecks hinaus. Am 2. Juni 2025 meldete Jabaroot einen zweiten aufsehenerregenden Angriff, diesmal auf die marokkanische Nationale Agentur für Grundbuchwesen (ANCFCC). Laut dem Beitrag des Akteurs auf DarkForums umfasste dieser Angriff mehr als 10.000 Eigentumsurkunden, 20.000 Personenstandsurkunden und Stichproben, an denen hochrangige Beamte wie Mohammed Yassine Mansouri, Leiter des marokkanischen Auslandsgeheimdienstes, beteiligt waren. Der gesamte Datensatz umfasst Berichten zufolge mehr als 4 Millionen Dokumente und 4 Terabyte an Daten.
Die Taktik von Jabaroot beruht auf öffentlich inszenierten Datenlecks in Foren und Telegram-Kanälen. Ihr Ansatz ist eine Mischung aus der Veröffentlichung großer Datenmengen und gezielten symbolischen Botschaften. Die Rhetorik der Gruppe enthält häufig nationalistische und vergeltende Töne und zitiert ausdrücklich marokkanische Medienberichte als Provokation für ihre Angriffe.
Wie in dem Bericht dargelegt, sind diese Angriffe eher politisch als finanziell motiviert. Es gibt keine Hinweise auf Lösegeldforderungen oder Versuche des Weiterverkaufs. Stattdessen scheint das Ziel die Destabilisierung staatlicher Institutionen, psychologische Operationen und die Verstärkung regionaler Missstände durch die Offenlegung von Daten und symbolische Ziele zu sein.
Was wir in dem vollständigen Bericht behandeln
Unser ausführlicher Bedrohungsbericht deckt die folgenden Bereiche der Aufklärung ab:
- Ein vollständiger Zeitplan für den Verstoß vom April 2025
- Geopolitische Analyse der eskalierenden digitalen Feindseligkeiten zwischen nordafrikanischen Staaten
- Erstellung von Profilen von Bedrohungsakteuren und Analyse des Jabaroot-Kollektivs
- Überwachung von Erkenntnissen über exponierte Finanz- und Regierungsstellen
- Taktische Erkenntnisse darüber, wie sich die Bedrohungsvektoren nach dem CNSS-Vorfall verändert haben
- Empfehlungen für proaktive Überwachung und Abwehr
In dem Bericht werden auch Risikovektoren beschrieben, die durch Beziehungen zu Dritten, die Offenlegung von Klartext-Anmeldeinformationen und mangelnde Cyber-Hygiene verschärft werden.
Setzen Sie sich mit uns in Verbindung, um die vollständige Threat Note zu erhalten
CybelAngel beobachtet die Bedrohungslage in Nordafrika weiterhin genau. Wenn Sie in der Region tätig sind oder mit den betroffenen Sektoren in Berührung kommen, ist es jetzt an der Zeit, die Gefährdung durch Dritte zu bewerten, den Chat im Internet zu überwachen und Ihren externen digitalen Fußabdruck zu schützen. Wenn Sie diesen Hinweis als Nicht-CybelAngel-Kunde anfordern möchten, setzen Sie sich bitte mit uns in Verbindung.
