Unsere Untersuchung des ANCFCC-Datenlecks [Flash Report]
Inhaltsübersicht
Am 2. Juni 2025 wurde der Bedrohungsakteur, bekannt als Jabaroot die Verantwortung für ein Datenleck von Marokkos Nationale Agentur für die Erhaltung des Bodens (ANCFCC). Dieser Vorfall, der im Dark-Web-Forum DarkForums angekündigt wurde, scheint politisch motiviert zu sein und auf regionale Spannungen zurückzuführen zu sein. Dieser Angriff ist Teil einer breiteren Welle gezielter Cyberangriffe gegen marokkanische Einrichtungen, die in letzter Zeit beobachtet wurden.
Interessieren Sie sich für diese neue Geschichte? Lesen Sie unseren früheren Bericht vom April über das Leck im marokkanischen Sozialversicherungsfonds.
Was ist passiert?
Jabarootein bekannter bösartiger Akteur, der es in der Vergangenheit auf marokkanische Einrichtungen abgesehen hatte, hat auf DarkForums einen Thread mit dem Titel "MAROKKO - Nationale Agentur für Bodenerhaltung (ANCFCC) - VOLLSTÄNDIGE DATENBANKEN." Der Akteur behauptete, dass diese Aktion eine direkte Reaktion auf eine wahrgenommene "anti-algerische Propaganda" durch marokkanische Medien war. Dieser Vorfall ereignete sich in einer Zeit erhöhter geopolitischer Spannungen und einer Welle von Cyberangriffen gegen marokkanische Organisationen.
Welche Daten wurden von Jabaroot weitergegeben?
Nach Angaben von JabarootNach den Behauptungen von DarkForums sollen die durchgesickerten Daten der ANCFCC enthalten:
- Eine Mappe mit Mustern von über 10.000 Eigentumsurkunden im PDF-Format, die angeblich aus einer Datenbank mit über 10 Millionen stammen.
- Ein Ordner mit Mustern von 20.000 verschiedenen Dokumenten, darunter Kaufverträge, Personenstandsurkunden, Personalausweise/Reisepässe und Bankdokumente. Der Akteur behauptet, die vollständige Datenbank enthalte über 4 Millionen Dokumente und übersteigt 4 TB an Daten.
- Eine Mappe mit hochsensiblen Dokumenten über hochrangige marokkanische Beamte und VIPs, in der insbesondere Mohammed Yassine Mansouri, Leiter der Auslandsnachrichtendienste, erwähnt wird.
Ursprünglich, Jabaroot Links zu zwei Beispielen, "VIPs" und "Dokumente", auf einer Website zur gemeinsamen Nutzung von Dokumenten bereitgestellt. Diese Dateien wurden daraufhin von dem Hosting-Dienst entfernt. Es folgen Nutzerkommentare, Jabaroot einen neuen Link nur für die "VIPs"-Stichprobe freigegeben. Diese Stichprobe enthielt vier Ordner mit den Namen "Fouzi Lekjaa", "Mohammed Yassine Mansouri", "Nasser Bourita" und "Raghib Amin", die Kopien von Ausweisdokumenten, Bescheinigungen und Aufzeichnungen über Eigentumstransaktionen enthielten.
Der Schauspieler ist auch auf einem neuen Telegram-Kanal (t[.]me/jabarootdz2) aktiv, der eingerichtet wurde, nachdem sein ursprünglicher Kanal gelöscht wurde. Zum Zeitpunkt dieses Berichts wurden auf diesem Kanal 24 Dokumente geteilt, die als Reaktion auf die vermeintlich "opportunistische Propaganda" gegen Algerien wiederholt wurden.
Versuche von Jabaroot um die vollständige "ANCFCC - CERTIFICATS DE PROPRIETE.zip" und "ANCFCC_DOCUMENTS"Ordner über andere File-Sharing-Websites wurden ebenfalls entfernt oder unvollständig heruntergeladen. Es ist uns gelungen, eine unvollständige 4,8 GB große Zip-Datei des Ordners "Dokumente" zu erwerben, die fast 20.000 PDF-Dateien zu enthalten scheint. Die weitere Analyse des Inhalts ist noch nicht abgeschlossen.
Welche Berechtigung hat das Jabaroot-Leck?
Die Rechtmäßigkeit des vollständigen Lecks, wie sie von Jabarootwurde von Benutzern auf DarkForums in Frage gestellt. Der Schauspieler betitelte den Thread zunächst mit "Full Database", versäumte es aber, den kompletten Datensatz zu teilen. Dies hat einige Nutzer zu der Vermutung veranlasst, dass Jabaroot möglicherweise nur Zugang zu einer begrenzten Anzahl von Dokumenten und nicht zu einer ganzen Datenbank haben. Ein Nutzer merkte außerdem an, dass das Leck möglicherweise nicht direkt vom ANCFCC stammt. Unsere Analyse fand keine hochgradig bösartigen Dateien in der "VIPs"-Stichprobe, obwohl ein von einem Forumsnutzer geteilter VirusTotal-Screenshot auf einen Trojaner in einer Datei der zweiten Stichprobe hinwies, auf die wir keinen Zugriff hatten. Der DarkForums-Thread selbst wurde schließlich von einem Moderator aufgrund der fehlerhaften Links aus dem Bereich "Datenbanken" entfernt. Es sind weitere Untersuchungen erforderlich, um diese Behauptungen und das Ausmaß der Verletzung, die den folgenden Personen zugeschrieben wird, vollständig zu bewerten Jabaroot.
Analyse des Kontextes: Die jüngsten Cyberangriffe auf Marokko
Der Vorfall mit Jabaroot ist kein Einzelfall. Zwischen dem 1. und 3. Juni 2025 entdeckten unsere Dienste 21 Veröffentlichungen und Angriffe auf Marokko durch verschiedene Akteure, darunter die Gruppe Keymous+. Bei den meisten dieser Angriffe handelte es sich um DDoS-Attacken und erste Zugriffsversuche gegen marokkanische Regierungsstellen, hauptsächlich durch Keymous+.
Diese Anschläge finden in einem komplexen geopolitischen Umfeld statt, da die antizionistischen Aktivitäten von Keymous+ mit einer Annäherung zwischen Marokko und Israel zusammenfallen. Gleichzeitig haben Akteure wie Jabaroot nutzen die Spannungen zwischen Marokko und Algerien in der Westsahara-Frage als Grund für ihre Angriffe.
Zu den wichtigsten marokkanischen Einrichtungen, gegen die in diesem Zeitraum vorgegangen wurde, gehören:
| Opfer | Art des Angriffs | Branchen | Bedrohungsakteure | Datum |
|---|---|---|---|---|
| Königlicher Marokkanischer Fußballverband (Fédération Royale Marocaine de Football) | Datenleck | Sport | B4baYega | 01/06/2025 |
| Ministère de la Santé et de la Protection sociale | DDoS-Angriff | Staatliche Verwaltung | Keymous+ | 02/06/2025 |
| Agence Nationale de la Conservation Foncière, du Cadastre et de la Cartographie | Datenleck | Regierung und öffentlicher Sektor | Jabaroot DZ | 02/06/2025 |
| Banque Al-Maghrib | DDoS-Angriff | Finanzdienstleistungen | Keymous+ | 02/06/2025 |
| Maroc Telecom | DDoS-Angriff | Netzwerk und Telekommunikation | Keymous+ | 02/06/2025 |
| Ministère de l'Agriculture, de la Pêche maritime, du Développement rural et des Eaux et forêt | Erster Zugang | Staatliche Verwaltung | Keymous+ | 02/06/2025 |
| Ibn Tofail Universität | Erster Zugang | Bildung | Keymous+ | 02/06/2025 |
| TelQuel Média | Verunstaltung | Medien | Keymous+ | 03/06/2025 |
| Fste Université Moulay Ismaïl | Datenleck | Forschung | r3i | 03/06/2025 |
Profile von Bedrohungsakteuren
Welche anderen Informationen über Bedrohungen sollten Sie noch wissen? Im Folgenden finden Sie eine Zusammenfassung der Profile, die im Zusammenhang mit diesem Angriff Aufmerksamkeit erregt haben.
- Keymous+: Eine Hacktivistengruppe, die sich auf DDoS-Angriffe spezialisiert hat, die auf pro-ukrainische und pro-zionistische Länder abzielen. Sie sind dafür bekannt, Programmiertalente zu rekrutieren und Schwachstellen auszunutzen.
- r3i: Ein neuer Akteur, der im Juni 2025 gegründet wurde und sich auf Datenlecks spezialisiert hat.
- Jabaroot: Dieser auch als Jabaroot DZ bekannte Akteur konzentriert sich in erster Linie auf Datenlecks und hat es in der Vergangenheit auf Marokko abgesehen, unter anderem auf den CNSS im April 2025, wovon etwa 2 Millionen Personen betroffen waren. Ihr möglicher Ursprung ist Algerien.
- B4baYega: Ein neuer Akteur, der im Mai 2025 gegründet wurde und sich auf Datenlecks spezialisiert hat.
Während direkte Verbindungen zwischen Keymous+ und anderen Akteuren wie Jabaroot nicht bestätigt werden kann, wird die gemeinsame Nutzung von JabarootDer Angriff von Ghost Algeria, der ebenfalls von Keymous+ gepostet wurde, deutet auf eine mögliche Koordination hin, wenn auch mit unterschiedlichen Motiven.
Einpacken
Die jüngste Aktivität von Jabaroot Der Angriff auf die ANCFCC unterstreicht die anhaltende und politisch aufgeladene Cyber-Bedrohungslage, die auf Marokko abzielt. Die zyklische Natur dieser Angriffe nach dem CNSS-Vorfall erfordert eine kontinuierliche Überwachung und robuste Verteidigungsmaßnahmen für Organisationen, die in dieser Region tätig sind. Wir werden diese sich weiterentwickelnden Bedrohungen weiter verfolgen, um unsere Kunden mit aktuellen Bedrohungsdaten zu versorgen.
Über den Autor
