Angriff unter falscher Flagge: Google deckt clevere Hackerkampagne Nordkoreas auf
Cyberangriffe waren noch nie so verbreitet, so komplex und einem solchen Maße profitabel, wie sie es aktuell sind. Doch die Suche nach neuen Angriffsmethoden ist oft langwierig und aufwendig. Für das ewig klamme nordkoreanische Regime aktive Hacker haben sich deshalb eine clevere Methode ausgedacht, den Entwicklungsaufwand zu reduzieren.
Statt selbst in mühsamer Kleinarbeit nach Fehlern, Sicherheitslücken und Angriffsvektoren zu suchen, nahmen sie lieber gleich die Hacker aufs Korn, die das ohnehin tun. Das deckte eine Studie der zu Google gehörenden Threat Analysis Group gerade auf. So versuchten Nordkoreas Hacker Zugang zu noch nicht bekannten Sicherheitslücken und Werkzeugen zu bekommen, die diese ausnutzen.
Unter falscher Flagge
Dabei gingen die Hacker durchaus geschickt vor. Um Vertrauen aufzubauen, betrieben einen eigenen Sicherheits-Blog, in dem sie über die Entdeckung und Schließung neuer Lücken berichteten, ließen sogar bekannte Sicherheits-Experten in Gastbeiträgen zu Wort kommen. Zudem präsentierten sie ihre eigenen vermeintlichen Erkenntnisse. Dabei scheint jedoch mindestens in einem Fall ein Video zur Nutzung eines Exploit gefälscht worden zu sein, die “Experten” gaben also nur vor, eine Lücke entdeckt zu haben.
Über soziale Medien wie Twitter, Linked.in oder Telegram bauten sie sich so einen Ruf auf, netzwerkten fleißig mit anderen Experten, berichtet Google. War ein Grundvertrauen etabliert, boten sie den “Kollegen” an, bei der Suche nach Sicherheitslücken zusammenzuarbeiten. Doch das vermeintliche Sicherheitsprojekt war für die so umgarnten Forscher eine Gefahr: Zusammen mit den Projektdaten wurde auch eine eigens entwickelte Schadsoftware auf die Rechner übertragen, die dann Kontakt zu einem von den Hackern betriebenen Kontrollserver suchte und die Systeme auszuhorchen begann.
Neben den gezielten Angriffen nahmen die Hacker aber auch Zufallstreffer mit. Man habe mehrere Fälle beobachtet, in denen sich Besucher des vorgeblichen Sicherheits-Blogs beim Besuch einen Schädling eingefangen hatten, berichtet die Threat Analysis Group. Dabei hielten auch die viel beschworenen Updates die Angreifer nicht ab: In allen Fällen nutzten die Betroffenen die aktuelle Version von Windows 10 sowie Googles Chrome-Browser, jeweils inklusive der neuesten Sicherheitspatches. Die Hacker nutzten also Lücken, die bis zu dem Zeitpunkt noch nicht bekannt waren.
Die Spur führt nach Nordkorea
Bei der Zuordnung der Angriffe ist Google überraschend direkt: Es handle sich bei den Hackern um eine nordkoreanische Gruppe mit staatlicher Unterstützung, sind sich die Experten sicher. Oft halten sich die Sicherheitsforscher bei solch klaren Zuschreibungen vorsichtig zurück. Nach Googles Einordnung dürfte eine oder mehrere der drei großen Hackergruppen Nordkoreas hinter den Attacken stecken. Die unter den Namen Lazarus, Bluenoroff und Andariel bekannten Teams arbeiten alle für den Geheimdienst RGB, haben sich jeweils auf eigene Bereiche der illegalen Geldbeschaffung für das Regime spezialisiert. Wurden sie lange belächelt, gelten sie längst als eine der größten Gefahren des IT-Sektors und eine wichtige Geldquelle für Kim Jong-uns isolierten Staat.
Das Ziel der aktuellen Kampagne dürfte nur indirekt mit der Beschaffung neuer Finanzströme zusammenhängen. Durch den Fokus auf Sicherheitsforscher und ihre Erkenntnisse dürften sich die Hacker einerseits neue, verwertbare Sicherheitslücken erhofft haben. Solche “Zero Day Lücken”, also Angriffsvektoren die noch nicht allgemein bekannt und vor allem nicht gesichert sind, werden wegen des hohen Aufwands für die Entdeckung sonst teuer in entsprechenden Foren gehandelt. Die von den Forschern entwickelten Methoden zur Ausnutzung der Lücken machen zudem die Entwicklung darauf basierender Werkzeuge einfacher. Nicht zuletzt sind auch Hinweise wertvoll, ob die eigenen Angriffe bereits entdeckt wurden.
Nicht nur die Koreaner hatten es in jüngster Zeit auf Sicherheits-Experten abgesehen. Im Dezember war ein Großangriff auf den von vielen Staaten und Unternehmen als eine Art IT-Feuerwehr betrachteten Dienstleister FireEye aufgedeckt worden. Auch der in seinem Ausmaß ungekannte Hack der US-Regierung durch vermutlich russische Angreifer war nur geglückt, weil man das auf die Sicherung von Netzwerken spezialisierte Unternehmen Solarwinds kompromittieren konnte.
