Eine Elite-Spionagegruppe nutzte 5 Zero-Days, um Nordkoreaner zu
hacken
Südkorea ist ein Hauptverdächtiger für die Ausnutzung der geheimen
Software-Schwachstellen in einer ausgeklügelten Spionagekampagne.
Südkorea ist ein Hauptverdächtiger für die
Ausnutzung der geheimen Software-Schwachstellen in einer ausgeklügelten
Spionagekampagne.
Andy Greenberg Sicherheit 26.03.2020 18:30 Uhr
Die meisten Nordkoreaner verbringen Sie nicht
viel ihres Lebens vor einem Computer. Aber einige der wenigen
Glücklichen, die es tun, wie es scheint, wurden im letzten Jahr von
einem bemerkenswerten Arsenal an Hacking-Techniken getroffen – eine
ausgeklügelte Spionage-Spree, die einige Forscher vermuten, dass
Südkorea abgezogen haben könnte.
Cybersicherheitsforscher der Google Threat
Analysis Group enthüllten am Donnerstag, dass eine ungenannte Gruppe von
Hackern nicht weniger als fünf Zero-Day-Schwachstellenoder geheime
hackbare Fehler in der Software nutzte, um Nordkoreaner und
Nordkorea-orientierte Profis im Jahr 2019 ins Visier zu nehmen. Die
Hacking-Operationen nutzten Fehler in Internet Explorer, Chrome und
Windows mit Phishing-E-Mails, die bösartige Anhänge oder Links zu
bösartigen Websites trugen, sowie so genannte Bewässerungsloch-Angriffe,
die Malware auf den Maschinen der Opfer pflanzten, als sie bestimmte
Websites besuchten, die gehackt worden waren, um Besucher über ihren
Browser zu infizieren.
Google lehnte es ab, sich dazu zu äußern, wer
für die Angriffe verantwortlich sein könnte, aber die russische
Sicherheitsfirma Kaspersky teilt WIRED mit, dass googles Erkenntnisse
mit DarkHotel verknüpft wurden, einer Gruppe, die in der Vergangenheit
Nordkoreaner ins Visier genommen hat und verdächtigt wird, im Auftrag
der südkoreanischen Regierung zu arbeiten.
"Es ist wirklich beeindruckend. Es zeigt ein
Niveau der operativen Politur."
Dave Aitel, Infiltrat
Südkoreaner, die einen Gegner aus dem Norden
ausspionieren, der häufig mit dem Abschuss von Raketen über die Grenze
droht, ist nicht unerwartet. Aber die Fähigkeit des Landes, innerhalb
eines Jahres fünf Zero-Day in einer einzigen Spionagekampagne zu
verwenden, stellt ein überraschendes Maß an Raffinesse und Ressourcen
dar. "So viele Zero-Day-Exploits vom selben Akteur in relativ kurzer
Zeit zu finden, ist selten", schreibt Google TAG-Forscher Toni Gidwani
im Blogeintrag des Unternehmens. "Die meisten Ziele, die wir
beobachteten, stammten aus Nordkorea oder Einzelpersonen, die an
Nordkorea-bezogenen Themen arbeiteten." In einer Folge-E-Mail stellte
Google klar, dass eine Teilmenge der Opfer nicht nur aus Nordkorea,
sondern aus dem Land stammte – was darauf hindeutet, dass es sich bei
diesen Zielen nicht um nordkoreanische Überläufer handelte, die das
nordkoreanische Regime häufig ins Visier nimmt.
Wenige Stunden nachdem Google die
Zero-Day-Schwachstellen mit Angriffen auf Nordkoreaner verknüpft hatte,
konnte Kaspersky zwei der Sicherheitsanfälligkeiten – eine in Windows,
eine in Internet Explorer – mit denen in Verbindung bringen, die es
speziell an DarkHotel gebunden hat. Die Sicherheitsfirma hatte zuvor
gesehen, dass diese Fehler ausgenutzt wurden, um bekannte
DarkHotel-Malware auf den Computern ihrer Kunden zu pflanzen. (Diese
DarkHotel-verknüpften Angriffe traten auf, bevor Microsoft seine Fehler
gepatcht hat, sagt Kaspersky, was darauf hindeutet, dass DarkHotel nicht
nur die Sicherheitsanfälligkeiten einer anderen Gruppe wiederverwendet.)
Da Google alle fünf Zero-Day einer einzigen Hackergruppe zugeschrieben
hat, "ist es sehr wahrscheinlich, dass alle mit DarkHotel verwandt
sind", sagt Costin Raiu, der Leiter des Global Research & Analysis Teams
von Kaspersky.
Raiu weist darauf hin, dass DarkHotel eine
lange Geschichte des Hackens nordkoreanischer und chinesischer Opfer
hat, mit einem Schwerpunkt auf Spionage. "Sie sind daran interessiert,
Informationen wie Dokumente, E-Mails und so ziemlich jede Menge Daten
von diesen Zielen zu erhalten", fügt er hinzu. Raiu lehnte es ab,
darüber zu spekulieren, welche Regierung hinter der Gruppe stehen
könnte. DarkHotel wird jedoch weithin verdächtigt, im Auftrag der
südkoreanischen Regierung zu arbeiten, und der Council on Foreign
Relations nennt DarkHotels mutmaßlichen Staatssponsor als Republik
Korea.
Die Hacker von DarkHotel sollen mindestens
seit 2007 aktiv gewesen sein, aber Kaspersky gab der Gruppe 2014 ihren
Namen, als sie entdeckte, dass die Gruppe Hotel-WLAN-Netzwerke
kompromittiert, um auf der Grundlage ihrer Zimmernummern gezielt
Angriffe auf bestimmte Hotelgäste durchzuführen. In den letzten drei
Jahren, Raiu sagt, Kaspersky hat DarkHotel mit drei
Null-Tag-Schwachstellen jenseits der fünf jetzt mit der Gruppe verbunden
gefunden, basierend auf Googleblog-Post. "Sie sind wahrscheinlich einer
der Akteure, der der einfallsreichste der Welt ist, wenn es darum geht,
Zero-Day Tage einzusetzen", sagt Raiu. "Sie scheinen all diese Dinge im
eigenen Haus zu tun, ohne Code aus anderen Quellen zu verwenden. Es sagt
viel über ihre technischen Fähigkeiten aus. Sie sind sehr gut."
https://www.wired.com/story/north-korea-hacking-zero-days-google/