Sicherheit

Nordkoreanische Hacker starten globale Angriffskampagne auf die Kryptowährungsbranche

Die Cybersecurity-Spezialisten von F-Secure haben einen Report veröffentlicht, in dem sie Details eines gezielten Angriffs auf ein Unternehmen aus der Kryptowährungsbranche mit der Lazarus Group in Verbindung bringen. Die Hackergruppe, die mutmaßlich in enger Verbindung zur Demokratischen Volksrepublik Korea (DVRK) steht, ist bekannt für ihr hochprofessionelles Vorgehen, das rein finanzielle Interessen verfolgt. Im Bericht kommt F-Secure durch die Verknüpfung von aus dem Angriff gewonnenen Hinweisen und Mustern mit bereits vorhandenen Forschungsergebnissen zu dem Schluss, dass der überprüfte Vorfall Teil einer global angelegten Kampagne der Lazarus-Gruppe ist. Diese richtet sich gegen Unternehmen aus der Kryptowährungsbranche aus den Vereinigten Staaten, Großbritannien, den Niederlanden, Deutschland, Singapur, Japan und weiteren Ländern.

Der Bericht analysiert die Logs, Protokolle und weitere technische Artefakte, die von F-Secure während der forensischen Untersuchung eines Angriffes auf eine Krypto-Organisation sichergestellt werden konnten. F-Secures Sicherheitsexperten stellten dabei fest, dass die Angriffsmethoden nahezu identisch mit den Praktiken sind, die so zuvor auch von der Lazarus-Gruppe – auch als APT38 bekannt – eingesetzt wurden.

Darüber hinaus beinhaltet der Bericht Details zu Taktiken, Techniken und Verfahren (TTP), die während des Angriffs zum Einsatz kamen. So konnten von den Angreifern beispielsweise per „Spearphishing“ vertrauenswürdige externe Dienste instrumentalisiert werden. In diesem konkreten Fall wurde ein gefälschtes und speziell auf das Profil des Empfängers zugeschnittenes Stellenangebot über die Plattform LinkedIn versendet.

Auf der Grundlage von Phishing-Artefakten, die nach dem Angriff der Lazarus Group sichergestellt wurden, konnten die Forscher von F-Secure den Vorfall mit einer umfangreichen, bereits seit Januar 2018 laufenden Kampagne in Verbindung bringen. Dem Bericht zufolge wurden ähnliche Artefakte bei Angriffen in mindestens 14 Ländern festgestellt: in den Vereinigten Staaten, China, Großbritannien, Kanada, Deutschland, Russland, Südkorea, Argentinien, Singapur, Hongkong, den Niederlanden, Estland, Japan und den Philippinen.

Um die Abwehr des betroffenen Unternehmens während des Angriffs zu umgehen, hat die Lazarus-Gruppe einen erheblichen Aufwand betrieben. So konnte sie beispielsweise Antiviren-Software auf den kompromittierten Hosts deaktivieren und hinterlassene Beweise für ihre Aktivitäten entfernen. Und obwohl der Bericht den Angriff als hochprofessionell charakterisiert, weist er doch darauf hin, dass die Bemühungen der Lazarus Group, ihre Spuren im Nachhinein zu verwischen, nicht ausreichend waren. Zahlreiche versteckte und nicht beseitigte Indizien ergaben für F-Secure schlussendlich eindeutige Beweise für die Aktivitäten der Angreifer.

„Die Untersuchung des Angriffs erfolgte durch erfahrene Spezialisten unserer Incident Response, Managed Detection & Response und Tactical Defense Teams. Dabei stellte sich heraus, dass dieser Angriff eine Reihe von Ähnlichkeiten mit bekannten Aktivitäten der Lazarus-Gruppe aufwies. Wir sind davon überzeugt, dass sie auch für diesen Angriff verantwortlich waren“, so Matt Lawrence, Director of Detection and Response bei F-Secure. Unternehmen können sich den Bericht nun zur Hand nehmen, um sich mit der konkreten Cyberattacke, den TTPs und der Lazarus-Gruppe im Allgemeinen vertraut zu machen. Darüber hinaus werden direkte Sicherheitsempfehlungen gegeben, um sich vor Angriffen der Hackergruppe zu schützen.

Der vollständige Bericht ist ab sofort bei F-Secure Labs verfügbar.

Über die WithSecure GmbH

Niemand hat einen besseren Einblick in echte Cyberangriffe als F-Secure. Wir schließen die Lücke zwischen Erkennung und Reaktion. Zu diesem Zweck nutzen wir die unübertroffene Bedrohungsexpertise von Hunderten der besten technischen Berater unserer Branche, Daten von Millionen von Geräten, die unsere preisgekrönte Software nutzen, sowie fortlaufende Innovationen im Bereich der künstlichen Intelligenz. Führende Banken, Fluggesellschaften und Unternehmen vertrauen auf unser Engagement bei der Bekämpfung der gefährlichsten Cyberbedrohungen der Welt. Zusammen mit unserem Netzwerk an Top-Channel-Partnern und über 200 Serviceanbietern ist es unsere Mission, all unseren Kunden maßgeschneiderte unternehmensfähige Cybersicherheit zur Verfügung zu stellen. F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd gelistet.

f-secure.com | twitter.com/fsecure | linkedin.com/f-secure​

Firmenkontakt und Herausgeber der Meldung:

WithSecure GmbH
Kistlerhofstraße 172c
81379 München
Telefon: +49 (89) 787467-00
Telefax: +49 (89) 78746799
http://www.withsecure.com

Ansprechpartner:
Berk Kutsal
PR & Social Media Manager DACH
Telefon: +49 (89) 787467-28
Fax: +49 (89) 787467-99
E-Mail: berk.kutsal@f-secure.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel