Google entlarvt nordkoreanische Hack-Kampagne unter Kim Jong-uns Regime

Clever: Hacker hacken Hacker

Google entlarvt nordkoreanische Hack-Kampagne unter Kim Jong-uns Regime

ARCHIV - Der Nordkoreanische Machthaber Kim Jong Un schaut mit einem Fernglas in die demilitarisierte Zone bei Panmunjom (undatiertes Foto). Kurz vor einer geplanten Abstimmung über neue Sanktionen gegen Nordkorea im UN-Sicherheitsrat hat das Land seine kriegerischen Töne verschärft und mit einem atomaren Erstschlag gegen die USA gedroht. Das Außenministeriums in Pjöngjang unterstellte am Donnerstag den USA erneut, einen Atomkrieg anzetteln zu wollen. EPA/KCNA SOUTH KOREA OUT EDITORIAL USE ONLY/NO SALES +++(c) dpa - Bildfunk+++ — Nordkoreas Machthaber Kim Jong Un

Die Hacker Nordkoreas sind um die Welt gefürchtet. Um neue Angriffswerkzeuge zu bekommen, hatten sie sich gerade eines smarten Tricks bedient. Doch Google kam ihnen auf die Schliche.

Unter nordkoreanischem Regime: Hacker hacken Hacker

Cyberangriffe waren noch nie so verbreitet, so komplex und einem solchen Maße profitabel, wie sie es aktuell sind. Doch die Suche nach neuen Angriffsmethoden ist oft langwierig und aufwendig. Für das ewig klamme nordkoreanische Regime aktive Hacker haben sich deshalb eine clevere Methode ausgedacht, den Entwicklungsaufwand zu reduzieren.

Statt selbst in mühsamer Kleinarbeit nach Fehlern, Sicherheitslücken und Angriffsvektoren zu suchen, nahmen sie lieber gleich die Hacker aufs Korn, die das ohnehin tun. Das deckte eine Studie der zu Google gehörenden Threat Analysis Group gerade auf. So versuchten Nordkoreas Hacker Zugang zu noch nicht bekannten Sicherheitslücken und Werkzeugen zu bekommen, die diese ausnutzen.

Hacker-Trick: Erst Vertrauen gewinnen, dann Schadsoftware einschleusen

Dabei gingen die Hacker durchaus geschickt vor. Um Vertrauen aufzubauen, betrieben sie einen eigenen Sicherheits-Blog, in dem sie über die Entdeckung und Schließung neuer Lücken berichteten, ließen sogar bekannte Sicherheits-Experten in Gastbeiträgen zu Wort kommen. Zudem präsentierten sie ihre eigenen vermeintlichen Erkenntnisse. Dabei scheint jedoch mindestens in einem Fall ein Video zur Nutzung eines Exploit gefälscht worden zu sein, die "Experten" gaben also nur vor, eine Lücke entdeckt zu haben.

Über soziale Medien wie Twitter, Linked.in oder Telegram bauten sie sich so einen Ruf auf, netzwerkten fleißig mit anderen Experten, berichtet Google. War ein Grundvertrauen etabliert, boten sie den "Kollegen" an, bei der Suche nach Sicherheitslücken zusammenzuarbeiten. Doch das vermeintliche Sicherheitsprojekt war für die so umgarnten Forscher eine Gefahr: Zusammen mit den Projektdaten wurde auch eine eigens entwickelte Schadsoftware auf die Rechner übertragen, die dann Kontakt zu einem von den Hackern betriebenen Kontrollserver suchte und die Systeme auszuhorchen begann.

Empfehlungen unserer Partner

Zufallstreffer durch noch unbekannte Sicherheitslücken

Neben den gezielten Angriffen nahmen die Hacker aber auch Zufallstreffer mit. Man habe mehrere Fälle beobachtet, in denen sich Besucher des vorgeblichen Sicherheits-Blogs beim Besuch einen Schädling eingefangen hatten, berichtet die Threat Analysis Group. Dabei hielten auch die viel beschworenen Updates die Angreifer nicht ab: In allen Fällen nutzten die Betroffenen die aktuelle Version von Windows 10 sowie Googles Chrome-Browser, jeweils inklusive der neuesten Sicherheitspatches. Die Hacker nutzten also Lücken, die bis zu dem Zeitpunkt noch nicht bekannt waren.

Google verfolgt Spur nach Nordkorea

Bei der Zuordnung der Angriffe ist Google überraschend direkt: Es handle sich bei den Hackern um eine nordkoreanische Gruppe mit staatlicher Unterstützung, sind sich die Experten sicher. Oft halten sich die Sicherheitsforscher bei solch klaren Zuschreibungen vorsichtig zurück. Nach Googles Einordnung dürfte eine oder mehrere der drei großen Hackergruppen Nordkoreas hinter den Attacken stecken. Die unter den Namen Lazarus, Bluenoroff und Andariel bekannten Teams arbeiten alle für den Geheimdienst RGB, haben sich jeweils auf eigene Bereiche der illegalen Geldbeschaffung für das Regime spezialisiert. Wurden sie lange belächelt, gelten sie längst als eine der größten Gefahren des IT-Sektors und eine wichtige Geldquelle für Kim Jong-uns isolierten Staat.

Hacker unter Kim Jong-uns Regime: Was ist ihr Ziel?

Das Ziel der aktuellen Kampagne dürfte nur indirekt mit der Beschaffung neuer Finanzströme zusammenhängen. Durch den Fokus auf Sicherheitsforscher und ihre Erkenntnisse dürften sich die Hacker einerseits neue, verwertbare Sicherheitslücken erhofft haben. Solche "Zero Day Lücken", also Angriffsvektoren die noch nicht allgemein bekannt und vor allem nicht gesichert sind, werden wegen des hohen Aufwands für die Entdeckung sonst teuer in entsprechenden Foren gehandelt. Die von den Forschern entwickelten Methoden zur Ausnutzung der Lücken machen zudem die Entwicklung darauf basierender Werkzeuge einfacher. Nicht zuletzt sind auch Hinweise wertvoll, ob die eigenen Angriffe bereits entdeckt wurden.

Nicht nur die Koreaner hatten es in jüngster Zeit auf Sicherheits-Experten abgesehen. Im Dezember war ein Großangriff auf den von vielen Staaten und Unternehmen als eine Art IT-Feuerwehr betrachteten Dienstleister FireEye aufgedeckt worden. Auch der in seinem Ausmaß ungekannte Hack der US-Regierung durch vermutlich russische Angreifer war nur geglückt, weil man das auf die Sicherung von Netzwerken spezialisierte Unternehmen Solarwinds kompromittieren konnte.

Quellen: Google, Ars Technica

Hinweis: Dieser Artikel von Malte Mansholt erschien zuerst an dieser Stelle bei stern.de.