Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch
Schwach-stellen

Software - Firmware

Zwei Millionen Schadprogramme 2016 enthüllt – Experten


WhatsApp Anfälligkeit zur israelischen Spyware installieren Benutzer aufgefordert, Upgrade



Hunderte von Millionen von PC-Komponenten haben immer noch hackbare Firmware
Identitätsdiebstahl: Sicherheitsforscher warnen vor grundlegender Lücke in LTE-Netzen

Eine Elite-Spionagegruppe nutzte 5 Zero-Days, um Nordkoreaner zu hacken

Diese Karte zeigt die globale Verbreitung von Zero-Day Hacking-Techniken
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Bot jagt Software-Bugs für das Pentagon
W i r e d

Eine Elite-Spionagegruppe nutzte 5 Zero-Days, um Nordkoreaner zu hacken
Südkorea ist ein Hauptverdächtiger für die Ausnutzung der geheimen Software-Schwachstellen in einer ausgeklügelten Spionagekampagne.

Südkorea ist ein Hauptverdächtiger für die Ausnutzung der geheimen Software-Schwachstellen in einer ausgeklügelten Spionagekampagne.

Andy Greenberg Sicherheit 26.03.2020 18:30 Uhr

Die meisten Nordkoreaner verbringen Sie nicht viel ihres Lebens vor einem Computer. Aber einige der wenigen Glücklichen, die es tun, wie es scheint, wurden im letzten Jahr von einem bemerkenswerten Arsenal an Hacking-Techniken getroffen – eine ausgeklügelte Spionage-Spree, die einige Forscher vermuten, dass Südkorea abgezogen haben könnte.
Cybersicherheitsforscher der Google Threat Analysis Group enthüllten am Donnerstag, dass eine ungenannte Gruppe von Hackern nicht weniger als fünf Zero-Day-Schwachstellenoder geheime hackbare Fehler in der Software nutzte, um Nordkoreaner und Nordkorea-orientierte Profis im Jahr 2019 ins Visier zu nehmen. Die Hacking-Operationen nutzten Fehler in Internet Explorer, Chrome und Windows mit Phishing-E-Mails, die bösartige Anhänge oder Links zu bösartigen Websites trugen, sowie so genannte Bewässerungsloch-Angriffe, die Malware auf den Maschinen der Opfer pflanzten, als sie bestimmte Websites besuchten, die gehackt worden waren, um Besucher über ihren Browser zu infizieren.
Google lehnte es ab, sich dazu zu äußern, wer für die Angriffe verantwortlich sein könnte, aber die russische Sicherheitsfirma Kaspersky teilt WIRED mit, dass googles Erkenntnisse mit DarkHotel verknüpft wurden, einer Gruppe, die in der Vergangenheit Nordkoreaner ins Visier genommen hat und verdächtigt wird, im Auftrag der südkoreanischen Regierung zu arbeiten.

"Es ist wirklich beeindruckend. Es zeigt ein Niveau der operativen Politur."
Dave Aitel, Infiltrat
Südkoreaner, die einen Gegner aus dem Norden ausspionieren, der häufig mit dem Abschuss von Raketen über die Grenze droht, ist nicht unerwartet. Aber die Fähigkeit des Landes, innerhalb eines Jahres fünf Zero-Day in einer einzigen Spionagekampagne zu verwenden, stellt ein überraschendes Maß an Raffinesse und Ressourcen dar. "So viele Zero-Day-Exploits vom selben Akteur in relativ kurzer Zeit zu finden, ist selten", schreibt Google TAG-Forscher Toni Gidwani im Blogeintrag des Unternehmens. "Die meisten Ziele, die wir beobachteten, stammten aus Nordkorea oder Einzelpersonen, die an Nordkorea-bezogenen Themen arbeiteten." In einer Folge-E-Mail stellte Google klar, dass eine Teilmenge der Opfer nicht nur aus Nordkorea, sondern aus dem Land stammte – was darauf hindeutet, dass es sich bei diesen Zielen nicht um nordkoreanische Überläufer handelte, die das nordkoreanische Regime häufig ins Visier nimmt.

Wenige Stunden nachdem Google die Zero-Day-Schwachstellen mit Angriffen auf Nordkoreaner verknüpft hatte, konnte Kaspersky zwei der Sicherheitsanfälligkeiten – eine in Windows, eine in Internet Explorer – mit denen in Verbindung bringen, die es speziell an DarkHotel gebunden hat. Die Sicherheitsfirma hatte zuvor gesehen, dass diese Fehler ausgenutzt wurden, um bekannte DarkHotel-Malware auf den Computern ihrer Kunden zu pflanzen. (Diese DarkHotel-verknüpften Angriffe traten auf, bevor Microsoft seine Fehler gepatcht hat, sagt Kaspersky, was darauf hindeutet, dass DarkHotel nicht nur die Sicherheitsanfälligkeiten einer anderen Gruppe wiederverwendet.) Da Google alle fünf Zero-Day einer einzigen Hackergruppe zugeschrieben hat, "ist es sehr wahrscheinlich, dass alle mit DarkHotel verwandt sind", sagt Costin Raiu, der Leiter des Global Research & Analysis Teams von Kaspersky.
Raiu weist darauf hin, dass DarkHotel eine lange Geschichte des Hackens nordkoreanischer und chinesischer Opfer hat, mit einem Schwerpunkt auf Spionage. "Sie sind daran interessiert, Informationen wie Dokumente, E-Mails und so ziemlich jede Menge Daten von diesen Zielen zu erhalten", fügt er hinzu. Raiu lehnte es ab, darüber zu spekulieren, welche Regierung hinter der Gruppe stehen könnte. DarkHotel wird jedoch weithin verdächtigt, im Auftrag der südkoreanischen Regierung zu arbeiten, und der Council on Foreign Relations nennt DarkHotels mutmaßlichen Staatssponsor als Republik Korea.
Die Hacker von DarkHotel sollen mindestens seit 2007 aktiv gewesen sein, aber Kaspersky gab der Gruppe 2014 ihren Namen, als sie entdeckte, dass die Gruppe Hotel-WLAN-Netzwerke kompromittiert, um auf der Grundlage ihrer Zimmernummern gezielt Angriffe auf bestimmte Hotelgäste durchzuführen. In den letzten drei Jahren, Raiu sagt, Kaspersky hat DarkHotel mit drei Null-Tag-Schwachstellen jenseits der fünf jetzt mit der Gruppe verbunden gefunden, basierend auf Googleblog-Post. "Sie sind wahrscheinlich einer der Akteure, der der einfallsreichste der Welt ist, wenn es darum geht, Zero-Day Tage einzusetzen", sagt Raiu. "Sie scheinen all diese Dinge im eigenen Haus zu tun, ohne Code aus anderen Quellen zu verwenden. Es sagt viel über ihre technischen Fähigkeiten aus. Sie sind sehr gut."


https://www.wired.com/story/north-korea-hacking-zero-days-google/