Die Hackergruppe Dark Seoul aus Südkorea besteht schon seit mindestens 2009 und hat in den letzten Wochen und Monaten ihre Aktivitäten verstärkt und ausgebaut. Die sehr gut organisierte kriminelle Vereinigung hat sich auf das „Auslöschen“ ganzer Computernetzwerke spezialisiert.

Durch lange Planungszeiten, komplexe Strategien und gut koordinierte Angriffe war es der Organisation schon im März gelungen, südkoreanische Banken und Nachrichtensender erfolgreich zu hacken und außer Kraft zu setzen.

Forscher haben nun herausgefunden, dass die Gruppe dazu unter anderem einen Trojaner verwendete, der Jokra genannt wird. Dieser greift Linux-Maschinen an und überschreibt deren Master Boot Records (MBR) und alle Daten, die darin gespeichert sind.

Außerdem kam heraus, dass die Gruppe den Downloader Castov verwendet. Mit diesem konnte sie im Mai einen Angriff auf die koreanischen Finanzinstitute sowie einen Datenraub von der koreanischen Regierung durchführen.

Es konnte bis jetzt noch nicht herausgefunden werden, von wo aus die Gruppe Dark Seoul operiert, ein politischer Hintergrund scheint jedoch möglich. So wurde am 60. Jahrestag des Koreakriegs ein DDoS-Angriff auf eine Internetseite der südkoreanischen Regierung verübt.

Um die Angriffe in einer solch strukturierten und organisierten Weise durchzuführen wie Dark Seoul, ist einiges an Vorbereitung nötig. Die Gruppe hatte sich vor den Angriffen Zugriff zu den Systemen ihrer Ziele verschafft und konnte so deren Sicherheitsprozesse beobachten und auf Schwachstellen untersuchen. Diese wurden dann ausgenutzt, um Daten zu stehlen oder sogar zu löschen.

Zum Beispiel konnten die Hacker herausfinden, wann und wie die Sicherheitsupdates einer Firma herausgegeben wurden. Diese wurden dann so verändert, dass jeder Computer in der Organisation mit einer Malware beliefert wurde. Mit dieser konnten die Hacker die infizierten Systeme so mit Anfragen überladen, dass viele Internetseiten gleichzeitig nicht mehr zugänglich waren.

Aufgrund moderner Verschlüsselung wird es immer schwieriger herauszufinden, wer hinter den Angriffen steckt. Während in der Vergangenheit Cyberangriffe meist dazu genutzt wurden, Daten auszuspionieren und zu stehlen, geht in diesem Fall der Trend in die Richtung, ganze Organisationen, Server und Datensätze zu löschen, stillzulegen oder in einer sonstigen Weise zu schädigen.

Artikel von arstechnica.com, 28.06.2013: Hard drive-wiping malware part of new wave of threats targeting South Korea
Artikel von scmagazine.com, 28.06.2013: Research sheds light on „Dark Seoul“ sabotage gang