+43 699 / 18199463
office@itexperst.at
Flagge Nordkorea

Hidden Cobra – US-Behörden veröffentlichen Nordkoreas Cyber-Arsenal

Jetzt ist es dokumentiert – die Malware-Varianten, welche die Regierung Nordkorea in ihren Cyberangriffen verwendetet, sind genau identifiziert. Die US-Regierung fasste sie unter dem Begriff Hidden Cobra zusammen und veröffentlichte die Liste zur Einsicht für alle.

Die CISA, das FBI und das Department of Defense haben die folgenden Malware-Varianten identifiziert, hieß es in einer Meldung am 14. Februar 2020. Es folgt eine Auflistung von sieben der am meisten verwendeten Bedrohungs-Software der Koreaner. Die Hidden Cobra Malware Varianten sind Hoplight, Bistromath, Slickshoes, Hotcroissant, Artfulpie, Buffetline und Crowdenflounder. Zu jeder Malware kann per Mausklick dann mehr erfahren werden. Beispielsweise die verwendeten kryptografischen Hashes, Dateinamen und andere technische Details der jeweiligen Schadsoftware.

Bistromath ist ein Trojaner, der Aufgaben durchführt wie Fernzugriffe, stellt Systemübersichten zur Verfügung, ermöglicht Uploads und -Downloads von Dateien, kann Prozesse und Befehle ausführen und sogar Mikrofone, Zwischenablagen und Bildschirme überwachen.

Bei Slickshoes handelt es sich um einen sogenannten „Dropper“. Er lädt ein „Beaconing-Implantat“ hoch, das genauso viele Features hat wie Bistromath.

Hotcroissant ist ein mit ähnlichen Funktionen ausgestattetes „Bake-Implantat“.

Artfulpie kann in Speichern das Herunterladen und Laden durchführen und DLL-Dateien von einer hartkodierten URL ausführen.

Buffetline kann genauso viel wie die zuvor genannten. Allerdings verwendet es ein gefälschtes HTTPS-Schema mit einer modifizierten RC4-Verschlüsselungschiffre zur Tarnung.

Crowdedflounder ist eine ausführbare Windows-Datei. Sie wird zum Entpacken und Ausführen eines Remote Access-Trojaners eingesetzt.

Etwas später kam dann noch Hoplight dazu. Die Malware ist eine Sammlung von 20 Dateien, die als Proxy-basierte Hintertür fungiert.

Am 15. April wurde dann ein weiterer Bericht veröffentlicht. Die CISA empfiehlt ihn als Lesestoff für alle Administratoren und Anwender. Der Malware Analyse Bericht soll als Ratgeber dienen und die von Nordkorea ausgehende Cyber-Bedrohungen nochmals hervorheben. Er zeigt insbesondere die Bedrohungen für den weltweiten Finanzsektor. Finanzinstitute und digitale Forex Unternehmen und die ausländische Medienbranche sind hauptsächliche Angriffsziele der von Korea staatlich geförderten Cyber-Akteure. Die Angreifer handeln nicht alleine. Sie arbeiten in Gruppen, die sich aus Hackern, Kryptologen und Software-Entwicklern zusammensetzen. Ihre Expertise sind Spionage und Cyber-Diebstahl Kampagnen.

Aufgelistet werden im Bericht zunächst die allgemein gängigen Taktiken zur illegalen Beschaffung von Finanzmitteln. Dazu zählen cybergestützter Finanzdiebstahl und Geldwäsche, Erpressungs-Kampagnen sowie die Übernahme von Rechnern zum Schürfen von Kryptowährung.

Anschaulich gemacht werden diese Taktiken dann durch eine recht detaillierte Auflistung der den Koreanern offiziell angelasteten Cyber-Aktivitäten. Er fängt an mit dem Angriff auf Sony Pictures im November 2014. Dann im Februar 2016 der Angriff auf die Bangladesh Bank und im Mai 2017 der Einsatz von WannaCry 2.0. Die WannaCry Erpresser-Software infizierte weltweit Hunderttausende von Rechnern in Krankenhäusern, Schulen, Unternehmen und privaten Bereichen. Auch mit ihrer FASTCash Campaign konnten die Hacker seit Ende 2016 Bargeld an Geldautomaten in 23 verschiedenen Ländern gleichzeitig abheben. Die Liste schließt mit dem digitalen Geldwechsel Hack im April 2018. Anschließend werden einige Schritte und Maßnahmen aufgeführt, um derartige Bedrohungen einzudämmen.

Die CISA listet auf einer separaten Seite das ganze Ausmaß der koreanischen Kampagnen auf zur vollständigen Übersicht. Darin heißt es: „Die Informationen, die in den folgenden Warnmeldungen und Malware Analysis Reports enthalten sind, sind das Ergebnis analytischer Bemühungen zwischen dem DOH, dem Verteidigungsministerium und dem FBI, um technische Details über die von Cyber-Akteuren der nordkoreanischen Regierung verwendeten Werkzeuge und Infrastrukturen zu liefern. Jeder Bericht enthält Beschreibungen der Malware, Vorschläge für Gegenmaßnahmen und empfohlene Eindämmungstechniken. Danach folgt die folgende Liste von Cyber-Aktivitäten:

Siehe auch:

Artikel von us-cert.gov, 14.02.2020: North Korean Malicious Cyber Activity
Artikel von us-cert.gov, 15.05.2020: North Korean Malicious Cyber Activity
Artikel von arstechnica.com, 14.02.2020: US government goes all in to expose new malware used by North Korean hackers
Artikel von cyberscoop.com, 14.02.2020: Pentagon, FBI, DHS jointly expose a North Korean hacking effort
Artikel von nextgov.com, 14.02.2020: CISA, FBI and DOD Issue Warning on North Korea-Linked Malware

Beitragsbild: Public Domain, Creative Commons CC0, Chickenonline über pixabay

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen