Jetzt ist es dokumentiert – die Malware-Varianten, welche die Regierung Nordkorea in ihren Cyberangriffen verwendetet, sind genau identifiziert. Die US-Regierung fasste sie unter dem Begriff Hidden Cobra zusammen und veröffentlichte die Liste zur Einsicht für alle.

Die CISA, das FBI und das Department of Defense haben die folgenden Malware-Varianten identifiziert, hieß es in einer Meldung am 14. Februar 2020. Es folgt eine Auflistung von sieben der am meisten verwendeten Bedrohungs-Software der Koreaner. Die Hidden Cobra Malware Varianten sind Hoplight, Bistromath, Slickshoes, Hotcroissant, Artfulpie, Buffetline und Crowdenflounder. Zu jeder Malware kann per Mausklick dann mehr erfahren werden. Beispielsweise die verwendeten kryptografischen Hashes, Dateinamen und andere technische Details der jeweiligen Schadsoftware.

Bistromath ist ein Trojaner, der Aufgaben durchführt wie Fernzugriffe, stellt Systemübersichten zur Verfügung, ermöglicht Uploads und -Downloads von Dateien, kann Prozesse und Befehle ausführen und sogar Mikrofone, Zwischenablagen und Bildschirme überwachen.

Bei Slickshoes handelt es sich um einen sogenannten „Dropper“. Er lädt ein „Beaconing-Implantat“ hoch, das genauso viele Features hat wie Bistromath.

Hotcroissant ist ein mit ähnlichen Funktionen ausgestattetes „Bake-Implantat“.

Artfulpie kann in Speichern das Herunterladen und Laden durchführen und DLL-Dateien von einer hartkodierten URL ausführen.

Buffetline kann genauso viel wie die zuvor genannten. Allerdings verwendet es ein gefälschtes HTTPS-Schema mit einer modifizierten RC4-Verschlüsselungschiffre zur Tarnung.

Crowdedflounder ist eine ausführbare Windows-Datei. Sie wird zum Entpacken und Ausführen eines Remote Access-Trojaners eingesetzt.

Etwas später kam dann noch Hoplight dazu. Die Malware ist eine Sammlung von 20 Dateien, die als Proxy-basierte Hintertür fungiert.

Am 15. April wurde dann ein weiterer Bericht veröffentlicht. Die CISA empfiehlt ihn als Lesestoff für alle Administratoren und Anwender. Der Malware Analyse Bericht soll als Ratgeber dienen und die von Nordkorea ausgehende Cyber-Bedrohungen nochmals hervorheben. Er zeigt insbesondere die Bedrohungen für den weltweiten Finanzsektor. Finanzinstitute und digitale Forex Unternehmen und die ausländische Medienbranche sind hauptsächliche Angriffsziele der von Korea staatlich geförderten Cyber-Akteure. Die Angreifer handeln nicht alleine. Sie arbeiten in Gruppen, die sich aus Hackern, Kryptologen und Software-Entwicklern zusammensetzen. Ihre Expertise sind Spionage und Cyber-Diebstahl Kampagnen.

Aufgelistet werden im Bericht zunächst die allgemein gängigen Taktiken zur illegalen Beschaffung von Finanzmitteln. Dazu zählen cybergestützter Finanzdiebstahl und Geldwäsche, Erpressungs-Kampagnen sowie die Übernahme von Rechnern zum Schürfen von Kryptowährung.

Anschaulich gemacht werden diese Taktiken dann durch eine recht detaillierte Auflistung der den Koreanern offiziell angelasteten Cyber-Aktivitäten. Er fängt an mit dem Angriff auf Sony Pictures im November 2014. Dann im Februar 2016 der Angriff auf die Bangladesh Bank und im Mai 2017 der Einsatz von WannaCry 2.0. Die WannaCry Erpresser-Software infizierte weltweit Hunderttausende von Rechnern in Krankenhäusern, Schulen, Unternehmen und privaten Bereichen. Auch mit ihrer FASTCash Campaign konnten die Hacker seit Ende 2016 Bargeld an Geldautomaten in 23 verschiedenen Ländern gleichzeitig abheben. Die Liste schließt mit dem digitalen Geldwechsel Hack im April 2018. Anschließend werden einige Schritte und Maßnahmen aufgeführt, um derartige Bedrohungen einzudämmen.

Die CISA listet auf einer separaten Seite das ganze Ausmaß der koreanischen Kampagnen auf zur vollständigen Übersicht. Darin heißt es: „Die Informationen, die in den folgenden Warnmeldungen und Malware Analysis Reports enthalten sind, sind das Ergebnis analytischer Bemühungen zwischen dem DOH, dem Verteidigungsministerium und dem FBI, um technische Details über die von Cyber-Akteuren der nordkoreanischen Regierung verwendeten Werkzeuge und Infrastrukturen zu liefern. Jeder Bericht enthält Beschreibungen der Malware, Vorschläge für Gegenmaßnahmen und empfohlene Eindämmungstechniken. Danach folgt die folgende Liste von Cyber-Aktivitäten:

• 14. Februar 2020: Malware Analysis Report (10265965-1.v1) – North Korean Trojan: BISTROMATH
• 14. Februar 2020: Malware Analysis Report (10265965-2.v1) – North Korean Trojan: SLICKSHOES
• 14. Februar 2020: Malware Analysis Report (10265965-3.v1) – North Korean Trojan: CROWDEDFLOUNDER
• 14. Februar 2020: Malware Analysis Report (10271944-1.v1) – North Korean Trojan: HOTCROISSANT
• 14. Februar 2020: Malware Analysis Report (10271944-2.v1) – North Korean Trojan: ARTFULPIE
• 14. Februar 2020: Malware Analysis Report (10271944-3.v1) – North Korean Trojan: BUFFETLINE
• 14. Februar 2020: Malware Analysis Report (10135536-8.v4) – North Korean Trojan: HOPLIGHT
  (Updates 31. Oktober 2019: Malware Analysis Report (10135536-8) – North Korean Trojan: HOPLIGHT, aktualisiert 10. April 2019: Malware Analysis Report (10135536-8) – North Korean Trojan: HOPLIGHT
• 09. September 2019: Malware Analysis Report (10135536-21) – North Korean Proxy Malware: ELECTRICFISH
  (Updates 09. Mai 2019: Malware Analysis Report (10135536-21) – North Korean Tunneling Tool: ELECTRICFISH)
• 09. September 2019: Malware Analysis Report (10135536-10) – North Korean Trojan: BADCALL
  (Updates 13. Februar 2018: Malware Analysis Report (MAR-10135536-G) – North Korean Trojan: BADCALL und STIX file for MAR-10135536-G)
• 02. Oktober 2018: Alert TA18-275A – HIDDEN COBRA FASTCash Campaign
• 02. Oktober 2018: Malware Analysis Report MAR-10201537 – HIDDEN COBRA FASTCash-Related Malware
• 09. August 2018: Malware Analysis Report (10135536-17) – North Korean Trojan: KEYMARBLE
• 14. Juni 2018: Malware Analysis Report (10135536-12) – North Korean Trojan: TYPEFRAME
• 29. Mai 2018: Alert: (TA18-149A) HIDDEN COBRA – Joanap Backdoor Trojan and Brambul Server Message Block Worm
• 29. Mai 2018: Malware Analysis Report (MAR-10135536-3) – HIDDEN COBRA RAT/Worm
• 28. März 2018: Malware Analysis Report (MAR-10135536.11) – North Korean Trojan: SHARPKNOT
  • STIX file for MAR-10135536.11
• 13. Februar 2018: Malware Analysis Report (MAR-10135536-F) – North Korean Trojan: HARDRAIN
  • STIX file for MAR-10135536-F
• 21. Dezember 2017: Malware Analysis Report (MAR-10135536) – North Korean Trojan: BANKSHOT
  • STIX file for MAR-10135536
• 14. November 2017: Alert (TA17-318A) HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL
• 14. November 2017: Alert (TA17-318B) HIDDEN COBRA – North Korean Trojan: Volgmer
• 23. August 2017: Malware Analysis Report (MAR-10132963) – Analysis of Delta Charlie Attack Malware
  • STIX file for MAR-10132963
• 13. Juni 2017: Alert (TA17-164A) HIDDEN COBRA – North Korea’s DDoS Botnet Infrastructure
• 12. Mai 2017: Alert (TA17-132A) Indicators Associated With WannaCry Ransomware

Siehe auch:

• Malware gegen Mitsubishi Electric eingesetzt
• Südkorea: Alles weg! Militärpläne von Hackern gestohlen
• RedDawn Malware spioniert Nordkoreas Überläufer aus
• FireEye entdeckt Nordkoreanische Spear-Phishing-Mails gegen US-Elektrounternehmen
• Südkorea plant Entwicklung von Cyber-Waffen für Einsatz gegen Nordkoreas nukleare Einrichtungen
• Hacker aus Nordkorea greifen Ziele in Südkorea an

Artikel von us-cert.gov, 14.02.2020: North Korean Malicious Cyber Activity
Artikel von us-cert.gov, 15.05.2020: North Korean Malicious Cyber Activity
Artikel von arstechnica.com, 14.02.2020: US government goes all in to expose new malware used by North Korean hackers
Artikel von cyberscoop.com, 14.02.2020: Pentagon, FBI, DHS jointly expose a North Korean hacking effort
Artikel von nextgov.com, 14.02.2020: CISA, FBI and DOD Issue Warning on North Korea-Linked Malware

Beitragsbild: Public Domain, Creative Commons CC0, Chickenonline über pixabay