Nordkorea nimmt medizinische Forschungs- und Technologieeinrichtungen ins Visier 

Sicherheitsforscher von WithSecure (früher bekannt als F-Secure Business) registrierten Ende letzten Jahres einen großangelegten Cyberangriff, den sie einem bekannten Bedrohungsakteur zuordnen konnten. Aufgrund eines operativen Sicherheitsfehlers konnte der Angriff mit der nordkoreanischen Lazarus Group in Verbindung gebracht werden.

Bei der Lazarus Group handelt es sich um einen Bedrohungsakteur, von dem allgemein angenommen wird, dass er zum nordkoreanischen Foreign Intelligence and Reconnaissance Bureau gehört. Forscher entdeckten den jüngsten Angriff, nachdem ein mutmaßlicher Ransomware-Angriff auf ein Unternehmen entdeckt wurde, das durch die Cloud-native Sicherheitsplattform WithSecure Elements geschützt ist.

Bei der Untersuchung des Angriffs fanden die Sicherheitsforscher von WithSecure weitere Beweise, die darauf hindeuteten, dass es sich bei dem Angriff nicht um einen Ransomware-Vorfall, sondern um eine größere Aufklärungskampagne handelte. Anhand der gesammelten Beweise konnten die Forscher die Kampagne mit der Lazarus Group in Verbindung bringen, die es auf medizinische Forschungseinrichtungen und Unternehmen im Energiesektor abgesehen hatte, mit dem Ziel, um Spionage zu betreiben.

Zu den identifizierten spezifischen Zielen der Angriffe gehörten eine Forschungseinrichtung im Gesundheitswesen, ein Hersteller von Technologien, die in den Bereichen Energie, Forschung, Verteidigung und Gesundheitswesen eingesetzt werden, sowie die chemisch-technische Abteilung einer führenden Forschungsuniversität.

„Zunächst wurde vermutet, dass es sich um einen versuchten BianLian-Ransomware-Angriff handelt, doch die von uns gesammelten Beweise wiesen schnell in eine andere Richtung. Und je mehr Beweise wir sammelten, desto sicherer wurden wir, dass der Angriff von einer Gruppe durchgeführt wurde, die mit der nordkoreanischen Regierung in Verbindung steht, was uns schließlich zu der Überzeugung brachte, dass es sich um die Lazarus Group handelte“, sagte Sami Ruohonen, Senior Threat Intelligence Researcher bei WithSecure.

„Während unserer Untersuchung stellten wir fest, dass es sich um einen Teil eines größeren Angriffs mit erweiterten Zielen handelte und nicht nur um einen einzelnen Vorfall. Es ist äußerst ungewöhnlich, dass wir einen Angriff so eindeutig mit einem Täter in Verbindung bringen können, wie es hier der Fall war", fügte Stephen Robinson, Senior Threat Intelligence Analyst bei WitrhSecure hinzu.

Die Sicherheitsforscher konnten den Angriff mit der Lazarus Group in Verbindung bringen, da sie Taktiken, Techniken und Verfahren verwendet, die bei früheren Angriffen der Gruppe und anderer regierungsnahen Angreifer eingesetzt wurden.

Die Sicherheitsforscher stellten mehrere bemerkenswerte Entwicklungen in dieser Kampagne im Vergleich zu früheren Aktivitäten der Lazarus Group fest, darunter:

• Die Verwendung einer neuen Infrastruktur, einschließlich der Verwendung von IP-Adressen ohne Domain-Namen (im Gegensatz zu früheren Angriffen).
• Eine modifizierte Version der Dtrack-Malware zum Diebstahl von Informationen, die von der Lazarus Group und Kimsuky (einer anderen Gruppe, die mit Nordkorea in Verbindung gebracht wird) bei früheren Angriffen verwendet wurde.
• Eine neue Version der GREASE-Malware, die es Angreifern ermöglicht, neue Administratorkonten mit Remote-Desktop-Protokoll-Rechten zu erstellen und so Firewalls zu umgehen.

Ein bemerkenswertes Beweisstück war, dass die Angreifer eine nordkoreanische IP-Adressen nutzten. Bemerkenswert deshalb, da es nur wenige Tausend in Nordkorea gibt. Diese IP-Adresse wurde dabei beobachtet, wie sie für kurze Zeit eine Verbindung zu einer vom Angreifer kontrollierten Webshell herstellte, was die Sicherheitsforscher zu der Vermutung veranlasste, dass es sich um einen manuellen Fehler eines Mitglieds der Gruppe handeln musste.

Fehler wie dieser sollten von Sicherheitsverantwortlichen jedoch nicht als Grund missverstanden werden, ihre Wachsamkeit zu verringern, so Tim West, Head of Threat Intelligence bei WithSecure:

„Trotz der Opsec-Fehlschläge hat der Akteur gutes Geschick bewiesen und es dennoch geschafft, überlegte Aktionen auf sorgfältig ausgewählten Endpoints durchzuführen. Selbst mit präziser Endpoint Detection müssen Unternehmen ständig evaluieren, wie sie auf Warnungen reagieren, und gezielte Bedrohungsdaten in die regelmäßige Suche integrieren, um eine bessere Sicherheit in der Tiefe zu gewährleisten, insbesondere gegen fähige und geschickte Angreifer“, sagt er. 

Die vollständige Studie ist jetzt kostenlos verfügbar unter: https://labs.withsecure.com/publications/No-Pineapple-DPRK-Targeting-of-Medical-Research-and-Technology-Sector

WithSecure™ Deutschland
Berk Kutsal
Tel.: +491795474353
E-Mail: berk.kutsal@withsecure.com