McAfee: Cyberangriff auf Südkorea war Teil einer vierjährigen Spionagekampagne

Die Angriffe zielten auf den Diebstahl von militärischen Geheimnissen. Die eingesetzte Malware konnte nach gelungenem Ausspähen Daten löschen und weiteren Schaden anrichten. Höhepunkt der Kampagne war die Angriffswelle "Dark Seoul" im März dieses Jahres.

McAfee hat einen umfangreichen Bericht (PDF) über jahrelange Cyberangriffe auf Südkorea vorgelegt. Das Sicherheitsunternehmen kommt darin zu dem Schluss, dass zwischen 2009 und 2013 erfolgte Attacken einer langfristigen Spionagekampagne zuzuordnen sind.

Cyberangriff

Die zunächst als „Operation Troy“ bezeichnete Kampagne zielte laut McAfee vor allem auf den Diebstahl sensibler militärischer Daten. Sie kulminierte in einer äußerst massiven Angriffswelle im März 2013, die mit dem Begriff „Dark Seoul“ verbunden wurde. Sie beeinträchtigte angeblich 30.000 Systeme, die Regierungsbehörden, Banken und TV-Sendern gehörten.

Die Sicherheitsforscher stellten bei den Angriffen übereinstimmende Infektionswege, Dateibezeichnungen, Programmpfade und Verschleierungsmethoden fest. Sie schlossen daraus, dass die beiden angeblich verantwortlichen Hackergruppen – „New Romanic Cyber Army Team“ und „Whois Hacking Team“ – vermutlich nur vorgetäuscht waren. Tatsächlich handle es sich wohl um eine einzige Gruppe, deren Auftraggeber aber nicht eindeutig zu identifizieren war. Die südkoreanische Regierung beschuldigte schon zuvor Nordkorea, hinter den Cyberangriffen zu stehen.

Die von McAfee analysierte Malware 3Rat war in der Lage, befallene PC-Systeme automatisch mit militärischen Schlüsselbegriffen in englischer und koreanischer Sprache nach Dokumenten zu durchforsten. Anschließend verschlüsselte sie die gefundenen Dateien und übertrug sie auf fremde Server.

„Diese Fähigkeit kann sich besonders verheerend auswirken, sofern militärische Netzwerke gelöscht werden, nachdem ein Gegenspieler Informationen gesammelt hat“, heißt es in dem Bericht. Genau das habe sich bei „Dark Seoul“ bewahrheitet, bei dem der 3Rat-Trojaner sich Zugriff verschaffte und dann den Master Boot Record (MBR) löschte. „McAfee Labs kann Dark Seoul und andere Angriffe auf Regierungssysteme auf eine verdeckte und langfristige Kampagne zurückführen“, lautet das Fazit der Sicherheitsforscher. Ziel der Angriffe sei es gewesen, Südkoreas „militärisches und Regierungshandeln auszuspähen“ und gleichzeitig Schaden für das Land zu verursachen.

[mit Material von Ellyne Phneah, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Hacker, McAfee, Politik

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu McAfee: Cyberangriff auf Südkorea war Teil einer vierjährigen Spionagekampagne

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *