FallChill: US-Regierung warnt vor staatlicher Malware aus Nordkorea

Es handelt sich um ein Remote Administration Tool (RAT). Damit lassen sich Dateien lesen, schreiben und löschen und auch Prozesse ausführen. FallChill ist allerdings nur ein Teil einer als Hidden Cobra bezeichneten größeren Kampagne von nordkoreanischen Hackern.

Das US-CERT hat eine Sicherheitswarnung für ein Remote Administration Tool (RAT) namens FallChill herausgegeben, das die nordkoreanische Regierung für Angriffe auf Einrichtungen in den USA einsetzen soll. Entdeckt wurde die Malware demnach vom Department of Homeland Security (DHS) und der Bundespolizei Federal Bureau of Investigation (FBI). Beide Behörden identifizierten demnach IP-Adressen und Hinweise auf eine Kompromittierung, die FallChill zugeordnet werden.

Flagge von Nordkorea (Bild: Public Domain)An den Ermittlungen waren auch nicht näher genannte „vertrauenswürdige“ Dritte beteiligt. Demnach soll Nordkorea FallChill schon seit 2016 nutzen, um Luftfahrtunternehmen, Telekommunikationsanbieter und den Finanzsektor anzugreifen. „Die Malware ist ein voll funktionsfähiges Remote Administration Tool mit mehreren Befehlen, die die Hintermänner von einem Befehlsserver aus an das System eines Opfer schicken“, heißt es in der Meldung.

FallChill ordnen die Ermittler einer Hidden Cobra genannten Kampagne zu, in deren Verlauf weitere Schadsoftware eingesetzt wurde, unter anderem, um FallChill in die Systeme der Ziele einzuschleusen. Von daher sei nicht ausgeschlossen, dass sich auf mit FallChill verseuchten Systemen weitere Malware befinde.

Die Kommunikation zwischen den infizierten Systemen der Opfer und den Befehlsservern sollen mehrere Proxy-Server verschleiern, die Daten per RC4 verschlüsselt austauschen. Unter anderem werden dabei grundlegende Systeminformationen ausgelesen und übermittelt wie Betriebssystem, Prozessor, lokale IP-Adresse und MAC-Adresse. Darüber hinaus ist FallChill in der Lage, Details zu allen installierten Festplatten auszulesen, neue Prozesse zu starten, Dateien zu lesen, zu schreiben und auszuführen, den Zeitstempel von Datein und Verzeichnissen zu verändern sowie Malware zu löschen.

Darüber hinaus enthält die Sicherheitswarnung Netzwerksignaturen und host-basierte Regeln, mit denen sich Aktivitäten der Hidden-Cobra-Kampagne erkennen lassen. Weder die Signaturen noch die Regeln seien jedoch als alleiniges Kriterium für die Erkennung gefährlicher Aktivitäten geeignet.

Das US-CERT weist auch darauf hin, dass eine Infektion mit der Schadsoftware zu einem vorübergehenden oder gar dauerhaften Verlust von vertraulichen und proprietären Informationen führen kann. Auch eine Unterbrechung des regulären Geschäftsbetriebs sei nicht ausgeschlossen. Daraus könnten für Unternehmen finanzielle Verluste sowie eine Rufschädigung resultieren.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

[mit Material von Stephanie Condon, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Federal Bureau of Investigation, Malware, Politik, Security, Sicherheit, U.S. Department of Homeland Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu FallChill: US-Regierung warnt vor staatlicher Malware aus Nordkorea

Kommentar hinzufügen
  • Am 15. November 2017 um 18:45 von Oliver

    Bei so wenigen Computern in Nord-Korea bezweifle ich, dass die selbst genügend gute Schadsoftwareentwickler haben. Für wahrscheinlicher halte ich, dass die solche Software von China, Russland oder dem CIA haben. Letzteres deshalb weil es für mich so aussieht als ob mache Kreise in den USA ein Krieg gegen Nord-Korea wollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *