Nordkoreas Hackern auf der Spur

Fast wie bei James Bond: Proofpoint, Inc. hat eine ausführliche Analyse der Aktivitäten einer Gruppe von Cyberkriminellen veröffentlicht. Es handelt sich um TA406 (Threat Actor 406), eine Gruppe, die vermutlich sehr enge Beziehungen zum nordkoreanischen Regime unterhält. In der Vergangenheit war TA406 vornehmlich in Sachen Spionage unterwegs, hat aber 2021 sein Angriffsportfolio um andere kriminelle Taktiken wie Sextorsion ergänzt. Die von Proofpoint als TA406 bezeichnete Gruppe wird in der Öffentlichkeit oft Kimsuky, Thallium und Konni Group genannt.

Meistens ist über cyberkriminelle Gruppen (Threat Actor) wenig bekannt, ausführliche Analysen und Vorgehensweise unterliegen oft der Vertraulichkeit, um diese Gruppen möglichst darüber im Unklaren zu lassen, was Sicherheitsunternehmen und Ermittlungsbehörden bereits über sie wissen. Jetzt hat Proofpoint eine Ausnahme gemacht und eine ausführliche Analyse von TA406 veröffentlicht. Das US-Cybersecurity-Unternehmen hat dabei festgestellt, dass sich TA406 in drei Sparten krimineller Aktivitäten engagiert: Betrug, Spionage und Diebstahl. Vom kriminellen Erfolg der Gruppe dürften neben den Mitgliedern vor allem staatliche Einrichtungen Nordkoreas profitieren.

Proofpoint beobachtet die Gruppe bereits seit 2018. Ihr Schwerpunkt liegt auf dem Diebstahl von Anmeldedaten für Lösungen und Systeme in Bildungseinrichtungen, Regierungsstellen, Medien und anderen Organisationen.

Ähnlich wie die Gruppe, die als „Lazarus“ bezeichnet wird, hat sich der Name „Kimsuky“ zu einem Sammelbegriff für eine Vielzahl von Aktivitäten entwickelt. Die Einblicke in das Verhalten und die Muster der Angriffe ermöglichen es Proofpoint, Kimsuky genauer in drei verschiedene Gruppen von Bedrohungsakteuren (TA406, TA408 und TA427) und mehrere nicht identifizierte Akteure zu unterteilen.

Bis vor kurzem waren dabei die Kampagnen von TA406 eher von geringem Volumen, das heißt die Zahl der betrügerischen E-Mails eher gering. Außerdem setzt die Gruppe normalerweise keine Malware in Kampagnen ein. Bei zwei Kampagnen im Jahr 2021, die dieser Gruppe zugeschrieben werden, hat sie jedoch versucht, Malware zu verbreiten, die zum Sammeln von Informationen verwendet werden kann. Außerdem beobachtete Proofpoint von Januar bis Juni 2021 fast wöchentliche Kampagnen von TA406, die auf außenpolitische Experten, Journalisten und Nichtregierungsorganisationen (NGOs) abzielten.

Proofpoint geht davon aus, dass dieser Bedrohungsakteur weiterhin häufig den Diebstahl von Zugangsdaten für Unternehmen durchführen wird. Ziel sind dabei vornehmlich Einrichtungen, die für die nordkoreanische Regierung von Interesse sind.

Wie die Kriminellen arbeiten, welche Werkzeuge, Techniken und Technologien sie einsetzen, die zeitliche Verteilung der Attacken und vieles mehr ist der ausführlichen Analyse zu entnehmen.