Nordkoreanische Hacker attackieren Deutschland

Die Nachrichtenagentur Reuters hatte Anfang August einen Bericht der Vereinten Nationen zur Meldung gemacht, in dem Nordkorea weitere Atomtests angekündigt hatte. Zur Finanzierung dieser Tests sind nordkoreanische Hackergruppierungen wie Andariel, APT38, Bluenoroff, Guardians of Peace, Kimsuky und Lazarus aktiv involviert mit Ransomware das nötige Geld von Unternehmen zu erpressen. Die angekündigten Tests sollten für westliche Unternehmen ein Alarmsignal sein, zumal darin Cyberangriffe als wichtige Finanzierungsquelle offen genannt werden.

Unsere Untersuchungen zeigen, dass die Erlöse aus cyberkriminellen Aktivitäten von berüchtigten Gruppen dazu verwendet werden, internationale Sanktionen in Nordkorea zu umgehen. Dieses Geld fließt direkt in Waffenprogramme. Und da die Entwicklung von Atomwaffen teuer ist, insbesondere angesichts der steigenden Inflation und des Absturzes von Kryptowährungen, sollten Unternehmen auf der Hut sein, dass die Demokratische Volksrepublik Korea jetzt zu Geld kommen will, um ihre Waffenprogramme zu finanzieren und die laufende Waffenentwicklung zu unterstützen.

Bereits Anfang Juli hatte das US-State Department die Belohnung zur Aufdeckung der Aktivitäten dieser Gruppen von 5 Millionen auf 10 Millionen US-Dollar verdoppelt. Der Vorgang zeigt, wie groß die Bedrohung durch diese Gruppen im Bereich der internationalen Cyberkriminalität geworden ist. Nachforschungen von Venafi zeigen, dass die Erlöse aus cyberkriminellen Aktivitäten von Gruppen wie Lazarus und APT38 – die beide vom US-Außenministerium benannt wurden – zur Umgehung internationaler Sanktionen in Nordkorea verwendet werden. Dieses Geld fließt direkt in Waffenprogramme, und die Cyberkriminalität ist zu einem wesentlichen Rädchen für das Überleben der Diktatur von Kim Jong Un geworden. Besorgniserregend ist hierbei, dass dieses Konzept auch von anderen Staaten nachgeahmt wird.

Code-Signing-Maschinenidentitäten als Schlüssel-Technologie

Eine Schlüsselkomponente der Angriffe des nordkoreanischen Staates sind Code-Signatur-Maschinenidentitäten, die zum Modus Operandi für viele seiner Cyberkriminellen geworden sind. Diese digitalen Zertifikate sind die Schlüssel zum Schloss und sichern die Kommunikation zwischen Maschinen aller Art, von Servern bis hin zu Anwendungen, Kubernetes-Clustern und Microservices. Unzählige Male konnte bereits festgestellt werden, wie nordkoreanische Hacker gestohlene Zertifikate nutzen, um auf Netzwerke zuzugreifen, bösartige Software als legitim auszugeben und so verheerende Angriffe auf die Lieferkette zu starten.

Bereits zuvor beobachtete Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation. Seit Januar 2020 haben nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, dem Vereinigten Königreich, der Ukraine und den Vereinigten Staaten angegriffen.

Einige Schätzungen gehen davon aus, dass sich die Gewinne aus cyberkriminellen Aktivitäten für Nordkorea auf bis zu 1 Milliarde US-Dollar pro Jahr belaufen könnten. Nach Angaben des UN-Sicherheitsrats fließen bereits 2 Milliarden US-Dollar direkt in das nordkoreanische Waffenprogramm.

Sporadische und opportunistische Versuche aus anderen Staaten wurden bereits gemeldet. Vom chinesischen Staat unterstützte APT-Gruppen wie APT27 und APT41 sind dafür bekannt, dass sie ihre Ziele mit Ransomware oder anderen Mitteln als Teil größerer Cyberspionage-Kampagnen zu Geld machen. In Russland deutet einiges darauf hin, dass die militärischen Cybereinheiten Russlands militärische Ressourcen und Infrastrukturen nutzen, um Geldflüsse und Gelder für korrupte Personen im Militär zu schaffen. Auch wenn diese höchstwahrscheinlich durch persönliche finanzielle Gewinne oder hobbymäßige Interessen motiviert sind und nicht Teil einer größeren nationalen Strategiepolitik sind, ist es möglicherweise nur eine Frage der Zeit, bis sie das nordkoreanische Modell übernehmen.

Gängige Methoden: Ransomware, Krypto-Mining und Krypto-Diebstahl

Die nordkoreanischen Cyber-Akteure unterstützen die Operationen mehrerer APT-Gruppen, die wahrscheinlich Malware und Ressourcen über das mit dem Militär verbundene „Reconnaissance General Bureau“ (RGB) austauschen, darunter die Lazarus Group, APT37, APT38 und Kimsuky, die dafür bekannt sind, dass sie mit gezielten und zerstörerischen Angriffen auf Unternehmen und Regierungen weltweit zielen. Einige der Gruppen konzentrieren sich fast ausschließlich auf die Entwicklung und Durchführung finanziell motivierter Kampagnen, die auf internationale Einrichtungen abzielen und Methoden wie Ransomware, Geldautomatenauszahlungen, Krypto-Mining und Kryptowährungs-Diebstahl und sogar Cyber-Banküberfälle einsetzen.

In einer im November 2020 veröffentlichten Kampagne verwendete die Lazarus Group gestohlene Code-Signatur-Zertifikate, um einen ausgeklügelten Supply-Chain-Angriff auf Nutzer von Finanzdienstleistungs- und Regierungswebsites in Südkorea durchzuführen. Lazarus, das seit 2009 aktiv ist und Berichten zufolge für den Angriff auf Sony Pictures Entertainment im Jahr 2014 verantwortlich war, nutzte gestohlene Code-Signing-Zertifikate von zwei legitimen südkoreanischen Sicherheitsunternehmen – eines davon wurde für die US-Niederlassung eines südkoreanischen Sicherheitsunternehmens ausgestellt – und führte einen neuartigen Angriff über die Lieferkette aus, bei dem es um eine Software ging, die für südkoreanische Nutzer erforderlich ist, wenn sie auf Bankwebseiten von Behörden oder Finanzdiensten zugreifen. Vorfälle wie der Sony-Hack von 2014 oder der 101-Millionen-Dollar-Raub auf die Bank von Bangladesch über das SWIFT-Bankensystem dienen als weitere Belege.

Fazit

Staatliche wie nichtstaatliche Organisationen sowie Unternehmen müssen weltweit zusammenarbeiten und Informationen über diese Angriffe austauschen. Dies ist der Schlüssel zum Aufbau von Wissen über die Bedeutung von Maschinenidentitäten für die Sicherheit. Die jüngsten Schritte der US-Regierung und die Veröffentlichung der Vereinten Nationen sind deshalb begrüßenswert, reichen jedoch nicht aus.