29.09.2023 11:35 | ESET Deutschland GmbH | Netzwelt
3 00,00 0 Bewertung(en) Bewertung schreiben
3 00,00 0 Bewertung(en) Bewertung schreiben
Nordkoreanische Hackergruppe attackiert spanisches Luft- und Raumfahrtunternehmen
Jena (ots) -
Die Lazarus-Gruppe, eine der vermutlich größten Hacker-Gruppen der Welt, ist wieder aktiv geworden. Wie ESET Forscher herausgefunden haben, griffen die nordkoreanischen Cyberkriminellen im vergangenen Jahr ein Luft- und Raumfahrtunternehmen in Spanien an. Dabei gaben sie sich als Recruiter des Facebook-Mutterkonzerns Meta aus und verschafften sich über Mitarbeiter Zugriff auf das Netzwerk des Unternehmens. Mit solchen Attacken wollen die Hacker an technologisches Know-how aus der Branche gelangen - Informationen, die das international geächtete Nordkorea dringend für sein Raketenprogramm braucht.
"Lazarus tritt immer wieder in Erscheinung. Der aktuelle Fall zeigt, dass Nordkorea keine Kosten und Mühen scheut, um an Forschungsdaten aus der Luft- und Raumfahrt zu gelangen und sein eigenes militärisches Raketenprogramm weiter voranzutreiben", erklärt ESET Forscher Peter Kálnai, der den Angriff entdeckt hat.
Alles beginnt mit einer LinkedIn-Anfrage
Im vergangenen Jahr erhielten mehrere Mitarbeiter über das Business-Netzwerk LinkedIn eine Nachricht von angeblichen Personalbeschaffern von Meta. Eine Anstellung beim Konzern, der hinter Facebook, Instagram und WhatsApp steht, ist meist gut bezahlt und mit hohem Prestige verbunden. Die Hoffnung auf einen Job bei Meta nutzten die Hacker aus: Nach einem kurzen Smalltalk gaben sie ihren Opfern zwei Coding Challenges. Dabei handelt es sich um Programmieraufgaben, bei denen IT-Profis ihr Talent unter Beweis stellen, im aktuellen Fall Kenntnisse in der Programmiersprache C++. Die beiden Challenges sind angeblich Teil des offiziellen Einstellungsprozesses.
"Hello World" und Fibonacci
Um die beiden Aufgaben zu lösen, mussten die Angesprochenen zwei Dateien ausführen, Quiz1.exe und Quiz2.exe. Bei ersterem handelte es sich um ein "Hello World"-Programm, dessen einzige Aufgabe darin bestand, "Hello World" zu schreiben. Angehende Programmierer entwickeln solche Programme zu Beginn ihrer Ausbildung, um sich mit verschiedenen Programmiersprachen vertraut zu machen. Die zweite Datei stellte eine Fibonacci-Folge dar, eine festgelegte Zahlenfolge, die sich unendlich fortsetzt und bei der jede Zahl die Summe der beiden vorherigen Zahlen ist (0, 1, 1, 2, 3, 5, 8, 13 usw.).
Für erfahrene Programmierer sind solche Programme ein Witz. Führten sie sie allerdings aus, hatten die Hacker ihr Ziel erreicht: Die beiden Dateien luden die eigentlichen Schadprogramme nach.
Neue Tarnkappen-Backdoor aktiv
Unter den verschiedenen Schadprogrammen, die die Mitarbeiter unwissentlich auf ihren Dienstgeräten installierten, befand sich auch eine bis dato unbekannte und hochentwickelte Backdoor ("LightlessCan"). Sie ahmt die Funktionalität von nativen Windows-Befehlen nach. Der Vorteil bei dieser Methode: Anstatt Befehle auffällig über die Eingabekonsole von Windows auszuführen, findet die gesamte Arbeit "unter der Haube" statt. Hierdurch tarnt sich das Programm und macht es schwer, seine Aktivitäten zu erkennen und zu analysieren.
Ein weiterer Schutzmechanismus verschleierte die Aktivitäten zusätzlich: Die Hacker stellten sicher, dass die von Quiz1.exe und Quiz2.exe nachgeladenen Schadprogramme nur auf dem Rechner des Opfers entschlüsselt werden konnten. So sollten beispielsweise Sicherheitsforscher nicht darauf zugreifen können. Hiermit versuchten die Cyberkriminelle sowohl die Erkennung als auch die Auswertung ihres Angriffs zu erschweren.
"Die Art und Weise, wie Lazarus bei seinen Angriffen vorgeht, zeigt den hohen Professionalisierungsgrad der Gruppe", sagt Peter Kálnai. "Spear Phishing gehört aufgrund der hohen Erfolgsquote zu den beliebtesten Werkzeugen von Hackern. Unternehmen sollten daher ihre Mitarbeiter regelmäßig über die Gefahren aufklären und gleichzeitig geeignete IT-Sicherheitslösungen verwenden."
Lazarus' regelmäßige Wiederauferstehung
Die Lazarus-Gruppe, auch bekannt als HIDDEN COBRA, ist eine nordkoreanische Cyberspionage-Gruppe und mindestens seit 2009 aktiv. Die Vielfalt, die Anzahl und die Exzentrizität ihrer Kampagnen sind kennzeichnend für diese Gruppe. Sie deckt alle drei Säulen der Cyberkriminalität ab: Cyberspionage, Cybersabotage und Raub. Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für mit Nordkorea verbündete APT-Gruppen. Das Land hat bereits mehrere Raketentests durchgeführt, die gegen Resolutionen des Sicherheitsrates der Vereinten Nationen verstoßen.
Weitere technische Informationen über Lazarus, seinen jüngsten Angriff und die LightlessCan-Backdoor finden Sie in dem Blogbeitrag "Lazarus lockt Mitarbeiter mit trojanisierten Programmieraufgaben: Der Fall eines spanischen Luft- und Raumfahrtunternehmens" auf WeLiveSecurity (https://www.welivesecurity.com/de/eset-research/lazarus-lockt-mitarbeiter-mit-trojanisierten-programmieraufgaben-der-fall-eines-spanischen-luft-und-raumfahrtunternehmens/). ESET Research wird die Ergebnisse dieses Angriffs auf der Virus Bulletin Konferenz in London am 4. Oktober 2023 vorstellen.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell
Die Lazarus-Gruppe, eine der vermutlich größten Hacker-Gruppen der Welt, ist wieder aktiv geworden. Wie ESET Forscher herausgefunden haben, griffen die nordkoreanischen Cyberkriminellen im vergangenen Jahr ein Luft- und Raumfahrtunternehmen in Spanien an. Dabei gaben sie sich als Recruiter des Facebook-Mutterkonzerns Meta aus und verschafften sich über Mitarbeiter Zugriff auf das Netzwerk des Unternehmens. Mit solchen Attacken wollen die Hacker an technologisches Know-how aus der Branche gelangen - Informationen, die das international geächtete Nordkorea dringend für sein Raketenprogramm braucht.
"Lazarus tritt immer wieder in Erscheinung. Der aktuelle Fall zeigt, dass Nordkorea keine Kosten und Mühen scheut, um an Forschungsdaten aus der Luft- und Raumfahrt zu gelangen und sein eigenes militärisches Raketenprogramm weiter voranzutreiben", erklärt ESET Forscher Peter Kálnai, der den Angriff entdeckt hat.
Alles beginnt mit einer LinkedIn-Anfrage
Im vergangenen Jahr erhielten mehrere Mitarbeiter über das Business-Netzwerk LinkedIn eine Nachricht von angeblichen Personalbeschaffern von Meta. Eine Anstellung beim Konzern, der hinter Facebook, Instagram und WhatsApp steht, ist meist gut bezahlt und mit hohem Prestige verbunden. Die Hoffnung auf einen Job bei Meta nutzten die Hacker aus: Nach einem kurzen Smalltalk gaben sie ihren Opfern zwei Coding Challenges. Dabei handelt es sich um Programmieraufgaben, bei denen IT-Profis ihr Talent unter Beweis stellen, im aktuellen Fall Kenntnisse in der Programmiersprache C++. Die beiden Challenges sind angeblich Teil des offiziellen Einstellungsprozesses.
"Hello World" und Fibonacci
Um die beiden Aufgaben zu lösen, mussten die Angesprochenen zwei Dateien ausführen, Quiz1.exe und Quiz2.exe. Bei ersterem handelte es sich um ein "Hello World"-Programm, dessen einzige Aufgabe darin bestand, "Hello World" zu schreiben. Angehende Programmierer entwickeln solche Programme zu Beginn ihrer Ausbildung, um sich mit verschiedenen Programmiersprachen vertraut zu machen. Die zweite Datei stellte eine Fibonacci-Folge dar, eine festgelegte Zahlenfolge, die sich unendlich fortsetzt und bei der jede Zahl die Summe der beiden vorherigen Zahlen ist (0, 1, 1, 2, 3, 5, 8, 13 usw.).
Für erfahrene Programmierer sind solche Programme ein Witz. Führten sie sie allerdings aus, hatten die Hacker ihr Ziel erreicht: Die beiden Dateien luden die eigentlichen Schadprogramme nach.
Neue Tarnkappen-Backdoor aktiv
Unter den verschiedenen Schadprogrammen, die die Mitarbeiter unwissentlich auf ihren Dienstgeräten installierten, befand sich auch eine bis dato unbekannte und hochentwickelte Backdoor ("LightlessCan"). Sie ahmt die Funktionalität von nativen Windows-Befehlen nach. Der Vorteil bei dieser Methode: Anstatt Befehle auffällig über die Eingabekonsole von Windows auszuführen, findet die gesamte Arbeit "unter der Haube" statt. Hierdurch tarnt sich das Programm und macht es schwer, seine Aktivitäten zu erkennen und zu analysieren.
Ein weiterer Schutzmechanismus verschleierte die Aktivitäten zusätzlich: Die Hacker stellten sicher, dass die von Quiz1.exe und Quiz2.exe nachgeladenen Schadprogramme nur auf dem Rechner des Opfers entschlüsselt werden konnten. So sollten beispielsweise Sicherheitsforscher nicht darauf zugreifen können. Hiermit versuchten die Cyberkriminelle sowohl die Erkennung als auch die Auswertung ihres Angriffs zu erschweren.
"Die Art und Weise, wie Lazarus bei seinen Angriffen vorgeht, zeigt den hohen Professionalisierungsgrad der Gruppe", sagt Peter Kálnai. "Spear Phishing gehört aufgrund der hohen Erfolgsquote zu den beliebtesten Werkzeugen von Hackern. Unternehmen sollten daher ihre Mitarbeiter regelmäßig über die Gefahren aufklären und gleichzeitig geeignete IT-Sicherheitslösungen verwenden."
Lazarus' regelmäßige Wiederauferstehung
Die Lazarus-Gruppe, auch bekannt als HIDDEN COBRA, ist eine nordkoreanische Cyberspionage-Gruppe und mindestens seit 2009 aktiv. Die Vielfalt, die Anzahl und die Exzentrizität ihrer Kampagnen sind kennzeichnend für diese Gruppe. Sie deckt alle drei Säulen der Cyberkriminalität ab: Cyberspionage, Cybersabotage und Raub. Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für mit Nordkorea verbündete APT-Gruppen. Das Land hat bereits mehrere Raketentests durchgeführt, die gegen Resolutionen des Sicherheitsrates der Vereinten Nationen verstoßen.
Weitere technische Informationen über Lazarus, seinen jüngsten Angriff und die LightlessCan-Backdoor finden Sie in dem Blogbeitrag "Lazarus lockt Mitarbeiter mit trojanisierten Programmieraufgaben: Der Fall eines spanischen Luft- und Raumfahrtunternehmens" auf WeLiveSecurity (https://www.welivesecurity.com/de/eset-research/lazarus-lockt-mitarbeiter-mit-trojanisierten-programmieraufgaben-der-fall-eines-spanischen-luft-und-raumfahrtunternehmens/). ESET Research wird die Ergebnisse dieses Angriffs auf der Virus Bulletin Konferenz in London am 4. Oktober 2023 vorstellen.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de
Folgen Sie ESET:
http://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell
Schlagwörter
Das könnte Sie auch interessieren
WAZ:IG Metall fordert Job- und Standortgarantie bei Thyssenkrupp Steel - "Wir geben HKM nicht auf"
Essen (ots) - Angesichts des Einstiegs des tschechischen Investors Daniel Kretinsky bei Deutschlands größtem Stahlkonzern Thyssenkrupp fordert die IG Metall Arbeitsplatz- und Standortgarantien. "Her...Artikel lesen50 Jahre medizini / Ernie & Bert und das Krümelmonster gratulieren!
Baierbrunn (ots) - Anmoderation: Erwachsene kennen es aus ihrer Kindheit und inzwischen von den eigenen Kindern und Enkeln: Das Kinderpostermagazin medizini, das es in der Apotheke gibt, lässt seit ...Artikel lesenMonport stellt hochmoderne Faserlaser-Markierungsmaschinen vor: GA-Faser vs. GP-Faser
Berlin (ots/PRNewswire) - Monport, ein Pionier in der Lasermarkierungstechnologie, freut sich, die Einführung zweier bahnbrechender Faserlaser (https://www.monportlaser.de/collections/faserlaser-gra...Artikel lesen3. Liga live bei MagentaSport: letzte Chance für den MSV am Freitag vs Absteiger Lübeck / Löwen lassen sich in Haching vorführen, Ulm baut mit Flunker-Tor die Spitze aus, RWE will wirklich aufsteigen
München (ots) - Ulm bleibt die Nummer 1 der Liga, auch wenn ein "Flunker-Tor" in Freiburg den Ausbau der Tabellenführung auf nunmehr 6 Punkte auf den Zweiten Regensburg und 7 Punkte auf den Dritten ...Artikel lesenFDP-Parteitag: Richtige Botschaft / Kommentar von Tobias Peter
Freiburg (ots) - It's the economy, Olaf! Herr Bundeskanzler, die Regierung muss dringend etwas für mehr Wirtschaftswachstum in diesem Land tun! Das ist die Botschaft, die vom FDP-Parteitag ausgeht. ...Artikel lesenMeistgelesen
- Der goldene Hase in München (FOTO)
- Das Erste: "Verliebt in Kroatien" (FOTO)
- PwC: Authentifizierung per Fingerabdruck ist im Mobile Banking eine Generationenfrage
- DER BESTE EXPORT SEIT LEGO! / Standing Ovations für den LADYDOC aus Dänemark / Sensation beim 14. Internationalen Speaker Slam
- Masters of Dance: Perfekte Harmonie (FOTO)
Meist kommentiert
- Quietschgelber Bienenfutter Automat in Fischbachtal
- Stoppt die Überfischung in der Ostsee: Deutsche Umwelthilfe und Our Fish fordern konsequente Umsetzung der wissenschaftlichen Empfehlungen für 2022
- Der Hund ist, was er isst
- Initiative "Justiz und Medien - konsequent gegen Hass" zieht erste Bilanz / Demokratie und Meinungsfreiheit schützen / Hass und Hetze konsequent verfolgen (FOTO)