Abo
  • Services:
Anzeige
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein.
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein. (Bild: Ed Jones/AFP/Getty Images)

Kimsuky Cyberangriff auf Südkorea soll aus Nordkorea kommen

Mehrere Behörden und Unternehmen sollen Opfer eines Cyberangriffs aus Nordkorea geworden sein. Das Sicherheitsunternehmen Kaspersky hat den dafür verwendeten Trojaner namens Kimsuky untersucht.

Anzeige

Das Sicherheitsunternehmen Kaspersky will einen Cyberangriff auf Südkorea ausgemacht haben, dessen Urheber in Nordkorea sitzen sollen. Bislang waren mehrere solche Angriffe gemeldet worden, die von anderswo stammten oder bei denen der Angreifer nicht genau identifiziert werden konnte. Kaspersky schlussfolgert jedoch anhand einer Indizienkette, dass das verfeindete Nordkorea tatsächlich diesen Angriff gestartet hat, wie dessen Experten im Interview mit Golem.de sagten. Wer allerdings genau hinter dem Angriffe steckt, ist unbekannt

Mit Spearfishing-Angriffen sei bereits im Frühjahr 2013 ein Trojaner in südkoreanischen Behörden und großen Unternehmen verbreitet worden, der in erster Linie der Spionage dienen solle, so Kaspersky in seiner Analyse. Dem Trojaner gab Kaspersky den Namen Kimsuky. Von den Angriffen betroffen sind demnach unter anderem die Denkfabrik Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, der Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer für die Vereinigung Koreas.

Angriffe auf Denkfabriken

Schon die gewählten Ziele seien ein klares Indiz für einen Angriff aus dem kommunistischen Nachbarstaat, sagte ein Kaspersky-Analyst. Außerdem soll Kimsuky auf Opferrechnern gezielt nach HWP-Dateien gesucht haben. Das Format wird von der Textverarbeitungssoftware Hangul verwendet, die in Südkorea weit verbreitet ist. Außerdem soll der Trojaner ausschließlich die Sicherheitssoftware von Ahnlab deaktivieren können, die ebenfalls nur in Südkorea verwendet wird.

Der modular aufgebaute Trojaner enthalte einen Keylogger, ein Tool für das Auslesen von Verzeichnissen sowie ein Remote-Access-Werkzeug, das eine modifizierte Version von Teamviewer sei, sagten die Experten bei Kaspersky. Das Modul werde dazu verwendet, Dateien von Opferrechnern herunterzuladen. Bisher gebe es aber keine Hinweise darauf, dass sich die Angreifer Zugang zu Firmennetzen der Ziele verschaffen wollten. Ganz auszuschließen sei das aber nicht, denn die angegriffenen Gruppen hätten Kaspersky so gut wie keine Informationen gegeben. Das Sicherheitsunternehmen habe die Betroffenen von ihren Beobachtungen sofort in Kenntnis gesetzt.

"Kimsukyang" und "Kim asdfa"

Das Framework des Trojaners stamme von den Angreifern selbst und enthalte entsprechende koreanischsprachige Begriffe wie "Angriff". Die meisten Module stammen aus allgemein erhältlichen Werkzeugsammlungen wie Metasploit. Sie seien zwar speziell für ihren Einsatz ausgewählt, aber insgesamt laienhaft in das Framework eingebettet worden. Teilweise hätten sie sogar die Rechner eines Opfers abstürzen lassen.

Die beiden E-Mail-Adressen, an die die im Trojaner enthaltenen Bots ihre Statusmeldungen und die Systeminformationen der infizierten Rechner verschicken, sind bei Hotmail registriert, und zwar unter den Namen "kimsukyang" und "Kim asdfa". Das sei zwar noch kein eindeutiger Hinweis auf Nordkorea, allerdings seien die IP-Adressen derjenigen, die die Konten abrufen, bei den Providern Jilin Province Network und Liaoning Province Network registriert. Beide agieren in den chinesischen Provinzen, die an Nordkorea grenzen und auch Teile des abgeschotteten Landes bedienen sollen.

Angriffe können nicht eindeutig zugeordnet werden

Nordkorea hat Anfang 2009 eine eigene Cyberwar-Truppe aufgestellt. Der gehörten inzwischen rund 3.000 gut trainierte Hacker an, die direkt Staats- und Parteichef Kim Jong-un unterstünden, sagte dieser Tage ein südkoreanischer Informatiker der Tageszeitung Korea Herald. Die Fähigkeiten der Truppe seien mittlerweile so ausgereift, dass nur noch die Cyberkrieger aus Russland und den USA besser seien. Allerdings sind die bisherigen Nordkorea zugeordneten Angriffe hauptsächlich DDoS-Angriffe gewesen.

Dass der von Kaspersky untersuchte Trojaner eher laienhaft umgesetzt ist, spricht aber eher gegen diese These und deutet möglicherweise eher auf eine kleine Gruppe in Nordkorea hin als auf einen staatliche gelenkten Angriff. Eine eindeutige Zuordnung (Attribution) sei in solchen Fällen kaum möglich, gab ein Analyst auf Anfrage zu. Möglicherweise versuche auch ein Dritter, mit den von Kaspersky beobachteten Indizien die Beweislast auf Nordkorea zu lenken.

Kasperskys Antivirensoftware erkennt den Trojaner unter dem Namen Trojan.Win32.Kimsuky. Die modifizierte Teamviewer-Software wurde dem Namen Trojan.Win32.Patched.ps zugeordnet.


eye home zur Startseite
gaym0r 12. Sep 2013

Lies nochmal.

TrudleR 11. Sep 2013

Ein Schelm, wer dabei böses denkt. ;)

bstea 11. Sep 2013

http://www.veoh.com/watch/v54293460wyJfTx4f



Anzeige

Stellenmarkt
  1. TenneT TSO GmbH, Lehrte
  2. Viega Holding GmbH & Co. KG, Attendorn
  3. Thomas Sabo GmbH & Co. KG, Lauf / Pegnitz
  4. THOMAS SABO GmbH & Co. KG, Lauf / Pegnitz


Anzeige
Spiele-Angebote
  1. (-65%) 6,99€
  2. (-60%) 19,99€
  3. 10,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. taz

    Strafbefehl in der Keylogger-Affäre

  2. Respawn Entertainment

    Live Fire soll in Titanfall 2 zünden

  3. Bootcode

    Freie Firmware für Raspberry Pi startet Linux-Kernel

  4. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  5. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  6. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  7. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  8. Raspberry Pi

    Compute Module 3 ist verfügbar

  9. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  10. Airbus-Chef

    Fliegen ohne Piloten rückt näher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Essential Android-Erfinder Rubin will neues Smartphone entwickeln
  2. Google Maps Google integriert Uber in Karten-App
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Wonder Workshop Dash im Test: Ein Roboter riskiert eine kesse Lippe
Wonder Workshop Dash im Test
Ein Roboter riskiert eine kesse Lippe
  1. Supermarkt-Automatisierung Einkaufskorb rechnet ab und packt ein
  2. Robot Operating System Was Bratwurst-Bot und autonome Autos gemeinsam haben
  3. Roboterarm Dobot M1 - der Industrieroboter für daheim

  1. Könnte Blizzard keine Api anbieten

    sschnitzler1994 | 01:26

  2. Re: Gut so!

    LinuxMcBook | 01:21

  3. Re: Falsche Zielgruppe?

    t3st3rst3st | 01:21

  4. Re: Was wollte er denn damit?

    MrAnderson | 00:43

  5. Re: Erstaunliches Line-Up für das erste Jahr...

    lumks | 00:21


  1. 18:02

  2. 17:38

  3. 17:13

  4. 14:17

  5. 13:21

  6. 12:30

  7. 12:08

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel