• IT-Karriere:
  • Services:

Kimsuky: Cyberangriff auf Südkorea soll aus Nordkorea kommen

Mehrere Behörden und Unternehmen sollen Opfer eines Cyberangriffs aus Nordkorea geworden sein. Das Sicherheitsunternehmen Kaspersky hat den dafür verwendeten Trojaner namens Kimsuky untersucht.

Artikel veröffentlicht am ,
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein.
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein. (Bild: Ed Jones/AFP/Getty Images)

Das Sicherheitsunternehmen Kaspersky will einen Cyberangriff auf Südkorea ausgemacht haben, dessen Urheber in Nordkorea sitzen sollen. Bislang waren mehrere solche Angriffe gemeldet worden, die von anderswo stammten oder bei denen der Angreifer nicht genau identifiziert werden konnte. Kaspersky schlussfolgert jedoch anhand einer Indizienkette, dass das verfeindete Nordkorea tatsächlich diesen Angriff gestartet hat, wie dessen Experten im Interview mit Golem.de sagten. Wer allerdings genau hinter dem Angriffe steckt, ist unbekannt

Stellenmarkt
  1. EPLAN Software & Service GmbH & Co. KG, Monheim am Rhein (Düsseldorf/ Köln)
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Mit Spearfishing-Angriffen sei bereits im Frühjahr 2013 ein Trojaner in südkoreanischen Behörden und großen Unternehmen verbreitet worden, der in erster Linie der Spionage dienen solle, so Kaspersky in seiner Analyse. Dem Trojaner gab Kaspersky den Namen Kimsuky. Von den Angriffen betroffen sind demnach unter anderem die Denkfabrik Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, der Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer für die Vereinigung Koreas.

Angriffe auf Denkfabriken

Schon die gewählten Ziele seien ein klares Indiz für einen Angriff aus dem kommunistischen Nachbarstaat, sagte ein Kaspersky-Analyst. Außerdem soll Kimsuky auf Opferrechnern gezielt nach HWP-Dateien gesucht haben. Das Format wird von der Textverarbeitungssoftware Hangul verwendet, die in Südkorea weit verbreitet ist. Außerdem soll der Trojaner ausschließlich die Sicherheitssoftware von Ahnlab deaktivieren können, die ebenfalls nur in Südkorea verwendet wird.

Der modular aufgebaute Trojaner enthalte einen Keylogger, ein Tool für das Auslesen von Verzeichnissen sowie ein Remote-Access-Werkzeug, das eine modifizierte Version von Teamviewer sei, sagten die Experten bei Kaspersky. Das Modul werde dazu verwendet, Dateien von Opferrechnern herunterzuladen. Bisher gebe es aber keine Hinweise darauf, dass sich die Angreifer Zugang zu Firmennetzen der Ziele verschaffen wollten. Ganz auszuschließen sei das aber nicht, denn die angegriffenen Gruppen hätten Kaspersky so gut wie keine Informationen gegeben. Das Sicherheitsunternehmen habe die Betroffenen von ihren Beobachtungen sofort in Kenntnis gesetzt.

"Kimsukyang" und "Kim asdfa"

Das Framework des Trojaners stamme von den Angreifern selbst und enthalte entsprechende koreanischsprachige Begriffe wie "Angriff". Die meisten Module stammen aus allgemein erhältlichen Werkzeugsammlungen wie Metasploit. Sie seien zwar speziell für ihren Einsatz ausgewählt, aber insgesamt laienhaft in das Framework eingebettet worden. Teilweise hätten sie sogar die Rechner eines Opfers abstürzen lassen.

Die beiden E-Mail-Adressen, an die die im Trojaner enthaltenen Bots ihre Statusmeldungen und die Systeminformationen der infizierten Rechner verschicken, sind bei Hotmail registriert, und zwar unter den Namen "kimsukyang" und "Kim asdfa". Das sei zwar noch kein eindeutiger Hinweis auf Nordkorea, allerdings seien die IP-Adressen derjenigen, die die Konten abrufen, bei den Providern Jilin Province Network und Liaoning Province Network registriert. Beide agieren in den chinesischen Provinzen, die an Nordkorea grenzen und auch Teile des abgeschotteten Landes bedienen sollen.

Angriffe können nicht eindeutig zugeordnet werden

Nordkorea hat Anfang 2009 eine eigene Cyberwar-Truppe aufgestellt. Der gehörten inzwischen rund 3.000 gut trainierte Hacker an, die direkt Staats- und Parteichef Kim Jong-un unterstünden, sagte dieser Tage ein südkoreanischer Informatiker der Tageszeitung Korea Herald. Die Fähigkeiten der Truppe seien mittlerweile so ausgereift, dass nur noch die Cyberkrieger aus Russland und den USA besser seien. Allerdings sind die bisherigen Nordkorea zugeordneten Angriffe hauptsächlich DDoS-Angriffe gewesen.

Dass der von Kaspersky untersuchte Trojaner eher laienhaft umgesetzt ist, spricht aber eher gegen diese These und deutet möglicherweise eher auf eine kleine Gruppe in Nordkorea hin als auf einen staatliche gelenkten Angriff. Eine eindeutige Zuordnung (Attribution) sei in solchen Fällen kaum möglich, gab ein Analyst auf Anfrage zu. Möglicherweise versuche auch ein Dritter, mit den von Kaspersky beobachteten Indizien die Beweislast auf Nordkorea zu lenken.

Kasperskys Antivirensoftware erkennt den Trojaner unter dem Namen Trojan.Win32.Kimsuky. Die modifizierte Teamviewer-Software wurde dem Namen Trojan.Win32.Patched.ps zugeordnet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 52,99€
  2. 2,49€
  3. 20,49€
  4. (-74%) 15,50€

gaym0r 12. Sep 2013

Lies nochmal.

TrudleR 11. Sep 2013

Ein Schelm, wer dabei böses denkt. ;)

bstea 11. Sep 2013

http://www.veoh.com/watch/v54293460wyJfTx4f


Folgen Sie uns
       


Parksensor von Bosch ausprobiert

Wenn es darum geht, Autofahrer auf freie Parkplätze zu lotsen, lassen sich die Bosch-Sensoren sinnvoll einsetzen.

Parksensor von Bosch ausprobiert Video aufrufen
Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Quantencomputer: Intel entwickelt coolen Chip für heiße Quantenbits
Quantencomputer
Intel entwickelt coolen Chip für heiße Quantenbits

Gebaut für eine Kühlung mit flüssigem Helium ist Horse Ridge wohl der coolste Chip, den Intel zur Zeit in Entwicklung hat. Er soll einen Quantencomputer steuern, dessen Qubits mit ungewöhnlich hohen Temperaturen zurechtkommen.
Von Frank Wunderlich-Pfeiffer

  1. AWS re:Invent Amazon Web Services bietet Quanten-Cloud-Dienst an
  2. Quantencomputer 10.000 Jahre bei Google sind 2,5 Tage bei IBM
  3. Google Ein Quantencomputer zeigt, was derzeit geht und was nicht

    •  /