Abo
  • Services:
Anzeige
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein.
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein. (Bild: Ed Jones/AFP/Getty Images)

Kimsuky Cyberangriff auf Südkorea soll aus Nordkorea kommen

Mehrere Behörden und Unternehmen sollen Opfer eines Cyberangriffs aus Nordkorea geworden sein. Das Sicherheitsunternehmen Kaspersky hat den dafür verwendeten Trojaner namens Kimsuky untersucht.

Anzeige

Das Sicherheitsunternehmen Kaspersky will einen Cyberangriff auf Südkorea ausgemacht haben, dessen Urheber in Nordkorea sitzen sollen. Bislang waren mehrere solche Angriffe gemeldet worden, die von anderswo stammten oder bei denen der Angreifer nicht genau identifiziert werden konnte. Kaspersky schlussfolgert jedoch anhand einer Indizienkette, dass das verfeindete Nordkorea tatsächlich diesen Angriff gestartet hat, wie dessen Experten im Interview mit Golem.de sagten. Wer allerdings genau hinter dem Angriffe steckt, ist unbekannt

Mit Spearfishing-Angriffen sei bereits im Frühjahr 2013 ein Trojaner in südkoreanischen Behörden und großen Unternehmen verbreitet worden, der in erster Linie der Spionage dienen solle, so Kaspersky in seiner Analyse. Dem Trojaner gab Kaspersky den Namen Kimsuky. Von den Angriffen betroffen sind demnach unter anderem die Denkfabrik Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, der Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer für die Vereinigung Koreas.

Angriffe auf Denkfabriken

Schon die gewählten Ziele seien ein klares Indiz für einen Angriff aus dem kommunistischen Nachbarstaat, sagte ein Kaspersky-Analyst. Außerdem soll Kimsuky auf Opferrechnern gezielt nach HWP-Dateien gesucht haben. Das Format wird von der Textverarbeitungssoftware Hangul verwendet, die in Südkorea weit verbreitet ist. Außerdem soll der Trojaner ausschließlich die Sicherheitssoftware von Ahnlab deaktivieren können, die ebenfalls nur in Südkorea verwendet wird.

Der modular aufgebaute Trojaner enthalte einen Keylogger, ein Tool für das Auslesen von Verzeichnissen sowie ein Remote-Access-Werkzeug, das eine modifizierte Version von Teamviewer sei, sagten die Experten bei Kaspersky. Das Modul werde dazu verwendet, Dateien von Opferrechnern herunterzuladen. Bisher gebe es aber keine Hinweise darauf, dass sich die Angreifer Zugang zu Firmennetzen der Ziele verschaffen wollten. Ganz auszuschließen sei das aber nicht, denn die angegriffenen Gruppen hätten Kaspersky so gut wie keine Informationen gegeben. Das Sicherheitsunternehmen habe die Betroffenen von ihren Beobachtungen sofort in Kenntnis gesetzt.

"Kimsukyang" und "Kim asdfa"

Das Framework des Trojaners stamme von den Angreifern selbst und enthalte entsprechende koreanischsprachige Begriffe wie "Angriff". Die meisten Module stammen aus allgemein erhältlichen Werkzeugsammlungen wie Metasploit. Sie seien zwar speziell für ihren Einsatz ausgewählt, aber insgesamt laienhaft in das Framework eingebettet worden. Teilweise hätten sie sogar die Rechner eines Opfers abstürzen lassen.

Die beiden E-Mail-Adressen, an die die im Trojaner enthaltenen Bots ihre Statusmeldungen und die Systeminformationen der infizierten Rechner verschicken, sind bei Hotmail registriert, und zwar unter den Namen "kimsukyang" und "Kim asdfa". Das sei zwar noch kein eindeutiger Hinweis auf Nordkorea, allerdings seien die IP-Adressen derjenigen, die die Konten abrufen, bei den Providern Jilin Province Network und Liaoning Province Network registriert. Beide agieren in den chinesischen Provinzen, die an Nordkorea grenzen und auch Teile des abgeschotteten Landes bedienen sollen.

Angriffe können nicht eindeutig zugeordnet werden

Nordkorea hat Anfang 2009 eine eigene Cyberwar-Truppe aufgestellt. Der gehörten inzwischen rund 3.000 gut trainierte Hacker an, die direkt Staats- und Parteichef Kim Jong-un unterstünden, sagte dieser Tage ein südkoreanischer Informatiker der Tageszeitung Korea Herald. Die Fähigkeiten der Truppe seien mittlerweile so ausgereift, dass nur noch die Cyberkrieger aus Russland und den USA besser seien. Allerdings sind die bisherigen Nordkorea zugeordneten Angriffe hauptsächlich DDoS-Angriffe gewesen.

Dass der von Kaspersky untersuchte Trojaner eher laienhaft umgesetzt ist, spricht aber eher gegen diese These und deutet möglicherweise eher auf eine kleine Gruppe in Nordkorea hin als auf einen staatliche gelenkten Angriff. Eine eindeutige Zuordnung (Attribution) sei in solchen Fällen kaum möglich, gab ein Analyst auf Anfrage zu. Möglicherweise versuche auch ein Dritter, mit den von Kaspersky beobachteten Indizien die Beweislast auf Nordkorea zu lenken.

Kasperskys Antivirensoftware erkennt den Trojaner unter dem Namen Trojan.Win32.Kimsuky. Die modifizierte Teamviewer-Software wurde dem Namen Trojan.Win32.Patched.ps zugeordnet.


eye home zur Startseite
gaym0r 12. Sep 2013

Lies nochmal.

TrudleR 11. Sep 2013

Ein Schelm, wer dabei böses denkt. ;)

bstea 11. Sep 2013

http://www.veoh.com/watch/v54293460wyJfTx4f



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. TUI Deutschland GmbH, Hannover
  3. ALDI SOUTH group, Mülheim an der Ruhr
  4. Suzuki Deutschland GmbH, Bensheim


Anzeige
Spiele-Angebote
  1. (-75%) 2,49€
  2. 6,99€
  3. ab 59,98€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Asus B9440 im Test Leichtes Geschäftsnotebook liefert zu wenig Business

  1. Re: Widerlegen?

    motzerator | 01:08

  2. Re: 2020!? Und die Personalien?

    packansack | 00:48

  3. Re: Mobilfunk + Festnetz-Anschluss meiner Eltern

    LordGurke | 00:47

  4. Könnte Akamai auch gerne machen

    LordGurke | 00:44

  5. Re: FF Remakes für Switch

    packansack | 00:38


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel