Abo
  • Services:

Kimsuky: Cyberangriff auf Südkorea soll aus Nordkorea kommen

Mehrere Behörden und Unternehmen sollen Opfer eines Cyberangriffs aus Nordkorea geworden sein. Das Sicherheitsunternehmen Kaspersky hat den dafür verwendeten Trojaner namens Kimsuky untersucht.

Artikel veröffentlicht am ,
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein.
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein. (Bild: Ed Jones/AFP/Getty Images)

Das Sicherheitsunternehmen Kaspersky will einen Cyberangriff auf Südkorea ausgemacht haben, dessen Urheber in Nordkorea sitzen sollen. Bislang waren mehrere solche Angriffe gemeldet worden, die von anderswo stammten oder bei denen der Angreifer nicht genau identifiziert werden konnte. Kaspersky schlussfolgert jedoch anhand einer Indizienkette, dass das verfeindete Nordkorea tatsächlich diesen Angriff gestartet hat, wie dessen Experten im Interview mit Golem.de sagten. Wer allerdings genau hinter dem Angriffe steckt, ist unbekannt

Stellenmarkt
  1. BIOTRONIK SE & Co. KG, Berlin
  2. Home Shopping Europe GmbH, Ismaning

Mit Spearfishing-Angriffen sei bereits im Frühjahr 2013 ein Trojaner in südkoreanischen Behörden und großen Unternehmen verbreitet worden, der in erster Linie der Spionage dienen solle, so Kaspersky in seiner Analyse. Dem Trojaner gab Kaspersky den Namen Kimsuky. Von den Angriffen betroffen sind demnach unter anderem die Denkfabrik Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, der Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer für die Vereinigung Koreas.

Angriffe auf Denkfabriken

Schon die gewählten Ziele seien ein klares Indiz für einen Angriff aus dem kommunistischen Nachbarstaat, sagte ein Kaspersky-Analyst. Außerdem soll Kimsuky auf Opferrechnern gezielt nach HWP-Dateien gesucht haben. Das Format wird von der Textverarbeitungssoftware Hangul verwendet, die in Südkorea weit verbreitet ist. Außerdem soll der Trojaner ausschließlich die Sicherheitssoftware von Ahnlab deaktivieren können, die ebenfalls nur in Südkorea verwendet wird.

Der modular aufgebaute Trojaner enthalte einen Keylogger, ein Tool für das Auslesen von Verzeichnissen sowie ein Remote-Access-Werkzeug, das eine modifizierte Version von Teamviewer sei, sagten die Experten bei Kaspersky. Das Modul werde dazu verwendet, Dateien von Opferrechnern herunterzuladen. Bisher gebe es aber keine Hinweise darauf, dass sich die Angreifer Zugang zu Firmennetzen der Ziele verschaffen wollten. Ganz auszuschließen sei das aber nicht, denn die angegriffenen Gruppen hätten Kaspersky so gut wie keine Informationen gegeben. Das Sicherheitsunternehmen habe die Betroffenen von ihren Beobachtungen sofort in Kenntnis gesetzt.

"Kimsukyang" und "Kim asdfa"

Das Framework des Trojaners stamme von den Angreifern selbst und enthalte entsprechende koreanischsprachige Begriffe wie "Angriff". Die meisten Module stammen aus allgemein erhältlichen Werkzeugsammlungen wie Metasploit. Sie seien zwar speziell für ihren Einsatz ausgewählt, aber insgesamt laienhaft in das Framework eingebettet worden. Teilweise hätten sie sogar die Rechner eines Opfers abstürzen lassen.

Die beiden E-Mail-Adressen, an die die im Trojaner enthaltenen Bots ihre Statusmeldungen und die Systeminformationen der infizierten Rechner verschicken, sind bei Hotmail registriert, und zwar unter den Namen "kimsukyang" und "Kim asdfa". Das sei zwar noch kein eindeutiger Hinweis auf Nordkorea, allerdings seien die IP-Adressen derjenigen, die die Konten abrufen, bei den Providern Jilin Province Network und Liaoning Province Network registriert. Beide agieren in den chinesischen Provinzen, die an Nordkorea grenzen und auch Teile des abgeschotteten Landes bedienen sollen.

Angriffe können nicht eindeutig zugeordnet werden

Nordkorea hat Anfang 2009 eine eigene Cyberwar-Truppe aufgestellt. Der gehörten inzwischen rund 3.000 gut trainierte Hacker an, die direkt Staats- und Parteichef Kim Jong-un unterstünden, sagte dieser Tage ein südkoreanischer Informatiker der Tageszeitung Korea Herald. Die Fähigkeiten der Truppe seien mittlerweile so ausgereift, dass nur noch die Cyberkrieger aus Russland und den USA besser seien. Allerdings sind die bisherigen Nordkorea zugeordneten Angriffe hauptsächlich DDoS-Angriffe gewesen.

Dass der von Kaspersky untersuchte Trojaner eher laienhaft umgesetzt ist, spricht aber eher gegen diese These und deutet möglicherweise eher auf eine kleine Gruppe in Nordkorea hin als auf einen staatliche gelenkten Angriff. Eine eindeutige Zuordnung (Attribution) sei in solchen Fällen kaum möglich, gab ein Analyst auf Anfrage zu. Möglicherweise versuche auch ein Dritter, mit den von Kaspersky beobachteten Indizien die Beweislast auf Nordkorea zu lenken.

Kasperskys Antivirensoftware erkennt den Trojaner unter dem Namen Trojan.Win32.Kimsuky. Die modifizierte Teamviewer-Software wurde dem Namen Trojan.Win32.Patched.ps zugeordnet.



Anzeige
Spiele-Angebote
  1. (-37%) 37,99€
  2. 2,29€
  3. 25,49€
  4. (u. a. Diablo 3 Ultimate Evil Edition, Gear Club Unlimited, HP-Notebooks)

gaym0r 12. Sep 2013

Lies nochmal.

TrudleR 11. Sep 2013

Ein Schelm, wer dabei böses denkt. ;)

bstea 11. Sep 2013

http://www.veoh.com/watch/v54293460wyJfTx4f


Folgen Sie uns
       


Electronic Arts E3 2018 Pressekonferenz - Live

Mit Command & Conquer Rivals wollte sich die Golem.de-Community so gar nicht anfreunden, da haben Anthem und Unraveled Two mehr überzeugt.

Electronic Arts E3 2018 Pressekonferenz - Live Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Windows 10: Der April-2018-Update-Scherz
Windows 10
Der April-2018-Update-Scherz

Microsofts April-2018-Update für Windows 10 hat so viele Fehler, als würden drei Insider-Ringe nicht ausreichen. Das Unternehmen setzt seine Nutzer als Betatester ein und reagiert dann auch noch langsam auf Fehlermeldungen - das muss sich ändern.
Ein IMHO von Oliver Nickel

  1. Gesperrter Lockscreen Cortana-Fehler ermöglicht Codeausführung
  2. Microsoft Weitere Umstrukturierungen rund um Windows 10
  3. April 2018 Update Windows-Patch macht Probleme bei Intel- und Toshiba-SSDs

Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

    •  /