Abo
  • Services:
Anzeige
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein.
Aus Nordkorea soll ein Cyberangriff auf Südkorea gestartet worden sein. (Bild: Ed Jones/AFP/Getty Images)

Kimsuky Cyberangriff auf Südkorea soll aus Nordkorea kommen

Mehrere Behörden und Unternehmen sollen Opfer eines Cyberangriffs aus Nordkorea geworden sein. Das Sicherheitsunternehmen Kaspersky hat den dafür verwendeten Trojaner namens Kimsuky untersucht.

Anzeige

Das Sicherheitsunternehmen Kaspersky will einen Cyberangriff auf Südkorea ausgemacht haben, dessen Urheber in Nordkorea sitzen sollen. Bislang waren mehrere solche Angriffe gemeldet worden, die von anderswo stammten oder bei denen der Angreifer nicht genau identifiziert werden konnte. Kaspersky schlussfolgert jedoch anhand einer Indizienkette, dass das verfeindete Nordkorea tatsächlich diesen Angriff gestartet hat, wie dessen Experten im Interview mit Golem.de sagten. Wer allerdings genau hinter dem Angriffe steckt, ist unbekannt

Mit Spearfishing-Angriffen sei bereits im Frühjahr 2013 ein Trojaner in südkoreanischen Behörden und großen Unternehmen verbreitet worden, der in erster Linie der Spionage dienen solle, so Kaspersky in seiner Analyse. Dem Trojaner gab Kaspersky den Namen Kimsuky. Von den Angriffen betroffen sind demnach unter anderem die Denkfabrik Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, der Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer für die Vereinigung Koreas.

Angriffe auf Denkfabriken

Schon die gewählten Ziele seien ein klares Indiz für einen Angriff aus dem kommunistischen Nachbarstaat, sagte ein Kaspersky-Analyst. Außerdem soll Kimsuky auf Opferrechnern gezielt nach HWP-Dateien gesucht haben. Das Format wird von der Textverarbeitungssoftware Hangul verwendet, die in Südkorea weit verbreitet ist. Außerdem soll der Trojaner ausschließlich die Sicherheitssoftware von Ahnlab deaktivieren können, die ebenfalls nur in Südkorea verwendet wird.

Der modular aufgebaute Trojaner enthalte einen Keylogger, ein Tool für das Auslesen von Verzeichnissen sowie ein Remote-Access-Werkzeug, das eine modifizierte Version von Teamviewer sei, sagten die Experten bei Kaspersky. Das Modul werde dazu verwendet, Dateien von Opferrechnern herunterzuladen. Bisher gebe es aber keine Hinweise darauf, dass sich die Angreifer Zugang zu Firmennetzen der Ziele verschaffen wollten. Ganz auszuschließen sei das aber nicht, denn die angegriffenen Gruppen hätten Kaspersky so gut wie keine Informationen gegeben. Das Sicherheitsunternehmen habe die Betroffenen von ihren Beobachtungen sofort in Kenntnis gesetzt.

"Kimsukyang" und "Kim asdfa"

Das Framework des Trojaners stamme von den Angreifern selbst und enthalte entsprechende koreanischsprachige Begriffe wie "Angriff". Die meisten Module stammen aus allgemein erhältlichen Werkzeugsammlungen wie Metasploit. Sie seien zwar speziell für ihren Einsatz ausgewählt, aber insgesamt laienhaft in das Framework eingebettet worden. Teilweise hätten sie sogar die Rechner eines Opfers abstürzen lassen.

Die beiden E-Mail-Adressen, an die die im Trojaner enthaltenen Bots ihre Statusmeldungen und die Systeminformationen der infizierten Rechner verschicken, sind bei Hotmail registriert, und zwar unter den Namen "kimsukyang" und "Kim asdfa". Das sei zwar noch kein eindeutiger Hinweis auf Nordkorea, allerdings seien die IP-Adressen derjenigen, die die Konten abrufen, bei den Providern Jilin Province Network und Liaoning Province Network registriert. Beide agieren in den chinesischen Provinzen, die an Nordkorea grenzen und auch Teile des abgeschotteten Landes bedienen sollen.

Angriffe können nicht eindeutig zugeordnet werden

Nordkorea hat Anfang 2009 eine eigene Cyberwar-Truppe aufgestellt. Der gehörten inzwischen rund 3.000 gut trainierte Hacker an, die direkt Staats- und Parteichef Kim Jong-un unterstünden, sagte dieser Tage ein südkoreanischer Informatiker der Tageszeitung Korea Herald. Die Fähigkeiten der Truppe seien mittlerweile so ausgereift, dass nur noch die Cyberkrieger aus Russland und den USA besser seien. Allerdings sind die bisherigen Nordkorea zugeordneten Angriffe hauptsächlich DDoS-Angriffe gewesen.

Dass der von Kaspersky untersuchte Trojaner eher laienhaft umgesetzt ist, spricht aber eher gegen diese These und deutet möglicherweise eher auf eine kleine Gruppe in Nordkorea hin als auf einen staatliche gelenkten Angriff. Eine eindeutige Zuordnung (Attribution) sei in solchen Fällen kaum möglich, gab ein Analyst auf Anfrage zu. Möglicherweise versuche auch ein Dritter, mit den von Kaspersky beobachteten Indizien die Beweislast auf Nordkorea zu lenken.

Kasperskys Antivirensoftware erkennt den Trojaner unter dem Namen Trojan.Win32.Kimsuky. Die modifizierte Teamviewer-Software wurde dem Namen Trojan.Win32.Patched.ps zugeordnet.


eye home zur Startseite
gaym0r 12. Sep 2013

Lies nochmal.

TrudleR 11. Sep 2013

Ein Schelm, wer dabei böses denkt. ;)

bstea 11. Sep 2013

http://www.veoh.com/watch/v54293460wyJfTx4f



Anzeige

Stellenmarkt
  1. Daimler AG, Böblingen
  2. T-Systems International GmbH, verschiedene Standorte
  3. über Ratbacher GmbH, Berlin
  4. censhare AG, München, Freiburg im Breisgau


Anzeige
Hardware-Angebote
  1. 49,90€ + 3,99€ Versand (Vergleichspreis ab 79€)
  2. 219,00€
  3. 115,00€ - Bestpreis!

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  2. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  3. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  4. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  5. Supercomputer

    Der erste Exaflop-Rechner wird in China gebaut

  6. Thomas de Maizière

    Doch keine Vorratsdatenspeicherung für Whatsapp

  7. Automatisierung

    Europaparlament fordert Roboterregeln

  8. Elitebook 810 Revolve G3

    HP gibt die klassischen Convertible-Notebooks auf

  9. Connected Modular

    Tag Heuers neue Smartwatch soll hybrid sein

  10. Megaupload

    Kim Dotcom kann in die USA abgeschoben werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: kurze Laienfrage ...

    DetlevCM | 14:14

  2. Bei dieser Größe...

    the_crow | 14:14

  3. Re: "...eine Lösung, die einfach funktioniert."

    nille02 | 14:13

  4. Re: Interview mit Stadtrat Anne Hüber

    bjs | 14:11

  5. Re: So groß wie ein Fußballfeld...

    DetlevCM | 14:11


  1. 14:00

  2. 13:12

  3. 12:07

  4. 12:06

  5. 11:59

  6. 11:40

  7. 11:27

  8. 11:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel