Südkoreanische Medien und Sicherheitsexperten berichten dieser Tage über weiter anhaltende Hackeraktivitäten im Nachbarland Nordkorea. Insbesondere hätte die Andariel Gruppe eine Zero-day Schwachstelle in der Active X Software von Microsoft ausgenutzt, um Malware zu verbreiten und Daten zu stehlen.
Die Andariel Gruppe ist ein Ableger der weitaus bekannteren Lazarus Gruppe. Viele Experten gehen davon aus, dass die Lazarus Gruppe an sich eine eigene Militäreinheit der nordkoreanischen Streitkräfte ist. Letzten Monat begann Andariel mit einer weiteren Welle von Angriffen. Südkoreanische Sicherheitsexperten konnten feststellen, dass Andariel mindestens neun verschiedene Schwachstellen in ActiveX ausnutzte, eine davon war wohl eine Zero-Day Schwachstelle. Ihre Vorgehensweise zur Verbreitung der Malware erfolgt über sogenannte Watering-Hole-Angriffe. Gemeint ist damit im übertragenen Sinn, dass eine Wasserstelle kontaminiert wird und jeder der davon trinkt, wird gewissermaßen vergiftet. Andariel hackt sich bei ihren Angriffen in legitime Webseiten ein, spielt bösartigen Code wie Backdoor Trojaner ein und infiziert so alle Seitenbesucher. Dabei picken sich die Hacker aber nur solcher Opfer heraus, die für ihre Zwecke hochwertig erscheinen.
Die südkoreanischen Sicherheitsexperten haben auch herausfinden können, dass diese Zero-day Angriffe auch auf Samsung SDS Acube Anwendungen ausgeführt wurden. Die Groupware-Anwendung Samsung Acube für Desktop wird gerne von südkoreanischen Unternehmen genutzt. Gleichzeitig unterstützt Acube auch ActiveX-Steuerelemente. Die Microsoft-Entwicklung Active-X ermöglicht die Bereitstellung diverser interaktiver Funktionen für MS Office, Internet Explorer aber auch Inhalte wie Videos oder Spiele. Samsung hat inzwischen ein Update zur Behebung diese Schwachstelle veröffentlicht. Und Microsoft? Seit 2009 gibt es im ActiveX regelmäßig neue Zero-Day Schwachstellen, die immer wieder gepatched werden. Ganz erstaunlich, wie lange sich eine so schlechte Software halten kann.
Hacker in Nordkorea halten nichts von Friedensgesprächen
Die Regierungen von Nord- und Südkorea sind schon eine Weile dabei Friedensgespräche zu führen. Offenbar nehmen die Staatshacker darauf keine Rücksicht. Im Gegenteil – die großen internationalen IT-Sicherheitsunternehmen verzeichnen alle einen Anstieg der Aktivitäten seitens der Nordkoreaner. Einer der aktuellste Angriffskampagnen der Lazarus Gruppe nennt sich Operation GhostSecret. Seit mindestens April werden Ziele in aller Welt angegriffen. Die amerikanischen Behörden haben vor Kurzem über zwei weitere Malware Programme berichtet. Brambul und Joanap werden ebenfalls von der Lazarus Gruppe eingesetzt. Die Amerikaner nennen diese Gruppe sehr treffend Hidden Cobra.
Artikel von bleepingcomputer.com, 31.05.2018: ActiveX Zero-Day Discovered in Recent North Korean Hacks
Artikel von wsj.com, 25.04.2018: ‘Operation GhostSecret’: North Korea Is Suspected in Intensifying Global Cyberattack
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0