All Stories
Follow
Subscribe to ESET Deutschland GmbH

ESET Deutschland GmbH

Nordkoreanische Hackergruppe attackiert spanisches Luft- und Raumfahrtunternehmen

Jena (ots)

Die Lazarus-Gruppe, eine der vermutlich größten Hacker-Gruppen der Welt, ist wieder aktiv geworden. Wie ESET Forscher herausgefunden haben, griffen die nordkoreanischen Cyberkriminellen im vergangenen Jahr ein Luft- und Raumfahrtunternehmen in Spanien an. Dabei gaben sie sich als Recruiter des Facebook-Mutterkonzerns Meta aus und verschafften sich über Mitarbeiter Zugriff auf das Netzwerk des Unternehmens. Mit solchen Attacken wollen die Hacker an technologisches Know-how aus der Branche gelangen - Informationen, die das international geächtete Nordkorea dringend für sein Raketenprogramm braucht.

"Lazarus tritt immer wieder in Erscheinung. Der aktuelle Fall zeigt, dass Nordkorea keine Kosten und Mühen scheut, um an Forschungsdaten aus der Luft- und Raumfahrt zu gelangen und sein eigenes militärisches Raketenprogramm weiter voranzutreiben", erklärt ESET Forscher Peter Kálnai, der den Angriff entdeckt hat.

Alles beginnt mit einer LinkedIn-Anfrage

Im vergangenen Jahr erhielten mehrere Mitarbeiter über das Business-Netzwerk LinkedIn eine Nachricht von angeblichen Personalbeschaffern von Meta. Eine Anstellung beim Konzern, der hinter Facebook, Instagram und WhatsApp steht, ist meist gut bezahlt und mit hohem Prestige verbunden. Die Hoffnung auf einen Job bei Meta nutzten die Hacker aus: Nach einem kurzen Smalltalk gaben sie ihren Opfern zwei Coding Challenges. Dabei handelt es sich um Programmieraufgaben, bei denen IT-Profis ihr Talent unter Beweis stellen, im aktuellen Fall Kenntnisse in der Programmiersprache C++. Die beiden Challenges sind angeblich Teil des offiziellen Einstellungsprozesses.

"Hello World" und Fibonacci

Um die beiden Aufgaben zu lösen, mussten die Angesprochenen zwei Dateien ausführen, Quiz1.exe und Quiz2.exe. Bei ersterem handelte es sich um ein "Hello World"-Programm, dessen einzige Aufgabe darin bestand, "Hello World" zu schreiben. Angehende Programmierer entwickeln solche Programme zu Beginn ihrer Ausbildung, um sich mit verschiedenen Programmiersprachen vertraut zu machen. Die zweite Datei stellte eine Fibonacci-Folge dar, eine festgelegte Zahlenfolge, die sich unendlich fortsetzt und bei der jede Zahl die Summe der beiden vorherigen Zahlen ist (0, 1, 1, 2, 3, 5, 8, 13 usw.).

Für erfahrene Programmierer sind solche Programme ein Witz. Führten sie sie allerdings aus, hatten die Hacker ihr Ziel erreicht: Die beiden Dateien luden die eigentlichen Schadprogramme nach.

Neue Tarnkappen-Backdoor aktiv

Unter den verschiedenen Schadprogrammen, die die Mitarbeiter unwissentlich auf ihren Dienstgeräten installierten, befand sich auch eine bis dato unbekannte und hochentwickelte Backdoor ("LightlessCan"). Sie ahmt die Funktionalität von nativen Windows-Befehlen nach. Der Vorteil bei dieser Methode: Anstatt Befehle auffällig über die Eingabekonsole von Windows auszuführen, findet die gesamte Arbeit "unter der Haube" statt. Hierdurch tarnt sich das Programm und macht es schwer, seine Aktivitäten zu erkennen und zu analysieren.

Ein weiterer Schutzmechanismus verschleierte die Aktivitäten zusätzlich: Die Hacker stellten sicher, dass die von Quiz1.exe und Quiz2.exe nachgeladenen Schadprogramme nur auf dem Rechner des Opfers entschlüsselt werden konnten. So sollten beispielsweise Sicherheitsforscher nicht darauf zugreifen können. Hiermit versuchten die Cyberkriminelle sowohl die Erkennung als auch die Auswertung ihres Angriffs zu erschweren.

"Die Art und Weise, wie Lazarus bei seinen Angriffen vorgeht, zeigt den hohen Professionalisierungsgrad der Gruppe", sagt Peter Kálnai. "Spear Phishing gehört aufgrund der hohen Erfolgsquote zu den beliebtesten Werkzeugen von Hackern. Unternehmen sollten daher ihre Mitarbeiter regelmäßig über die Gefahren aufklären und gleichzeitig geeignete IT-Sicherheitslösungen verwenden."

Lazarus' regelmäßige Wiederauferstehung

Die Lazarus-Gruppe, auch bekannt als HIDDEN COBRA, ist eine nordkoreanische Cyberspionage-Gruppe und mindestens seit 2009 aktiv. Die Vielfalt, die Anzahl und die Exzentrizität ihrer Kampagnen sind kennzeichnend für diese Gruppe. Sie deckt alle drei Säulen der Cyberkriminalität ab: Cyberspionage, Cybersabotage und Raub. Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für mit Nordkorea verbündete APT-Gruppen. Das Land hat bereits mehrere Raketentests durchgeführt, die gegen Resolutionen des Sicherheitsrates der Vereinten Nationen verstoßen.

Weitere technische Informationen über Lazarus, seinen jüngsten Angriff und die LightlessCan-Backdoor finden Sie in dem Blogbeitrag "Lazarus lockt Mitarbeiter mit trojanisierten Programmieraufgaben: Der Fall eines spanischen Luft- und Raumfahrtunternehmens" auf WeLiveSecurity. ESET Research wird die Ergebnisse dieses Angriffs auf der Virus Bulletin Konferenz in London am 4. Oktober 2023 vorstellen.

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de


Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original content of: ESET Deutschland GmbH, transmitted by news aktuell

More stories: ESET Deutschland GmbH
More stories: ESET Deutschland GmbH
  • 21.09.2023 – 10:30

    Bewerbungsgespräch als IT-Security-Spezialist? Mit diesen 7 Tipps klappt's

    Jena (ots) - Deutschen Unternehmen fehlen zurzeit etwa 137.000 IT-Experten. Besonders gefragt sind Fachkräfte in der IT-Security, schließlich lauern Bedrohungen durch Hacker, Ransomware & Co. überall. Senken alle Branchen nun ihre Standards, was zukünftige Mitarbeiter angeht - Hauptsache, die Stelle ist besetzt? Weit gefehlt, Unternehmen behalten ihre hohen ...

  • 20.09.2023 – 10:47

    Sexuelle Belästigung im Internet: Was tun, wenn das eigene Kind betroffen ist?

    Jena (ots) - Immer mehr Kinder werden im Internet sexuell belästigt. Beim sogenannten Cyber-Grooming haben sich die Fallzahlen vor allem bei den Acht- bis Zwölfjährigen verzehnfacht, wie die aktuelle Studie der Medienanstalt NRW ergab. Besorgniserregend ist, dass jedes vierte Kind schon einmal von einem Erwachsenen zu einem Treffen aufgefordert wurde und auch ein ...

  • 11.09.2023 – 12:02

    Iranische Hackergruppe spioniert Unternehmen aus

    Jena (ots) - Die aus Iran stammende und höchst gefährliche Hackergruppe Ballistic Bobcat greift seit September 2021 Organisationen verschiedener Branchen in mehreren Ländern an. Der Großteil der 34 betroffenen Betriebe befindet sich in Israel, aber auch in Brasilien und den Vereinigten Arabischen Emiraten. Das Ziel der Kriminellen: wertvolle Daten in den Bereichen Industrie, Finanzen, Medien, Gesundheitswesen und ...