5.5 China
Sowohl der Zivil- als auch der Militärsektor von China stehen unter der Kontrolle der Kommunistischen Partei Chinas. Chinas Volksbefreiungsarmee PLA wird verdächtigt, große Cybereinheiten an mindestens einem halben Dutzend Standorten zu unterhalten.
Der zuständige PLA-Bereich ist das General Staff Department GSD, das aus 4 Abteilungen besteht. Dies besteht aus der Abt. Operationen in der 1. Abteilung, der Abt. Intelligence in der 2. Abteilung, der Signals Intelligence und Netzwerk-Verteidigung in der 3. Abteilung und elektronische Gegenmaßnahmen und offensive Cyber-Operationen in der 4. Abteilung. Die NSA verfolgte im Jahr 2014 20 Gruppen aus China, von denen sie über die Hälfte der PLA zuschrieb (so dass von den anderen angenommen werden kann, dass sie dem zivilen Sektor angehören).
Während es offensichtlich ist, dass alle APTs einen spezialisierten Tätigkeitsbereich haben, ist wenig über die Koordination zwischen den APTs bekannt. So müssen alle Annahmen mit Vorsicht durchgeführt werden, weitere Untersuchungen könnten zeigen, dass bestimmte APTs nur Teile von anderen sind oder aktuelle APTs in neue aufgeteilt werden müssen oder eine erneute Zuordnung erfolgen muss.
Unterdessen sind die USA der Ansicht, dass das Ministerium für Staatssicherheit 2015 die Koordination von Cyber-Operationen von der PLA übernommen hat. Im Jahr 2018 stand die APT10 im Verdacht, mit dem Ministerium für Staatssicherheit in Verbindung zu stehen.
5.5.1 APT1/Comment Crew/Comment Panda/TG-8223
Die dritte Abteilung der PLA ist für die Signal Intelligence SigInt zuständig und ist in zwölf Büros gegliedert. Das zweite Büro ist auch als Unit 61398 bekannt und es wird vermutet, dass es auf englischsprachige Organisationen spezialisiert ist, während das zwölfte Büro, die Unit 61486 eine vermutete Spezialisierung auf Satelliten- und Luftfahrtunternehmen hat. Diese Einheit wurde von Sicherheitsfirmen auch Putter Panda/APT2/TG-6952 genannt und ihre Cyberaktivität konnte mit der Unit 61398 wegen der Nutzung gemeinsamer Infrastruktur verknüpft werden.
2013 hat die IT-Sicherheitsfirma Mandiant eine tiefgreifende Analyse chinesischer Cyberaktivitäten vorgelegt. Demnach hat die staatlich gestützte cyber war unit 61398 in der Datong Road in Pudong bei Schanghai in den vergangenen Jahren 141 große Cyberattacken auf Regierungseinrichtungen, Unternehmen und Energieversorger durchgeführt und Mandiant vermutete, dass diese Einheit identisch mit der Hackergruppe APT1 sei, China dementierte dies energisch. Die übliche Cybertaktik besteht in gezielten spear-phishing mails, die Schadsoftware zur Installation kleiner Backdoor-Programme enthält, womit die Möglichkeit zu erweiterten Zugriffen gegeben ist.
Später wurden 5 höhergestellte chinesische Militärs offiziell von den USA angeklagt, auch eine Person, die unter dem Decknamen ‘UglyGorilla’ agierte. Diese Person hatte sowohl eine von APT1 genutzte IP-Adresse registriert wie auch ein im Netz zugängliches Personenprofil als Armeeangehöriger. China wies die Beschuldigungen zurück, aber US-Medien spekulierten, dass dieser Vorgang zu dem vorübergehenden deutlichen Rückgang mutmaßlicher chinesischer Aktivitäten in den Jahren danach beigetragen hatte.
Andere US-chinesische Cyber-Aktivitäten gehen jedoch weiter. Chinesische Hacker sollen im Januar 2018 im Auftrag der chinesischen Regierung in die Rechner einer US-Firma eingedrungen sein, die für das Naval Undersea Warfare Center in Rhode Island arbeitet. Die Dateien lagen in einem ungesicherten Netz, die 614 Gigabyte umfassen auch ein Überschall-Raketensystem, das ab 2020 eingesetzt werden soll.
Die Daten von 500 Millionen Besucher der Starwood-Hotelgruppe, zu der auch die Marriot-Hotelgruppe gehört, wurden seit 2014 kopiert, einschließlich Kreditkarten- und Passnummern etc. Die US-Regierung glaubt, dass dieser Angriff von China durchgeführt wurde, da die Marriot-Hotels häufig von Mitarbeitern der US-Regierung und des Militärs genutzt werden.
5.5.2 APT17/Winnti/Axiom/Barium
Die APT17/Winnti/Axiom/Barium Group ist auch unter vielen anderen Namen bekannt, wie DeepPanda, Shell_Crew, Group 72, Black Vine, HiddenLynx, KungFu Kittens, Winnti Group, Tailgater, Ragebeast, Blackfly, Lead, Wicked Spider, Dogfish, Deputy Dog, Wicked Panda etc.
Die Gruppe führt hochentwickelte Phishingattacken durch Aufsatteln auf laufende reale Konversationen (piggybacking) durch, um das Opfer zum Anklicken von infizierten Links zu motivieren.
Bei der Operation Aurora versuchten mutmaßlich chinesische Angreifer, Zugang zu den Computerprogrammen, genauer gesagt den Quellcodes, von Firmen aus der IT-Branche (allen voran Google, aber auch Adobe) sowie von Hochtechnologiefirmen der Sicherheits-, Computersicherheits- und der Verteidigungsbranche zu erlangen. Andere Operationen waren Angriffe auf die Elderwood-Plattform von 2011-2014, die VOHO-Kampagne, bei der 2012 rund 1.000 Organisationen mit waterholing attackiert wurden, ein Angriff auf japanische Ziele in 2013 und Angriffe auf US Think Tanks in 2014. Verschiedene Zero-day exploits und spezielle Malwarefamilien wurden genutzt, so etwa Zox, Hikit, Gh0st RAT, PoisonIvy, Hydraq und Derusbi. Die Malware Zox und Hikit wurden nur bei Axiom beobachtet, während andere verwendete Malwareprogramme auch von anderen Organisationen genutzt werden Angriffsziele waren eine große Bandbreite an Regierungseinrichtungen, Unternehmen der Technologiebranche und akademischen Institutionen. Sie greift u.a. auch ausgewählte Ziele mit der Blackcoffee-Malware an, um z.B. Daten zur militärischen Intelligence zu gewinnen.
Im Jahr 2019 wurde deutlich, dass diese APT zunehmend auf Methoden setzt, mit der eine große Anzahl von Usern gleichzeitig angegriffen werden kann. So infizierten sie im Rahmen der Operation Shadowhammer ein Update der Firma ASUS, so dass zehntausende von Computern durch das ASUS Live Update befallen werden konnten.
Zudem hat die Winnti–Gruppe (also Axiom/APT17) den IT-Service Provider Teamviewer von 2014-2016 infiltriert, das Teamviewer-Programm wird für Fernzugriffe z.B. von IT-Admins genutzt.
5.5.3 APT10/Red Apollo/CVNX/Stone Panda/menuPass/Potassium
APT10 hat eine massive Spionage-Kampagne gegen Managed Service Provider MSPs (z. B. Unternehmen, die IT-Services, Help Desks und andere Dinge anbieten), durchgeführt, um durch die Überlappung mit firmenspezifischen Infrastrukturen eine große Anzahl von westlichen Unternehmen zu infiltrieren.
Die Angriffe und der neue Operation Cloud Hopper werden wie folgt durchgeführt: Die taktische Malware, EvilGrab und jetzt ChChes, wird durch Spear-Phishing eingeführt, um dann im Falle eines relevanten Ziels dauerhafte Malware, PoisonIvy (bis 2013) und ab 2014 PlugX und Quasar zu installieren.
Im Jahr 2018 wurden zwei Gruppenmitglieder von den USA offiziell angeklagt. Zhu Hua (alias Afwar/CVNX/Alayos/Godkiller) und Zhang Shilong (alias Baobeilong/Zhang Jianguo/Axtreep) wurden als Mitglieder der APT10 identifiziert; beide sind Mitarbeiter der Huaying Haitai Science and Technology Development Company in Tianjin und mit dem lokalen Büro des Ministeriums für Staatssicherheit liiert. Die Gruppe ist mindestens seit 2006 aktiv. Sie führten mehrere Angriffskampagnen durch wie das Eindringen bei Managed Service Providern (MSPs), um auf zahlreiche Firmen in mehreren Ländern Zugriff zu erlangen, sie infiltrierten zudem Dutzende von Technologiefirmen und Regierungseinrichtungen in den USA während der Technology Theft Campaign und stahlen Daten von mehr als 100.000 Mitgliedern der US Navy. Die Anklageschrift präsentierte nur Beispiele und Highlights der Befunde zur APT10, wohl um sensitives Wissen zu schützen; jedoch wird ein sehr viel weitergehendes Detailwissen angedeutet, z.B. durch Nennung der genauen Zahl der infizierten Computer, die Nutzung von Spearphishing und 1,300 einzigartigen malignen Domänen.
Laut Berichten vom Juni 2019 wurde das Jet Propulsion Laboratory JPL der NASA durch das Anschließen eines Rapsberry Pi-Geräts infiltriert, das es dann u.a. ermöglichte, Daten von Mars-Missionen zu stehlen. Im Jahr 2018 wurde auch das JPL Deep Space Network als System von Satellitenschüsseln für die Kommunikation mit Raumschiffen infiltriert. Im Dezember 2018 wurden zwei Mitglieder der APT10 wegen Eindringens in das JPL angeklagt, es wurde jedoch nicht angegeben, ob dieser spezifische Angriff gemeint war.
5.5.4 APT 40 (Temp.Periscope/Temp.Jumper/Bronze Mohawk/Gadolinium/Kryptonite Panda/Leviathan) und Thrip
Satellitenhacks von US-Satelliten wurden bereits seit einem Jahrzehnt gemeldet und China wurde bereits seit längerer Zeit von der US-China Economic and Security Review Commission verdächtigt. Im Juni 2018 meldete Symantec erfolgreiche Vorstöße gegen Satelliten- und Verteidigungsunternehmen durch eine neue APT namens Thrip, der seit 2013 aktiv ist. Diese APT weist möglicherweise Überschneidungen mit der APT40 (Temp.Periscope/Temp.Jumper/Bronze Mohawk/Leviathan) auf.
Die APT40 ist seit 2013 aktiv und konzentriert sich vorzugsweise auf Firmen, die im militärischen Schiffsbau tätig sind. Die Gruppe nutzt eine Vielzahl an Tools, wie Spearphishing, Spoofing (der domain von Thyssen Krupp Marine Systems) und hat in den Jahren 2017 und 2018 unerwartet TTPs der russischen Gruppen Dragonfly und APT28 übernommen. Die Gruppe benutzte das Foxmail–System, das zuvor im Jahr 2012 von einer anderen chinesischen Gruppe namens Luckycat genutzt wurde.
Im Dezember 2016 erlangte die Marine der chinesischen Armee PLA ein unbemanntes Unterwasserfahrzeug (unmanned underwater vehicle UUV) der US Navy und parallel dazu wurden die Cyberaktivitäten gegen Marineforschungseinheiten und -unternehmen erheblich verstärkt.
Die APT40 ist chinesischen IP-Adressen, Befehls- und Kontrollservern in China, chinesischen Arbeitszeiten und mit China zusammenhängenden WHOIS-Registrierungen zugeordnet. Sie verwendet Dutzende neuer und unterschiedlicher Malware-Programme um einzudringen und dauerhaft Fuß zu fassen, die Aufrechterhaltung der Präsenz, das lateral movement, die Eskalation von Zugriffsprivilegien und die Aufklärung.
5.5.5 APT 41/Double Dragon
APT 41 betreibt seit 2012 sowohl Spionage als auch Aktivitäten zu ihrem eigenen Vorteil. Seitdem haben sie Dutzende spezieller Malware-Familien für ihre Aktivitäten verwendet. Die Spionage konzentriert sich auf das Gesundheitswesen, die Telekommunikation und den High-Tech-Sektor, während sich die Aktivitäten im Bereich Cyberkriminalität auf Ransomware- und Cryptomoney-Operationen konzentrieren.
Eine typische Angriffsmethode sind Spear-Phishing-E-Mails mit Anhängen wie kompilierten HTML-Dateien (.chm) für das erste Eindringen, gefolgt von einer weiteren Malware-Bereitstellung.
5.5.6 Weitere mutmaßlich chinesische APTs
Weitere mutmaßlich chinesische APTs sind:
- APT3/Gothic Panda/UPS Team/Pirpi/Clandestine Fox TG-
0110/Buckeye: seit 2014 gezielte Angriffe auf ausgewählte Branchen mit Spearphishing und Zeroday-Exploits
- APT12/Ixeshe/DynCalc/DNSCalc/Numbered Panda/JoyRAT zielt auf Journalisten und militärische Auftragnehmer aus den USA und dem Pazifischen Raum ab, dies seit 2012 durch Spearphishing und die Installation von Malware wie Kürzlich wurde der Etumbot-Angriff in Europa entdeckt, das jetzt ein neuer Schwerpunkt der APT ist
- APT 15/Mirage/Vixen Panda konzentriert sich nun auf Regierungs- und Diplomaten in Russland und ehemaligen Sowjetrepubliken
- APT18/Dynamite Panda/Wekby/TG-0416: Auf Daten von bis zu 4,5 Millionen Mitgliedern der US-amerikanischen Gesundheitsorganisation Community Health Systems, wurde während eines Eindringens zugegriffen.
- APT19/Codoso Team: Mehrere Gesundheitsfirmen wurden angegriffen, Anthem, Premera Blue Cross und CareFirst, alle im Jahr 2015. 2017 griffen sie ihre Opfer mit makrofähigen Excel- (xlsm) und Rich-Text-Format-Anhängen (RTF) an
- APT20/Wocao: Laut Fox-IT konzentriert sich die Operation Wocao auf staatliche Stellen, Managed Service Provider und eine Vielzahl von Branchen. Der Angriff wird typischerweise ausgeführt, indem legitime Zugangskanäle missbraucht werden, z.B. durch Missbrauch von 2FA-Soft-Token, um in VPN-Systeme zu gelangen.
- APT 27/Emissary Panda/TG-3390: ThreatConnect hat im Jahr 2016 die APT 27-Aktivitäten in Europa entdeckt.
- APT30/PLA unit 78020/Naikon: aktive Spionage seit 2004, z.B. auf ASEAN-Gipfeln, modulare Malware wie Backspace zur Überwindung von airgaps
- APT31/Zirconium/Judgment Panda/Bronze Vinewood: Operation Iron Tiger im Jahr 2013 war ein Angriff, wo US-Regierungsvertragspartner in den Bereichen Technologie, Telekommunikation und Energie attackiert wurden. Im Jahr 2020 sollen die APT31 und die iranische APT35 auf den US-Wahlkampf abzielen.
- Mustang Panda/Bronze President/HoneyMyte/RedLich und Red Delta
Die vatikanischen Netzwerke wurden vor Beginn der Gespräche mit China über religiöse Angelegenheiten von chinesischen Hackern infiltriert. Auch die katholische Kirche von Hongkong war betroffen. Es wurde angenommen, dass das APT Red Delta die Angriffe ausführt. Diese Gruppe hat technische Überschneidungen mit der Mustang Panda Group, die seit 2017 beispielsweise für mongolischsprachige Personen aktiv ist.
5.6 Nord-Korea
5.6.1 Die Lazarus-Gruppe (BlueNoroff, Andariel, Hidden Cobra)
Über mehrere Jahre wurden Eindringversuche und Wiperattacken vor allem in Südkorea (insbesondere Operation Troy 2009, Darkseoul/Destover 2013) und den USA beobachtet, aber auch in anderen Ländern.
Ende 2014 wurde eine Cyberattacke auf Sony Pictures Entertainment (SPE) diskutiert, die die Veröffentlichung eines von Nordkorea handelnden Films „The Interview“ betraf. Ein wesentlicher Aspekt war der Einsatz von Wiper-Malware, die Daten und Dateien von Computern löschte, Die Attacke schien jedoch nur eine Überlappung von verschiedenen Angriffsserien zu sein, denn Sony wurde schon häufiger attackiert, und Südkorea ist schon lange das Ziel ausgedehnter Cyberspionage. Zudem ist das der dritte große Vorfall mit Wiper-Malware in den letzten Jahren. Deshalb muss jeder Aspekt gesondert betrachtet werden, zudem zeigt der Vorgang die enormen praktischen Hürden der Attribution und der digitalen Forensik.
In 2016 unternahmen IT-Sicherheitsfirmen mit Firmen wie Symantec, Kaspersky, Alien Vault etc. unter Führung von Novetta die Operation Blockbuster. Die gemeinsame Analyse ergab starke Hinweise, dass zumindest zwei der drei großen Wiperattacken und der Sony/SPE-Hack von derselben Gruppe durchgeführt wurden, die nun Lazarus Gruppe genannt wird. Die Gruppe erweitert ihre Malware ständig, wie zum Beispiel die Trojaner Hangman/Volgmer in 2014 und Wild Positron/Duuzer in 2015.
Im Sommer 2016 wurde diskutiert, ob die Lazarus Gruppe hinter den Angriffen auf das Interbankensystem SWIFT steht, siehe unten.
Allerdings war der SPE-Hack eine der umstrittensten Debatten in der Cyber-Attributions-Geschichte, die sich aus unerwarteten Fakten wie der anfänglichen Geldforderung, Datenverteilung von Computern außerhalb Nordkoreas usw. ergab. Auch die Mischung aus Cyberspionage und verdächtigen cyberkriminellen Aktivitäten wie der Angriff auf das Interbanken-System SWIFT war irritierend.
Allerdings könnten die meisten Widersprüche gelöst werden, wenn die folgenden Annahmen richtig sind:
- Der SPE-Hack war zunächst ein Fall von Cyber-Kriminalität, der zu einem späteren Zeitpunkt zur politischen Materie eskalierte. Dies würde dem Kommunikations- und Angriffsmuster entsprechen.
- Die Lazarus-Gruppe hat einen Kern von staatlich gebundenen Hackern, die Hacker in Südostasien koordinieren. Dies würde seltsame Befunde wie die langen Arbeitszeiten, die Angriffsorte, aber auch die Frage der begrenzten Netzwerkkapazitäten usw. erklären.
Novetta identifizierte 45 Malwarefamilien mit vielen Beispielen von wiederverwendetem Code und überlappender Programmierung. Das schloss auch recht spezielle Anwendungen wie ähnliche Suicide Scripts ein, mit denen man Malwareprogramme nach erfolgreicher Ausführung wieder entfernen kann und ein typisches space-dot-encoding, bei dem Begriffe, die von Sicherheitssoftware erkannt werden können, durch unnötige Leerstellen und Symbole gespreizt werden. Die Programme enthielten auch besondere Rechtschreibfehler wie ‘Mozillar’ statt ‚Mozilla‘ in mehreren Malwarefamilien, eine Nutzung von BAT-Dateien über viele Hangman/Volgmer-Varianten, um Malwarebestandteile nach der Infektion wieder löschen zu können und außerdem wurde für verschiedene Malware-Dropper dasselbe Passwort verwendet. Die Zeitstempel der Programme deuten auf eine Gruppe in der Zeitzone GMT+8 oder GMT+9 hin, was auf Korea passen würde.
Der Lazarusgruppe konnten inzwischen zwei weitere spezialisierte Gruppen zugeordnet werden, Bluenoroff, die sich auf ausländische Finanzinstitutionen konzentrieren, während sich die Gruppe Andariel mindestens seit Mai 2016 auf Ziele in Südkorea konzentriert und es dabei u.a. auf Bankkarten, OnlinePoker und andere Onlinespiel-Seiten abgesehen hat.
5.6.1.1 Wiper Malware-Attacken
Am 15.08.2012 wurde die saudische Ölfirma ARAMCO mit der Shamoon/Disttrack-Malware angegriffen, was mittlerweile der iranischen APT 33 zugerechnet wird (siehe dort); am 20.03.2013 wurden südkoreanische Banken und Sender von der Malware namens DarkSeoul/Jokra während Sony von der Destover-Malware am 24.11.2014 betroffen war. Es gab gewisse Ähnlichkeiten:
Nach dem Eindringen wurde die Malware auf den Computern platziert. Die kommerziell verfügbare Software EldoS RawDisk wurde benutzt, um die Windows-Laufwerke zu erreichen. In allen Fällen fungierte die Malware als logische Bombe, d.h. sie wurde erst zu einem vordefinierten Zeitpunkt aktiv.
In allen drei Fällen wurden Daten von Computern und File-Servern gelöscht und Re-Booting wurde blockiert. Im Aramco-Fall wurde die Ölversorgung vorübergehend beeinträchtigt (32.000 Computer beschädigt), in Seoul wurde die Geschäftstätigkeit der betroffenen Firmen ebenfalls vorübergehend beeinträchtigt (30.000 Computer beeinträchtigt), für Sony Pictures kam es neben Schäden und Datenlecks zur zunächst gestoppten und später nur begrenzten Publikation des Films The Interview.
Zudem bekannten sich in allen drei Fällen ‚Hacktivisten‘ (Hacker und Aktivisten)-Gruppen zur Urheberschaft, aber verschiedentlich wurde vermutet, dass diese Gruppen vielleicht nur Tarnung von staatlichen Aktivtäten sind bzw. diese im Dienste von Staaten stehen könnten, diese waren Cutting Sword of Justice (Aramco), Whois/NewRomanic Cyber Army Team (im Darkseoul hack) und die Guardians of Peace (Sony Pictures). Durch die Operation Blockbuster scheint nun klar zu sein, dass Whois/NewRomanic Cyber Army Team und die Guardians of Peace Aliasnamen der Lazarus Group waren.
Alle Attacken wurden von Warnungen begleitet, die auch graphisch illustriert waren (wie z.B. mit Skeletten und Totenköpfen) und/oder vage formulierten Statements, die keine eindeutige politische Einordnung erlaubten. Das in den Warnungen verwendete Englisch sprach für nicht-native Autoren.
Operation Blockbuster brachte zahlreiche Befunde, die eine Verbindung zwischen der Darkseoul-Attacke und dem Sony/SPE-Hack nahelegen. Jedoch fand sich keine klare Verbindung zu dem Angriff auf Aramco und der Shamoon-Malware. Novetta vermutet einen Kontakt zwischen den Aramco-Hackern und der Lazarus-Gruppe über ein Technologieaustauschabkommen zwischen Nordkorea und dem Iran. Jedoch müsste dann weiter geklärt werden, wieso die Lazarus-Gruppe, die schon seit Jahren aktiv war und ihre Fähigkeiten gezeigt hatte, Hilfe von einer anderen Gruppe brauchte, zudem litt der Iran im selben Jahr wie Aramco unter einer Wiperattacke.
5.6.1.2 Cyberspionage in Südkorea
Die IT-Sicherheitsfirma McAfee identifizierte eine lange Serie von Cyberspionageaktivitäten von mindestens 2009 bis 2013, wo die “Troy“-Familie von Trojanern (benannt nach dem Trojaner HTTP Troy) mit vielen Gemeinsamkeiten benutzt wurde, um militärische Ziele wie auch andere Unternehmen anzugreifen. So wurde z.B. für die Angriffe auf militärische Ziele ein gemeinsames Verschlüsselungspasswort benutzt, das auch für die TDrop-Malware aus der Darkseoul-Attacke verwendet wurde. Weitere Gemeinsamkeiten betrafen den benutzten Code und die Nutzung bestimmter dll.files. Das zeigt an, dass diese Attacken mehr als Cybervandalismus gewesen sind, also nicht nur der Schädigung der befallenen Systems dienen sollten.
Die IT-Sicherheitsfirma Symantec war zudem in der Lage, verschiedene Attacken gegen nicht-militärische Ziele gegen Banken und Rundfunkunternehmen mit den Angreifern von Darkseoul (Symantec verwendet die Bezeichnung Trojan.Jokra) in Verbindung zu bringen, die zusätzlich zum Angriff am 20.03.2014 die Trojaner Dozer und Koredos in DDoS- und Wiper-Malwareattacken in 2009 and 2011 zum Einsatz brachten. Am 63. Jahrestag des Beginns des Koreakriegs wurden die Trojaner Castov und Castdos eingesetzt, um DDoS-Attacken gegen die südkoreanische Regierung zu starten.
Ende 2014 und somit im ähnlichen Zeitraum wie der Sony Hack wurde der einzige südkoreanische Betreiber von Atomkraftwerken Korea Hydro and Nuclear Power Co (KHNP) wiederholt angegriffen und eine Reihe von Personal- und technischen Daten geleakt.
5.6.1.3 Der ‘Sony Hack´ (alias SPE hack)
In den Medien wurde der Begriff Sony-Hack für den Angriff der Hackergruppe Guardians of Peace (GoP) verwendet. Sony als Medienanbieter war aber auch von anderen Attacken betroffen, z.B. im April 2011 von einem massiven Angriff von Unbekannten, die unter anderem die Daten von 77 Millionen Playstationnutzerkonten entwendeten und im Dezember 2014 wurde Sony auch von der Hackergruppe Lizard Squad angegriffen.
Am 21.11.2014 wurde Sony von einer Gruppe, die sich the Guardians of Peace (GoP; Hüter des Friedens) nannte, informiert, dass diese 100 Terabytes an Daten in ihrem Besitz hätte und sie forderten Geld, um eine Veröffentlichung zu vermeiden. Am 24.11.2014 begann die Veröffentlichung von Daten wie von den GoP angekündigt. Am 01.12.2014 wurden große Mengen von internen Sony-Daten, vom St. Regis-Hotel in Bangkok/Thailand und anderen Orten geleakt. In den folgenden Tagen wurden weitere Daten publiziert.
Am 16.12.2014 erwähnten die GoP erstmals ausdrücklich den Film The Interview und drohten mit Terror mit Verweis auf die Ereignisse von 9/11; die geplante Veröffentlichung für den 25.12.2104 wurde zunächst abgesagt.
Der US-Präsident Obama betrachtete dies als einen Akt des Cybervandalismus und bat China um Unterstützung gegen nordkoreanische Attacken, da der einzige Internetprovider in Nordkorea die chinesische Firma China Unicom war. Ein nachfolgender Zusammenbruch des nordkoreanischen Internets am 22.12.2014 löste Spekulationen über einen Vergeltungsakt aus, jedoch hatte das nordkoreanische Netz schon vorher manchmal technische Probleme. An Weihnachten 2014 wurde der Film Das Interview in einer begrenzten Anzahl von Kinos publiziert. Zudem wurden Sanktionen gegen einige nordkoreanische Personen Anfang 2015 verhängt, diese standen aber mit militärtechnologischen Angelegenheiten, nicht mit dem Sony-Hack in Verbindung.
Die Herkunft des Angriffs wurde intensiv diskutiert. Die zentralen Argumente für Nordkorea als Ursprung waren die folgenden:
Das FBI fand heraus, das einige der von den Hackern für den Sony-Hack genutzten IP-Adressen ausschließlich von Nordkorea genutzt werden und die Hacker wohl aus Versehen ihre Facebook-Accounts über diese Adressen nutzten. Hinzu kommen die Ähnlichkeiten in den Wiper-Malwareattacken. Die Systemeinstellungen des zur Programmierung der Malware genutzten Computers waren koreanisch, außerdem benutzten die Hacker einige koreanische Begriffe. Der Sony-Hack und die anderen Angriffe auf Südkorea verwendeten einen gemeinsamen Command and Control-Server, der sich in Bolivien befand.
Außerdem wurde über Nordkoreas wichtigsten Nachrichtendienst, das General Reconnaissance Bureau, berichtet, dass dieser über Cyberfähigkeiten verfügt, insbesondere zwei Einheiten mit den Namen Unit 121 (Einheit 121) und No. 91 office (Büro Nr.91). Das General Reconnaissance Bureau wurde um 2009-2010 zur Bündelung der Cyberaktivitäten gegründet. Es gibt einige wenige Berichte, nach denen einige dieser Personen aufgrund der begrenzten Internetkapazitäten des Landes vom Ausland aus operieren sollen.
Dies würde mit den Ergebnissen eines kürzlich veröffentlichten Berichts übereinstimmen, dass Nordkorea mittlerweile mehrere spezialisierte Einheiten hat, darunter auch die Unit 180 für Cyber-Operationen im Finanzsektor. Cyber-Spezialisten würden aus dem Ausland wie China und Malaysia operieren, um die Zuordnung zu blockieren und die größere Internet-Infrastruktur nutzen. Die russische Firma Russian TransTeleCom betreut seit Oktober 2017 60% des nordkoreanischen Internetverkehrs, während der bisherige Alleinanbieter China Unicom weiterhin 40% betreut. Schätzungen zufolge hat Nordkorea immer noch nicht viel mehr als 1000 Internetverbindungen ins Ausland.
Es wurde außerdem argumentiert, dass Nordkorea ein klares politisches Motiv gehabt hat, jedoch hat Nordkorea jede Beteiligung an dem Angriff auf das Schärfste zurückgewiesen.
Alternative Theorien wurden diskutiert, denn die Angreifer haben anfangs nach Geld gefragt und erst später, als die Medien einen möglichen Zusammenhang mit dem Film The Interview erörterten, erfolgte ein Wechsel zu der politischen Forderung, den Film nicht zu veröffentlichen. Die norwegische IT-Sicherheitsfirma Norse vermutete 6 Personen aus den USA, Kanada, Singapur und Thailand hinter den Guardians of Peace, einer von diesen war ein ehemaliger Sony-Mitarbeiter mit IT-Kenntnissen des Unternehmensnetzwerkes. Insbesondere fand man Kommunikationen dieses Mitarbeiters mit einer Person, die direkt mit dem Server in Verbindung gebracht werden konnte, wo die erste Version der Malware im Juli 2014 kompiliert wurde. Die genutzten IP-Adressen wären auch von anderen Hackergruppen genutzt worden und die Schadsoftware wäre auf dem Schwarzmarkt verfügbar gewesen.
Die US-Behörden bestätigen jedoch ihre Einschätzung und argumentierten, dass sie nicht alle Beweise offenlegen könnten, um Hackern keine zu große Einsicht in ihre Ermittlungsmethoden zu geben. Deshalb hielt das FBI an seinen Schlussfolgerungen zur Angriffsquelle fest. Zudem berichtete die New York Times, dass die NSA in der Lage gewesen sei, in nordkoreanische Netzwerke über Malaysia und Südkorea vorzudringen, so dass sie in der Lage gewesen sei, nordkoreanische Hackeraktivitäten zu beobachten und nachzuverfolgen, aber eine offizielle Bestätigung dieser Darstellung wurde zunächst nicht gegeben.
5.6.1.4 Die SWIFT-Attacken
Im Sommer 2016 vermuteten Sicherheitsexperten von BAE Systems die Lazarus Group hinter dem Eindringen in das globale Finanznetzwerk SWIFT (Society for Worldwide Interbank Financial Telecommunication), wodurch am 04.02.2016 der Transfer von 81 Millionen Dollar von der Zentralbank in Bangladesch zu anderen Konten möglich war. Ursprünglich sollten 951 Millionen Dollar transferiert werden, aber ein Schreibfehler im Wort ‘foundation’ alarmierte die Banker und weitere Transfers konnten gestoppt werden. Die Sicherheitsprobleme entstanden womöglich durch veraltete Computer, die Überweisungszeiten lagen außerdem außerhalb der Arbeitszeiten in Bangladesch, um Rückfragen und Informationen der Bank vor dem Transfer zu verhindern. Mittlerweile wurden weitere Attacken auf das SWIFT System für Banken in Ecuador, der Ukraine und Vietnam berichtet.
Der WiperCode, der zur Spurenverwischung genutzt wurde, war derselbe wie beim Sony/SPE-Hack.
Der SWIFT-Interbanking-Angriff ist von besonderer Bedeutung, denn inzwischen hat sich gezeigt, dass sowohl die Lazarus-Gruppe als auch zu Carbanak-gehörende Hacker unabhängig voneinander das gleiche Ziel angegriffen haben. Der Wiper-Code, der von der Lazarus-Gruppe benutzt wurde, um die Bankhacks zu verschleiern, war identisch zu dem, der im SPE-Angriff verwendet wurde, während die mutmaßlichen Carbanak-Hacker letztere eine neue Malware namens Odinaff benutzten.
Die polnische Finanzaufsichtsbehörde wurde gehackt, um ihre Webseite als Watering Hole zu nutzen, die Kampagne begann im Oktober 2016, wurde anscheinend von der Lazarus/BlueNoroff Gruppe durchgeführt und im Februar 2017 entdeckt.
2017 berichtete BAE Systems, dass die Lazarusgruppe wohl auch für die Entwendung von 60 Millionen Dollar von der taiwanesischen Bank Far Eastern International Bank verantwortlich war.
5.6.1.5 Die WannaCry/Wanna Decryptor und Adylkuzz-Attacken
Wie bereits erwähnt, wurden am 14. April 2017 weitere Tools von den Shadow Brokers einschließlich DoublePulsar, EternalBlue und EternalRomance geleakt, die dann vermutlich von anderen Akteuren zur Vorbereitung von drei großen Cyberangriffen namens WannaCry/WanaDecryptor 2.0, Adylkuzz und Petya/Not-Petya/Petya2017 verwendet wurden.
Bereits am 24. April 2017 wurden 183.107 Computer mit DoublePulsar nach Angaben von Binary Edge infiziert.
Anfänglich wurde dem Phänomen nur wenig öffentliche Aufmerksamkeit geschenkt, jedoch begann am gleichen Tag (24. April 2017) der Adylkuzz-Malware-Angriff. Diese Malware überprüfte Computer auf eine bereits vorhandene Infektion mit DoublePulsar und wenn nicht, wurde eine Infektion mit EternalBlue durchgeführt, wenn möglich.
Dies ermöglichte die Erstellung eines Botnetzes für die Schaffung virtuellen Geldes, das virtual money mining.
Virtuelles Geld, wie Bitcoin, wird durch eine Folge komplexer Berechnungen erzeugt, die mathematisch mit den zuvor erzeugten Bitcoins verknüpft sind, einem Validierungsverfahren, das als Blockchain bekannt ist. Da eine entsprechende Rechenleistung erforderlich ist, sind diejenigen, die ein neues Bitcoin berechnen, die Besitzer des neuen Bitcoins. Zusammenfassend ist das Bitcoin mining der Berechnungsaufwand für die Schaffung eines neuen Bitcoins.
Die illegale Nutzung fremder Computer zum bitcoin mining ist auch als cryptojacking or collective mining bekannt. Eine 2017 verbreitete mining-Malware war Coinhive.
Adylkuzz nutzt jetzt infizierte Computer für das Bitcoin mining, überträgt aber das Ergebnis an den Kontrollserver und löst hiermit das virtuelle Geld von den erschaffenden Computern. Virtuelles Geld ist auch als digitales Geld oder Krypto-Währung bekannt. Aus mathematischen Gründen ist das Maximum von Bitcoins begrenzt, weitere Arten von virtuellem Geld sind in der Entwicklung.
Crimeware ist Malware zur Unterstützung krimineller Aktivitäten. Weit verbreitete Crimeware besteht aus Spionagesoftware, um an Onlinebankingdaten zu gelangen, oder Trojanern, um Botnetze für DDoS-Attacken einzurichten. Eine zunehmend genutzte Crimeware-Art ist Ransomware (wörtlich ‘Erpressungssoftware’), die Dateien oder Festplatten des Zielcomputers verschlüsselt, um dann Geld für die Entschlüsselungscodes zu fordern, z.B. als Überweisung von virtuellem Geld (Bitcoins) auf Auslandskonten. Moderne Ransomware kann auch externe Festplatten und Cloudspeicher verschlüsseln, aktuelle Beispiele für Ransomware sind Locky und Cryptowall.
Am 12. Mai 2017 begannen Masseninfektionen von mehr als 200.000 Computern in über 150 Ländern mit der Ransomware WannaCry. Es wurde auch WannaCry 2 genannt, sowie Wanna Decryptor 2.0, WanaCrytOr 2.0 und Wanna Decryptor 2. Wie Adylkuzz überprüft diese Malware Computer auf eine bereits vorhandene Infektion mit DoublePulsar und nur wenn der Computer nicht mit DoublePulsar infiziert ist, wurde eine Infektion mit EternalBlue durchgeführt, wenn möglich. Dies könnte zur schnellen Masseninfektion beigetragen haben, obwohl der EternalBlue-Exploit von Microsoft bereits nach einer Warnung von der NSA an einem Patch-Day im März 2017 geschlossen wurde.
Die Ransomware-Ausbreitung wurde durch die Registrierung und Aktivierung einer hartcodierten IP-Domain, die im Malware-Code erwähnt wurde, durch einen IT-Forscher blockiert, weil die Aktivierung einen vorprogrammierten Stopp der Malware-Verbreitung induzierte.
Die Analyse zeigte, dass WannyCry relevante Ähnlichkeiten mit einer Funktionalität eines Trojaners hatte, der bei SWIFT-Attacken verwendet wurde. Technische Überschneidungen wurden zum SPE- und SWIFT-Hack gefunden, auch für den polnischen Bankangriff vom Februar 2017.
Nach dem Angriff wurde diskutiert, warum so viele alte Windows-Systeme noch aktiv sind, da insbesondere Windows XP anfällig war. Allerdings sind oft Windows-Systeme in ein institutsspezifisches digitales Ökosystem von Anwendungen eingebettet und Updates tragen das Risiko von Schäden oder Kollaps, die in Wirklichkeit hohe Hürden für die Erneuerung darstellen.
Über Phishing emails wird von den nordkoreanischen Hackern eine Malware verschickt, die laut des südkoreanischen Computer Emergency Response Team (CERT) eine Adobe Flash-Player Lücke nutzt.
In einem Fall hatte das Bitcoin-Mining den attackierten Server überlastet, so dass eine Spur nach Nordkorea gesichert werden konnte. Zusätzlich zum Bitcoin-Mining werden zunehmend digitale Tauschbörsen angegriffen. Der Schaden wird vom britischen Geheimdienst GCHQ auf bis zu 1 Milliarde Dollar pro Jahr geschätzt. Bei einem Angriff auf die japanische Börse Coincheck 2018 wurden 523 Millionen Einheiten der Kryptowährung XEM gestohlen mit einem Schätzwert von 430 Millionen Euro, die Urheber konnten noch nicht geklärt werden. Das Geld war in einer “heissen”, d.h. online ans Internet angeschlossenen Börse aufgehoben worden, statt in einer sichereren offline “kalten” Börse (cold wallet).
Der südkoreanischen Krypto-Börse Coinrail wurden 2018 bei einem Hackerangriff 31 Millionen Euro gestohlen. Kleinere Währungen wie NXPS waren betroffen. Das Geld war nicht in einer cold wallet gesichert, d.h. die Gelder waren vom Internet aus direkt zugänglich.
Die Sicherheitsfirma Proofpoint berichtete 2018 vom Mining Botnetz Smominru, das ebenfalls den EternalBlue-Exploit auf Windows-Servern ausnutzt und ca. eine halbe Million Computer zum Kryptomining nutzt. Seit Mai 2017 wurden rund 8900 Einheiten der Kryptowährung Monero generiert, was Anfang Februar 2018 ca. 24 Monero am Tag = ca. 8900 Dollar pro Tag entsprach.
5.6.1.6 Die Olympic Destroyer (false flag)-Attacke 2018
Lazarus wurde verdächtigt, einen Netzwerk-Wurm-Angriff mit der Malware Olympic Destroyer auf die Olympischen Winterspiele in Pyeongchang in Südkorea durchgeführt haben, die zu verschiedenen unzugänglichen Olympia-Websites führte, aber Kaspersky zeigte, dass dies ein false-flag-Angriff war, bei dem ein unbekannter Dritter einen digitalen Fingerabdruck von Lazarus im Angreifercode platzierte. Außerdem verwendet Lazarus lange und zuverlässige Passwörter und hartkodiert keine Passwörter in der Malware. Ein Wiper-Element wurde zu spät hochgeladen, also zwei Stunden nach der Eröffnungsfeier.
5.6.1.7 Das Park Jin-hyok indictment 2018
Experten von Mandiant (der gleichen Firma, die APT1 analysierte) unterstützten die FBI-Ermittlungen zur Lazarus-Gruppe. Eine fiktive Person namens Kim Hyon Woo nutzte die Konten der staatlichen Firma Chosun Expo und wurde als Park Jin-hyok identifiziert, der als ein nordkoreanischer Geheimdienstoffizier des Lab 110 des Militärgeheimdienstes RGB gilt. Er benutzte eine Reihe von E-Mail-Accounts mit dem Cover-Namen Kim Hyon Woo, die von Computern aufgerufen wurde, die in mehreren Angriffen der Lazarus-Gruppe verwendet wurden, wie z.B. im SPE-Hack, der Lockheed-Angriffe und dem Angriff auf die Zentralbank von Bangladesch Die nordkoreanischen IP-Adressen wurden als Befehls- und Steueradresse für verschiedene Malware-Arten verwendet, z.B. für den Angriff auf Lockheed Martin.
Zu beobachten waren unter anderem eine Wiederverwendung von Code-Schnipseln und die Verwendung von FakeTLS. Die Transport Layer Security TLS ist ein kryptografisches Protokoll und ein FakeTLS imitiert authentisch verschlüsselten TLS-Verkehr, so dass Computerwarnsysteme nicht reagieren. Dies wurde bei WannaCry, Macktruck (SPE Hack), Nestegg und Contopee (Bank-Attacken in Asien) usw. verwendet. Darüber hinaus gibt es mehrere technische Beziehungen zu den Malwaretypen Destover, dem Brambul-Wurm und Wannacry.
5.6.1.8 Fake Cryptocurrency Plattformen
Die Lazarus-Gruppe ist im Jahr 2020 weiterhin aktiv. In der Zwischenzeit haben sie gefälschte Kryptowährungs-Handelsgruppen (Fake Cryptocurrency) eingerichtet, die den in Telegram vorhandenen ähnlich sind, um Opfer anzulocken. Lazarus versucht nun, Angriffe über den Speicher auszuführen, als Malware auf die Festplatte zu legen, um unentdeckt zu bleiben.
5.6.2 APT37 und APT 38
Im Bezug auf Nordkorea hat FireEye eine Differenzierung der Aktivitäten innerhalb der Lazarus-Gruppe festgestellt, die zur Entstehung von zwei neuen APTs, der APT37 (auch bekannt als Reaper, Ricochet Chollima, Group 123 oder Scarcruft) und APT 38 geführt haben, die beide spezifische Taktiken, Techniken und Verfahren haben und damit ein spezifisches Profil. Beide APTs sind auf die Finanzoperationen spezialisiert, aber APT38 ist darauf spezialisiert, Beweismittel oder Zielnetzwerke im Rahmen ihrer Operationen zu zerstören.
Klaus Saalbach; 2020
https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598 (https://creativecommons.org/licenses/by/3.0/de/
Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.