Die Aufdeckung der Hacking-Operationen Nordkoreas
In dieser Woche wurde intensiver über die Online-Aktivitäten von Nordkoreas Hackergruppen berichtet. Mandiants Analyse zeigt APT45 als ein aggressives, kriminelles Kollektiv. Die beabsichtigten Ziele sind diverse, darunter Gesundheitsdienstleister, Finanzinstitutionen und Unternehmen des Energiesektors. Das ursprünglich als Andariel oder Silent Chollima bekannte Team hat sich auf gefährliche Daten-Erpressungsangriffe spezialisiert. Diese Angriffe richten sich gegen besonders sensible Einrichtungen.
Die Unterstützung des nordkoreanischen Regimes
APT45 agiert nicht im luftleeren Raum. Die Hacker unterstützen die strategischen Interessen von Kim Jong Uns Regime. Ihre Operationen umfassen nicht nur Cyberespionage, sondern auch die Erpressung durch Ransomware. Mandiant hat Hinweise darauf gefunden, dass das Team verstärkt in finanzielle Kriminalität involviert ist. Eine Schlussfolgerung ist, dass die Mehrheit der Operationen gegen Regierungseinrichtungen geht, zumeist in Südkorea.
Internationale Warnungen und verdeckte Operationen
Der Bericht von Mandiant fällt zeitlich mit einer Massenwarnung der US-Regierung und ihrer Verbündeten zusammen. Die Warnung richtet sich gegen die von nordkoreanischen Hackern eingesetzten Werkzeuge und Taktiken. Ein Sprecher von Mandiant erklärte, dass sie eng mit dem FBI und anderen Regierungsbehörden zusammenarbeiten. Der Fokus liegt hierbei auf dem Diebstahl von militärischen Geheimnissen. Besondere Anlagen wie schwere und leichte Panzer, selbstfahrende Haubitzen und Munitionstransportfahrzeuge standen im Blickfeld.
Die Fähigkeit zur Anpassung und zum gezielten Angriff
Michael Barnhart leitet Mandiants Team für nordkoreanische Bedrohungen. Laut Barnhart zeigt APT45 eine bemerkenswerte Anpassungsfähigkeit. Diese Hackergruppe hat kein Skrupel, sensible Einrichtungen anzugreifen, um ihre Ziele zu erreichen. Ihre ersten Aktivitäten zielten auf Regierungsbehörden ab, aber das Spektrum hat sich ausgedehnt. Es wurden gezielte Angriffe auf Finanzinstitute und kritische Infrastruktur durchgeführt. Besondere Aufmerksamkeit erhielt die APT45 für Angriffe auf nukleare Forschungseinrichtungen.
Die Rolle von Ransomware und finanzieller Kriminalität
Obwohl Mandiant vorsichtig agiert und die Zuordnung der APT45 zu Ransomware-Angriffen nicht explizit bestätigt, gibt es klare Indizien. Die Gruppe wird mit dem Einsatz der MAUI-Ransomware in Verbindung gebracht. Diese soll vor allem im Gesundheits- und öffentlichen Sektor eingesetzt worden sein. Interessant zu bemerken ist, dass Mandiant spezifische Merkmale in den Malware-Aktivitäten der nordkoreanischen Hacker festgestellt hat. Dazu gehören die Wiederverwendung von Code, einzigartige Kodierungen und spezifische Passwörter.
Schlussbetrachtung: Bedrohung und Prävention
Die Veröffentlichung von Mandiant enthält eine VirusTotal-Sammlung mit Anzeichen für APT45-bezogene Kompromittierungen. Diese Maßnahme soll Verteidigern helfen, Infektionen frühzeitig zu identifizieren. Die Risiken durch nordkoreanische Hacker sind unbestritten und bedürfen einer permanenten Wachsamkeit. Der Kampf gegen Cyberkriminalität erfordert eine weitreichende Kooperation internationaler Partner. Es bleibt abzuwarten, wie sich die Situation weiterentwickeln wird und welche Maßnahmen ergriffen werden, um die digitalisierte Bedrohung zu bekämpfen.