Lazarus wieder aktiv

Kims Hacker attackierten Raumfahrtunternehmen

Die Lazarus-Gruppe, eine der vermutlich größten Hacker-Gruppen der Welt, ist wieder aktiv geworden. Nach Angaben des IT-Sicherheitsspezialisten ESET griffen die nordkoreanischen Cyberkriminellen im vergangenen Jahr ein Luft- und Raumfahrtunternehmen in Spanien an.

Dabei gaben sie sich einer Mitteilung zufolge als Recruiter des Facebook-Mutterkonzerns Meta aus, um sich über Mitarbeiter Zugriff auf das Netzwerk des Unternehmens zu verschaffen. Mit solchen Attacken wollten die Hacker an technologisches Know-how aus der Branche gelangen - Informationen, die das international geächtete Nordkorea dringend für sein Raketenprogramm braucht, hieß es.

„Lazarus tritt immer wieder in Erscheinung. Der aktuelle Fall zeigt, dass Nordkorea keine Kosten und Mühen scheut, um an Forschungsdaten aus der Luft- und Raumfahrt zu gelangen und sein eigenes militärisches Raketenprogramm weiter voranzutreiben“, erklärte ESET-Forscher Peter Kálnai, der den Angriff entdeckt hat.

Im vergangenen Jahr erhielten demnach mehrere Mitarbeiter des namentlich nicht genannten spanischen Unternehmens über das Business-Netzwerk LinkedIn eine Nachricht von angeblichen Personalbeschaffern von Meta. Eine Anstellung beim Konzern, der hinter Facebook, Instagram und WhatsApp steht, sei meist gut bezahlt und mit hohem Prestige verbunden. Die Hoffnung auf einen Job bei Meta hätten die Hacker ausgenutzt.

Hintertür installiert
Nach einem kurzen Smalltalk gaben sie der Mitteilung zufolge ihren Opfern zwei Programmieraufgaben, bei denen IT-Profis ihr Talent unter Beweis stellen sollten, im aktuellen Fall Kenntnisse in der Programmiersprache C++. Anstatt der zwei Aufgaben, angeblich Teil des offiziellen Einstellungsprozesses, installierten die Mitarbeiter unwissentlich jedoch mehrere Schadprogramme auf ihren Dienstgeräten.

Darunter auch eine bis dato unbekannte und den Sicherheitsexperten nach „hochentwickelte“ Backdoor, die die Funktionalität von nativen Windows-Befehlen nachahmte. Der Vorteil bei dieser Methode: Anstatt Befehle auffällig über die Eingabekonsole von Windows auszuführen, fand die gesamte Arbeit „unter der Haube“ statt, wodurch es schwer fiel, diese zu erkennen und zu analysieren.

Ein weiterer Schutzmechanismus verschleierte die Aktivitäten zusätzlich: Die Hacker stellten sicher, dass die von den beiden Programmieraufgaben nachgeladenen Schadprogramme nur auf dem Rechner des Opfers entschlüsselt werden konnten. So sollten beispielsweise Sicherheitsforscher nicht darauf zugreifen können.

„Hoher Professionalisierungsgrad“
„Die Art und Weise, wie Lazarus bei seinen Angriffen vorgeht, zeigt den hohen Professionalisierungsgrad der Gruppe“, erläuterte Kálnai. Spear Phishing gehöre aufgrund der hohen Erfolgsquote zu den beliebtesten Werkzeugen von Hackern. Unternehmen sollten daher ihre Mitarbeiter regelmäßig über die Gefahren aufklären und gleichzeitig geeignete IT-Sicherheitslösungen verwenden, empfahl der Experte.

Seit 2009 aktiv
Die Lazarus-Gruppe, auch bekannt als Hidden Cobra, ist eine nordkoreanische Cyberspionage-Gruppe und mindestens seit 2009 aktiv. Die Vielfalt, die Anzahl und die Exzentrizität ihrer Kampagnen sind laut ESET kennzeichnend für diese Gruppe. Sie deckt alle drei Säulen der Cyberkriminalität ab: Cyberspionage, Cybersabotage und Raub.

Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für mit Nordkorea verbündete Hacker-Gruppen. Das Land hat bereits mehrere Raketentests durchgeführt, die gegen Resolutionen des Sicherheitsrates der Vereinten Nationen verstoßen.