Trojaner-Angriffe gegen Ziele in Nordkorea angelaufen

Rund um die bevorstehenden Manöver der südkoreanischen Streikräfte mit ihren US-Verbündeten kamen zwei neue und massive Spionagekampagnen mit Trojaner-Schadsoftware gegen das Regime in Pjöngjang ans Tageslicht.

Von Erich Möchel

Während die Welt noch rätselt, welche Seite im Konflikt zwischen Nordkorea und den USA nun welche Maßnahmen ergreifen wird, sind laut mehreren Anti-Virusfirmen mindestens zwei große „Cyber“-Kampagnen gegen nordkoreanische Ziele angelaufen. In beiden Angriffswellen werden mit Trojaner-Schadsoftware verseuchte Word-Dokumente an Repräsentanten, Handelsfirmen und Organisationen des nordkoreanischen Regimes verschickt.

Obwohl die Schadsoftwares über gefälschte E-Mails nur zielgerichtet verbreitet werden, landeten dennoch mehrere Exemplare bei mindestens drei US-Sicherheitsfirmen. Das ist ein Hinweis darauf, dass es sich um größer angelegte Kampagnen handeln muss. Sicherheitsforscher rechnen außerdem damit, dass sowohl die „Konni“-Trojanersuite wie auch „DarkHotel“ bald über neue „Features“ verfügen könnten.

CC0 - Public Domain

Gezielte Spionage als Auftakt

Was solche Malware aus dem Militärkomplex anrichten kann, vor allem wenn sie von böswilligen Dritten umfunktioniert wird, zeigt der enorme Schaden, den „Petya“ und „WannaCry“ angerichtet haben

Solche gezielten Spionageangriffe („targeted attacks“) auf ausgesuchte Ziele sind üblicherweise nur der Auftakt für den eigentlichen Angriff. Über gekaperte Rechner können weitere Ziele im abgeschotteten Netz Nordkoreas von innen angegriffen werden. Gestohlen werden dabei nämlich vor allem Zugangsdaten, über die dann tief in die Zielnetze vorgedrungen wird. All das beherrscht der Spionagetrojaner „Konni“, der von Forschern der US-Security-Firma Talos erst Ende Mai entdeckte wurde, obwohl er bereits seit drei Jahren in Umlauf ist.

In Folge konnten den Unbekannten hinter dieser Trojanersuite auch vergangene Angriffe von den Analysten zugeordnet werden. Auch alle vergangenen Ziele lagen in Nordkorea, die Verbreitung der Schadsoftware aber war insgesamt so gering, dass sie bis dato unter dem Radar der Forscher blieb. Einen Tag nach dem Abschuss einer ballistischen Rakete von einer nordkoreanischen Basis Anfang Juli war eine neue und verbesserte Version von Konni aufgetaucht, die ebenfalls in Richtung Nordkorea in Marsch gesetzt wurde.

Auch Nordkorea verfügt seit mehr als zehn Jahren über eigene "Cyber-Bataillone. Den konzertierten Angriff auf den Sony-Konzern 2014, als Gigabytes an Firmendaten gestohlen und das Firmennetz regelrecht verwüstet wurde schrieben die USA hochoffiziell Nordkorea zu

Trojanerwelle als Antwort auf Raketenstarts

Die Analysten der Cisco-Tochterfirma Talos werten das als direkte Reaktion auf den Raketenstart, denn das verseuchte Köder-Dokument enthält eine Meldung der südkoreanischen Nachrichtenagentur Jonhap über das Raketenpotenzial des Nordens. Huckepack auf diesem Word-Dokument reitet der Konni-Trojaner mit, der in einer Datei mit der Endung .SCR versteckt ist. Wie EXE sind auch SCR (Screensaver) ausführbare Windowsdateien, die Infektion startet mit dem Öffnen des Dokuments.

CC0 - Public Domain

Dann spielen sich die üblichen Prozesse ab: Verdeckte Kontaktaufnahme zum Command/Control-Server, sodann werden weitere Hilfѕdateien von dort nachgeladen. Als sogenannter „Remote Access Trojan“ (RAT) ist Konni live steuerbar und kann dadurch beliebige Aktionen auf dem Zielrechner nahe an Echtzeit ausführen. Typischerweise sind das „Features“ wie Mitloggen der Tastatureingaben, verdeckte Bildschirmfotos, und der Abgriff aller ein- und ausgehenden Kommunikation.

DarkHotel und Konni als Verwandte

Während die zwei Trojanerwellen in Südostasien mit Rakestenstarts korrelieren, wurde in Deutschland der vermehrte Einsatz solcher Malware im Polizeialltag gerade gesetzlich festgeschrieben

Die Sicherheitsfirma Eset wiederum hat ein identisches Word-Dokument, wie es von Konni eingesetzt wurde, nun in einer lange bekannten Schadsoftwaresuite entdeckt. Sie stammt von staatlichen Akteuren, die seit zehn Jahren periodisch WLAN-Netze von Hotels der Luxusklasse in Südostasien verseuchen. Diese Trojaner-Malware wurde von den Entdeckern dementsprechend „DarkHotel“ genannt, ausspioniert wurden und werden dabei hochkarätige Ziele wie Wirtschaftsdelegationen, Funktionäre oder diplomatisches Personal.

Solche Angriffe spezialisierter „Cyber“-Einheiten sind nur schwer von kriminellen Aktionen zu unterscheiden, da wirtschaftliche Informationen auch bei politischer Spionage stets im Zentrum stehen. Auch die DarkHotel-Trojanersuite kommt neuerdings mit einem adaptierten Set-Up daher und ist nun offenbar ebenfalls gegen Nordkorea ausgerichtet, wie aus einer Tiefenuntersuchung der US-Firma Cylance hervorgeht. Während die drei zitierten Firmen eine Zuordnung zu einem bestimmten Staat vermeiden, ordnet die russische Anti-Virus-Firma Kaspersky wenigstens Konni direkt Südkorea zu.

CC0 - Public Domain

„Cyber“-Scharmützel zwischen Nord und Süd

Überraschend wäre das nicht, zumal sich Süd- und Nordkorea seit Jahren regelmäßig Cyber-Scharmützel liefern. Bereits im Sommer 2009 wurde das Netz in Südkorea durch eine gestaffelte DDoS-Attacke tagelang schwer beeinträchtigt. Dabei war das angreifende Botnet nicht einmal besonders groß, doch zwei Umstände hatten den Angriff sehr begünstigt. Die Attacken kamen zum Einen gestaffelt in mehreren Wellen und waren deshalb schwierig abzuwehren.

Im Sommer 2009 hatte eine Armee verseuchter Rechner die Netze Südkoreas mit gestaffelten DDos-Attacken tagelang in die Knie gezwungen

Zudem war die überwiegende Mehrzahl der gekaperten Rechner nicht rund um die Welt verteilt, sondern befand sich im südkoreanischen Netz. Da Südkorea über eines der am besten ausgebauten und daher breitbandigsten Netze weltweit verfügt, entwickelten die angreifenden Rechner eine enorme „Feuerkraft“. Hier zeigte sich erstmals drastisch, dass „Cyberwars“ anderen Regeln als echte Kriege folgen.

Trojaner zum Trainieren

Die Regierung hatte danach eine umfassende „Cyber“-Aufrüstung angekündigt und mit der hat die nächste Trojaner-Schadsoftware zu tun. Aus gegebenem Anlass wies die Anti-Virus-Firma TrendMicro darauf hin, dass der seit 2013 sporadisch rund um Südkorea aufgetauchte Trojaner „OnionDoG“ ungefährlich sei. Den Sicherheitstechnikern war es nämlich gelungen, OnionDog bis zum Schluss „durchzuspielen“ und da zeigte sich, wozu diese Malware dient.

CC0 - Public Domain

Das Köder-Dokument trägt den Titel “Plan zum Testen des Verhaltens und der Disziplin während der Sommerferien 2015", auch der Name des Dokuments beginnt mit „Drill“ (= „Training“). Um alle Unklarheiten zu beseitigen erscheint dann noch Pop-Up-Fenster mit dem Hinweis, den Netzwerk-Administrator zu benachrichtigen, dass die betreffende Maschine infiziert sei. Es handelt sich nämlich um Übungs-Malware, die aus einem der so getesteten Netzwerke entkommen ist und hunderte unbeteiligte PCs infizierte.

Raketen aus dem Norden, Trojaner vom Süden

Solche „Cyber-Drills“, um die eigenen Netze gegen Angriffe zu härten, werden seit 2013 im Rahmen der jährlichen, gemeinsamen Sommermanöver der südkoreanischen und US-Streitkräfte abgehalten. Stets um dieselbe Zeit antwortet das nordkoreanische Regime auf die Manöver Manöver mit demonstrativen Raketenstarts.

Mehr zu diesem Thema

Die Analyse von Talos zu „Konni“

BitDefender über die neue Kampagne der DarkHotel Malware

Das US-Sicherheitsunternehmen Cylance hat die Verbindung zwischen DarkHotel und Konni aufgedeckt

Die Antivirus-Firma TrendMicro über OnionDog

post/scrypt: Zweckdienliche Hinweise, Bug Reports oder Fragen sind tunlichst hier einzuwerfen. Wer eine Antwort will, sollte eine Kontaktmöglichkeit hinterlassen.