· 

Wie NORDKOREA SICHERHEITSFORSCHER HACKT

Wie hackt man eigentlich Hacker? Nun, man ködert sie mit Zero-Day Exploits. Das dachte sich zumindest Nordkorea in den letzten Monaten – mit Erfolg! In diesem Artikel wollen wir uns anschauen, was hinter dieser neuen Social Engineering Masche der Nordkoreaner steckt und was wir daraus lernen können (und sollten). Denn diese Vorgehensweise betrifft nicht nur die Sicherheitsforscher, die Nordkorea im Visier hatte, sondern auch uns. Aber alles der Reihe nach! Was ist eigentlich passiert?


Was ist passiert?

Die Threat Analysis Gruppe von Google hat aufgedeckt, dass nordkoreanische Akteure versucht haben, Sicherheitsforscher, die sich mit Computerschwachstellen und ihrer Entwicklung beschäftigen, anzugreifen. Mehr noch: statt selbst Hand anzulegen und nach Sicherheitslücken  bzw. neuen Angriffsvektoren zu suchen, wollten sie das lieber diejenigen machen lassen, die sich richtig damit auskennen und sich den lieben langen Tag damit beschäftigen. Sie haben verschiedene Techniken aus der zwischenmenschlichen Trickkiste angewendet, um mit ihren Zielen in Kontakt zu treten. Ganz nach dem Motto: "Hey, ich habe da einen Zero-Day. Lass uns doch gemeinsam dran arbeiten."

Moment, Zero-Day, was ist das denn? Zero-Day steht kurz für Zero-Day Exploit und beschreibt eine Schwachstelle, die noch nicht allgemein bekannt ist und für die es noch keinen Patch gibt. Daher auch der Name Zero-Day: es liegen nämlich null Tage zwischen der Entdeckung und dem Schließen der Sicherheitslücke. Das erlaubt es Hackern, die in Soft- oder Hardware auftretende Sicherheitslücke zum Einschleusen von Malware nutzen zu können. Wie entsteht so etwas? Nun, Programmierer machen Fehler. Keine Anwendung ist zu 100% sicher. Ein Hacker entdeckt eine Schwachstelle (den Zero-Day) und schreibt Exploit-Code, um diese Lücke ausnutzen zu können, solange sie noch offen ist. Erst, wenn die Schwachstelle den Entwicklern (oder der Security-Community) bekannt wird, kann an einem Patch für die Sicherheitslücke gearbeitet werden. Bis dahin ist der Hacker in der Lage, den Exploit in das vulnerable System einzuschleusen, wodurch Identitäten und Informationen gestohlen werden können.  

Um Vertrauen aufzubauen und ihre Ziele anbahnen zu können, haben sie z. B. einen Blog zur Schwachstellenforschung, sowie diverse Twitter-, LinkedIn-, Telegram-, Discord- und E-Mail-Accounts erstellt. Auf Twitter haben sie dann bspw. Links zu ihren Blog-Beiträgen, sowie Videos zu ihren angeblich erfolgreichen Zero-Days geteilt, konnten direkt mit ihren Zielen interagieren und haben sich gegenseitig gepusht, um ein glaubhaftes Netzwerk aufzubauen. Du musst wissen: um sich tatsächlich einen Namen in dieser Szene zu machen, braucht man ein glaubwürdiges Profil. Dazu gehört auch, dass man von Zero-Day-Schwachstellen berichtet und damit nachweist, dass man wirklich Sicherheitsforscher ist, wie man es zu sein vorgibt. Das ist übrigens auch der Grund dafür, weshalb sie auf ihrem Blog von tatsächlich bislang unbekannten Schwachstellen berichtet und Patch-Optionen vorgeschlagen haben. Titel wie "DOS2RCE: A New Technique to Exploit V8 NULL Pointer Dereference Bug" zierten den Blog. Genau das sind die Köder, die sie ausgeworfen haben. Einige der Sicherheitsforscher haben dann zugebissen und hingen wie Fische an der Angel, doch dazu später mehr.

 

Man kann zwar die Authentizität von allen ihren Exploits nachweisen, doch zumindest von einem weiß man, dass er fake ist. Am 14.01.2021 haben die Angreifer via Twitter ein YouTube-Video geteilt, in dem sie eine gepatchte Windows-Defender Schwachstelle angeblich erfolgreich exploiten konnten. Zumindest sah es im Video so aus. Das ist natürlich auch eine Möglichkeit, um Aufmerksamkeit in der Szene zu erregen, doch wenn sich das Ganze (wie hier) dann als Fake herausstellt, ist der aufgebaute Ruf ganz schnell zerstört. Das erklärt auch, weshalb einer der Twitter-Accounts ihrer Social-Media-Maschinerie das Video mit den Worten "not fake video" retweetet hat. Vor den Threat-Analysten konnten sie diese Methode jedoch nicht verbergen – gut so! D. h. man sollte zukünftig noch mehr Forschung in diesem Bereich der IT-Sicherheit betreiben, um sich vor noch fortgeschritteneren Methoden präventiv zu schützen.


Der Angriff

Schön und gut, das klingt alles erstmal nicht so schlimm, oder? Es kommt schließlich niemand zu Schaden, nur weil man einen Blog liest oder YouTube-Videos mit angeblich funktionierenden Zero-Days als "Fake" entlarvt, oder? Eben doch! Zwar nicht direkt durch den Konsum dieser Medien, aber durch das Vertrauen, was sie bei einigen Sicherheitsforschern durch ihre Social-Media- und Blog-Präsenz aufgebaut haben. Vertrauen ist ein wichtiger Faktor im Bereich des Social Engineerings. Einer Person, der man vertraut, lässt man vieles durchgehen, z. B. dass sich diese Person auf einen Rechner draufschaltet oder man ihr das Passwort für einen bestimmten Account gibt – das ist alles schon vorgekommen. Schau dir mal die zahlreichen Videos über die angeblichen Microsoft-Techniker an, die unbedingt ein Problem auf deinem Rechner lösen wollen. Die Sicherheitsforscher sind durch ihre thematische Prägung natürlich nicht auf solche simplen Versuche hereingefallen. Nein, sie haben lediglich ein Angebot angenommen, das sie aufgrund ihrer Neugier und ihrem Forscherdrang nicht ausschlagen konnten. Die Angreifer haben nämlich nach der initialen Kommunikation und dem Vertrauensaufbau angeboten, mit ihnen an "neuen Sicherheitslücken" zu arbeiten. Das lässt sich durch vieles plausibel begründen. Vielleicht hat man nicht das notwendige Knowhow oder kann die viele Arbeit, die auf einen wartet, nicht alleine bewältigen. Das bringt gleich zwei Vorteile:

  1. Andere übernehmen die Dreckarbeit für einen.
  2. Man kann den Sicherheitsforscher angreifen.

So wurde z. B. ein Visual Studio Project verschickt, das den Source Code des Zero-Day-Exploits, sowie eine zusätzliche DLL enthielt, die via den Visual Studio Build Events ausgeführt wurde und in Wirklichkeit Malware ist, die direkt mit einem Command-and-Control Server kommunizierte, der von den Angreifern kontrolliert wurde. So kommt man gleich noch an andere Arbeiten des Sicherheitsforschers und findet vielleicht noch weitere, interessante Dinge, die z. B. weitere Methoden wie Erpressung ermöglichen.

Doch auch der Blog selbst war Teil des technischen Angriffs. Nicht nur dadurch, dass man auf die Cyber-Bande aufmerksam wurde, sondern durch einen evtl. Zero-Day im Chrome Browser. Alle Opfer, auf deren Rechnern ein bösartiger Dienst installiert, sowie eine In-Memory-Hintertür geöffnet wurde, verwendeten aktuelle (und gepatchte) Windows 10 und Chrome-Versionen. Zudem sind sie alle einem Twitter-Link auf einen bestimmten Beitrag des Angreifer-Blogs gefolgt. 

Es gab also gleich mehrere Fallen, in die man tappen konnte:

 

  • Die bösartige DLL in Visual Studio,
  • der (vermutliche) Chrome bzw. Windows 10 Zero-Day und
  • das Vertrauen, das man den Angreifern entgegenbringt und vielleicht für weitere Angriffsvektoren hätte ausgenutzt werden können.

Warum ist diese "neue" Art des Social Engineering so gefährlich?

Normalerweise gehen Hacker aktiv auf ihre Opfer zu und schicken ihnen bspw. infizierte Dateien in E-Mail-Anhängen oder Links zu Phishing-Seiten. Zwar haben sie auch hier Personen mithilfe von Social Media erreicht, doch durch das bloße Schreiben von Blogs, die ihre Opfer potentiell interessieren könnten und die früher oder später beim Googeln bzw. Surfen auf Twitter auftauchen, haben sie einen passiven Angriffsvektor ausgeführt. Man wird nicht zwangsläufig sinnlos mit Mails zugespamt, sondern aktiv (und gezielt) angesprochen (ähnlich wie beim Spear Phishing). Man baut schrittweise Vertrauen auf und weckt Interesse in einer Nische, hier die Sicherheitsforschung. Hinzu kommt aber auch die passive Präsenz in den sozialen Medien und auf einschlägigen Internetforen, die häufig auf den Blog verweisen, tragen dazu bei, dass sich diverse Personen, die an den Themen Exploitation und IT-Sicherheit im Allgemeinen interessiert sind, auf diese Seiten verirren und den Angreifern ins Netz gehen. Diese brauchen sich nur in den Monitor-Mode begeben und abwarten, bis die Fall zuschnappt.

Diese Angriffsform bzw. der Kerngedanke, dass Personen auch selbst aktiv werden und nach Informationen suchen, kann sehr leicht auf andere Bereiche übertragen werden. Stelle dir mal vor, eine Pflegekraft im Krankenhaus bekommt den Auftrag, nach spezifischen Medizinprodukten (wie Orthesen oder Rollstühle) zu suchen und Angebote zu vergleichen. Jemand, der ein Krankenhaus angreifen möchte, könnte eine Webseite mit Scheinangeboten erstellen, auf der man sich dann freiwillig infizierte PDF-Dateien o. ä. herunterlädt und das ohne, dass man dafür jemanden per E-Mail penetrieren muss. Einschlägige Personengruppen werden früher oder später von ganz alleine auf diese Bereiche aufmerksam. Wenn man dann noch ein Fake-Imperium im Hintergrund aufrechterhält und so die Glaubwürdigkeit bestimmter Angebote untermauert, ist die Tarnung (nahezu) perfekt. Diese Vorgehensweise nennt man auch Watering-Hole-Attack.


Wie kann man sich davor schützen?

  • Ähnlich wie bei E-Mails, sollte man nicht blind jeder Seite vertrauen oder gar alles herunterladen. Vor allem dann nicht, wenn etwas seltsam verpackt ist. Ein Informationsblatt zu einem neuen Rollstuhl in einer ZIP-Datei klingt erstmal nicht vertrauenerweckend.
  • Der wohl effektivste Schutz ist die Schulung von Mitarbeitern und das Schaffen eines allgemeinen Bewusstseins für Themen der IT-Sicherheit. Ich weiß, ich weiß, viele können mit diesen ganzen neuen Bedrohungen nichts anfangen und haben ja nichts zu verbergen. Trotzdem bin ich mir sicher, dass man durch Workshops und Trainings eine Veränderung herbeiführen kann. Nicht jeder ist mit einem angeborenen Misstrauen gesegnet, doch das kann man bis zu einem gewissen Grad erlernen. Hierzu habe ich einen Videokurs erstellt, den du bei mir erwerben kannst.

Warum Nordkorea?

Zum Schluss möchte ich noch eine Frage beantworten, die dir wahrscheinlich schon seit Anfang des Artikels unter den Nägeln brennt: Warum Nordkorea? Warum ist Google hier so konkret? Normalerweise halten sich Sicherheitsforscher bei solchen Mutmaßungen eher zurück, doch in diesem Fall gehen sie mit einer hohen Wahrscheinlichkeit davon aus, dass eine der drei großen Hackergruppen Nordkoreas, also Lazarus, Bluenoroff und Andariel, die für den Geheimdienst RGB arbeiten, hinter diesem Vorgehen steckt. Vermutlich durch die Auswertung von Metadaten. Ziel ist wahrscheinlich die Erschließung neuer Finanzströme, denn Geld ist die treibende Kraft hinter den gefürchteten nordkoreanischen Hackern. Das Bruttoinlandsprodukt des Landes speist sich u. a. durch illegale Aktivitäten im physischen, sowie Cyber-Raum. Die IT-Angriffe auf Impfstoffhersteller wie BioNtech/Pfizer, Moderna oder Astrazeneca, die der aktuellen Pandemielage ein Ende setzen sollen, vor denen mittlerweile sogar das Bundesamt für Verfassungsschutz warnt, passen da ins Bild, was den Ursprung dieser Social Engineering Angriffe angeht.