Steckt DarkHotel hinter der neusten Attacke auf nordkoreanische Ziele? Das behauptet Kaspersky und verweißt auf die Ausführung des Angriffs.
Ein Hack wie aus dem Lehrbuch lässt Experten staunen. Cybersicherheitsforscher der Google Threat Analysis Group (TAG) sagten, eine nicht näher bezeichnete Hacker-Bande habe in einem kurzen Zeitraum fünf Zero-Day-Lücken ausgenutzt. Opfer des Angriffs waren dabei Ziele in Nordkorea. Laut Kaspersky kann dahinter nur „DarkHotel“ stecken.
Kaspersky sieht Handschrift von DarkHotel
Die Unbekannten nutzten demnach Fehler im Internet Explorer, in Chrome und Windows mit Phishing-E-Mails aus. Diese enthielten schädliche Anhänge oder Links zu schädlichen Websites. Die russische Sicherheitsfirma Kaspersky legte sich gegenüber dem amerikanischen Computermagazin Wired fest und geht anhand der Ergebnisse von DarkHotel als Täter aus. Es handelt sich hierbei um eine Gruppe, die in der Vergangenheit oftmals Nordkoreaner ins Visier nahm. Pikant: Sie soll darüber hinaus im Auftrag der südkoreanischen Regierung agieren.
Gekonnter Angriff von DarkHotel
DarkHotels Fähigkeit, innerhalb eines Jahres fünf „Zero-Days“ in einer einzigen Spionagekampagne zu nutzen, stelle laut TAG einen überraschenden Grad an Raffinesse und Ressourcen dar. Ein Zero-Day-Exploit ist das Ausnutzen einer unbekannten Schwachstelle in einem IT-System. Die Operation erfolgt direkt am selben Tag, an dem die Security-Lücke entdeckt wurde. „So viele Zero-Day-Erfolge vom gleichen Akteur in einem relativ kurzen Zeitrahmen zu finden, ist selten“, schreibt der Google TAG-Forscher Toni Gidwani. Er ergänzt zudem: „Die Mehrheit der von uns beobachteten Zielpersonen kamen aus Nordkorea oder von Personen, die an Nordkorea-bezogenen Themen arbeiteten.“
Spionage ist das Motiv
Der Leiter von Kasperskys globalem Forschungs- und Analyseteam Costin Raiu glaubt ebenfalls an einen einzigen Urheber der Hacking-Operation. Raiu weist außerdem darauf hin, dass DarkHotel eine lange Geschichte des Hackens nordkoreanischer und chinesischer Opfer hat. „Sie sind daran interessiert, Informationen wie Dokumente, E-Mails, so ziemlich jedes bisschen an Daten, das sie von diesen Zielen bekommen können, zu erhalten“, erklärte er.
Das ist DarkHotel
Unbekannte sind die Hacker von DarkHotel derweil nicht. Denn sie sind mindestens seit 2007 aktiv. Kaspersky entdeckte damals, dass die Gruppe die Wi-Fi-Netzwerke von Hotels kompromittierte. Auf der Grundlage der Zimmernummern führten sie gezielte Angriffe auf bestimmte Hotelgäste durch. „Sie sind wahrscheinlich einer der einfallsreichsten Akteure der Welt, wenn es darum geht, Zero-Days einzusetzen“, sagt Raiu weiter. „Es scheint, dass sie all diese Dinge intern machen und nicht mit Code aus anderen Quellen arbeiten. Das sagt viel über ihre technischen Fähigkeiten aus. Sie sind ausgesprochen gut.“
Tarnkappe.info
Quelle Beitragsbild: arget, thx! (Unsplash-Lizenz)