Die Cybersecurity-Spezialisten von F-Secure haben einen Report veröffentlicht, in dem sie Details eines gezielten Angriffs auf ein Unternehmen aus der Kryptowährungsbranche mit der Lazarus Group in Verbindung bringen. Die Hackergruppe, die mutmaßlich in enger Verbindung zur Demokratischen Volksrepublik Korea (DVRK) steht, ist bekannt für ihr hochprofessionelles Vorgehen, das rein finanzielle Interessen verfolgt.
In dem Bericht kommt F-Secure durch die Verknüpfung von aus dem Angriff gewonnenen Hinweisen und Mustern mit bereits vorhandenen Forschungsergebnissen zu dem Schluss, dass der überprüfte Vorfall Teil einer global angelegten Kampagne der Lazarus-Gruppe ist. Diese richtet sich gegen Unternehmen aus der Kryptowährungsbranche aus den Vereinigten Staaten, Großbritannien, den Niederlanden, Deutschland, Singapur, Japan und weiteren Ländern.
Der Bericht analysiert die Logs, Protokolle und weitere technische Artefakte, die von F-Secure während der forensischen Untersuchung eines Angriffes auf eine Krypto-Organisation sichergestellt werden konnten. F-Secures Sicherheitsexperten stellten dabei fest, dass die Angriffsmethoden nahezu identisch mit den Praktiken sind, die so zuvor auch von der Lazarus-Gruppe – auch als APT38 bekannt – eingesetzt wurden.
Darüber hinaus beinhaltet der Bericht Details zu Taktiken, Techniken und Verfahren (TTP), die während des Angriffs zum Einsatz kamen. So konnten von den Angreifern beispielsweise per „Spearphishing“ vertrauenswürdige externe Dienste instrumentalisiert werden. In diesem konkreten Fall wurde ein gefälschtes und speziell auf das Profil des Empfängers zugeschnittenes Stellenangebot über die Plattform LinkedIn versendet.
Auf der Grundlage von Phishing-Artefakten, die nach dem Angriff der Lazarus Group sichergestellt wurden, konnten die Forscher von F-Secure den Vorfall mit einer umfangreichen, bereits seit Januar 2018 laufenden Kampagne in Verbindung bringen. Dem Bericht zufolge wurden ähnliche Artefakte bei Angriffen in mindestens 14 Ländern festgestellt: in den Vereinigten Staaten, China, Großbritannien, Kanada, Deutschland, Russland, Südkorea, Argentinien, Singapur, Hongkong, den Niederlanden, Estland, Japan und den Philippinen.
Um die Abwehr des betroffenen Unternehmens während des Angriffs zu umgehen, hat die Lazarus-Gruppe einen erheblichen Aufwand betrieben. So konnte sie beispielsweise Antiviren-Software auf den kompromittierten Hosts deaktivieren und hinterlassene Beweise für ihre Aktivitäten entfernen. Und obwohl der Bericht den Angriff als hochprofessionell charakterisiert, weist er doch darauf hin, dass die Bemühungen der Lazarus Group, ihre Spuren im Nachhinein zu verwischen, nicht ausreichend waren. Zahlreiche versteckte und nicht beseitigte Indizien ergaben für F-Secure schlussendlich eindeutige Beweise für die Aktivitäten der Angreifer.
„Die Untersuchung des Angriffs erfolgte durch erfahrene Spezialisten unserer Incident Response, Managed Detection & Response und Tactical Defense Teams. Dabei stellte sich heraus, dass dieser Angriff eine Reihe von Ähnlichkeiten mit bekannten Aktivitäten der Lazarus-Gruppe aufwies. Wir sind davon überzeugt, dass sie auch für diesen Angriff verantwortlich waren“, so Matt Lawrence, Director of Detection and Response bei F-Secure.
Unternehmen können sich den Bericht nun zur Hand nehmen, um sich mit der konkreten Cyberattacke, den TTPs und der Lazarus-Gruppe im Allgemeinen vertraut zu machen. Darüber hinaus werden direkte Sicherheitsempfehlungen gegeben, um sich vor Angriffen der Hackergruppe zu schützen.