Mandiant stuft in einem neuen Bericht einen Spionageakteur aus Nordkorea als neue Advanced Persistent Threat-Gruppe ein: APT43. Die Gruppe sammelt mit hoher Geschwindigkeit strategische Informationen, die für Pjöngjang von geopolitischem Interesse sind. Das Besondere: APT43 spioniert zwar im Auftrag des nordkoreanischen Regimes, wird aber nicht von diesem finanziert, sondern muss durch Cyberkriminalität ihren Unterhalt verdienen.
Die Experten von Mandiant haben bei der Gruppe ungewöhnlich aggressives Social Engineering beobachtet. Zudem versteckt sie sich oft über mehrere Wochen hinweg in den Systemen ihrer Opfer und spielt bösartige Links oder Malware erst später oder auch gar nicht ein. In einzelnen Fällen gelang es APT43 eine Beziehung zu ihren Opfern aufzubauen und es zu überreden, ihnen geopolitische Analysen und Forschungsergebnisse zu übermitteln. Malware war hierfür überflüssig.
Betroffen von den Angriffen sind vor allem Regierungsorganisationen, akademische Institute und Think Tanks in Südkorea und den USA, die sich mit geopolitischen Fragen der koreanischen Halbinsel beschäftigen. Aber auch europäische Länder wie Deutschland, Großbritannien, Schweden, Norwegen und Belgien standen bereits im Visier.
Michael Barnhart, Mandiant Principal Analyst bei Google Cloud zum Spionageakteur APT43:
„In Europa sollte man sich vor allem vor der Spionageaktivität der Gruppe in Acht nehmen. In den USA geht es ihr dagegen eher darum, Geld zu verdienen. Während der Pandemie verfolgten Teile von APT43 das sekundäre Ziel, Informationen über COVID-Impfstoffe zu erhalten. Um es zu erreichen, zielten sie auf Think Tanks und politische Organisationen, Institutionen für Außenpolitik und Regierungsstellen in Europa ab. Dies geschah zusätzlich zu ihrem primären Ziel, nuklearstrategische Informationen und solche zur Außenpolitik zu sammeln.
Wir haben außerdem beobachtet, dass APT43 sich als Journalisten ausgegeben und gefälschte E-Mails verschickt hat. Mit dieser Methode waren sie sehr erfolgreich. Dies gilt als Mahnung, die E-Mail-Adressen und die Identität der Personen, mit denen man kommuniziert, zu überprüfen.“
Mandiant hat auch herausgefunden, dass APT43 wahrscheinlich Hash-Miet- und Cloud-Mining-Dienste nutzt, um gestohlene Kryptowährung in saubere Kryptowährung umzuwandeln. Es ist sehr wahrscheinlich, dass die anderen mit der Demokratischen Volksrepublik Korea verbundenen APTs die gleichen Dienste nutzen, um ihre illegalen Gelder zu waschen.
Im Gegensatz zu anderen nordkoreanischen Angreifern, die auf große Kryptowährungsbrücken und -börsen abzielen, hat APT43 seine Angriffe auf normale Nutzer ausgeweitet. Basierend auf der schieren Geschwindigkeit und dem Volumen der Angriffe geschieht dies wahrscheinlich automatisiert. Seit Juni 2022 hat Mandiant mehr als 10 Millionen Phishing-NFTs (non-fungible tokens) verfolgt, die erfolgreich an Kryptowährungsnutzer auf mehreren Blockchains verteilt wurden.
Weitere interessante Erkenntnisse des Berichts:
- Mandiant beobachtet die Gruppe seit 2018. Die Prioritäten von APT43 decken sich mit der Mission des nordkoreanischen Militärgeheimdienstes „Reconnaissance General Bureau“ (RGB).
- Die Aktivitäten von APT43 werden häufig unter „Kimsuky“ oder „Thallium“ geführt.
- APT43 stiehlt und wäscht genügend Kryptowährung, um operative Infrastruktur zu kaufen. Dies stimmt mit der nordkoreanischen Juche-Ideologie der Autarkie überein und reduziert die finanzielle Belastung der Zentralregierung.
- Die Gruppe erstellt zahlreiche gefälschte (aber überzeugende) Persona, um sie für Social Engineering einzusetzen.