Das Bundesamt für Verfassungsschutz (BfV) und der südkoreanische National Intelligence Service (NIS) veröffentlichten am 19. Februar 2024 ein Joint Cyber Security Advisory (CSA). Darin wird über nordkoreanische Cyberspionagekampagnen berichtet, die gegen die Rüstungsbranche durchgeführt werden. Der Bericht beschreibt zwei konkrete Beispiele für solche gezielten Angriffe:
Ende des Jahres 2022 infiltrierte ein vermutlich nordkoreanischer Cyberakteur via Supply-Chain-Angriff zunächst ein Unternehmen, das für die Wartung des Webservers eines Forschungszentrums für See- und Schifffahrtstechnologien zuständig war. Mittels der so entwendeten SSH-Zugangsdaten erhielt der Angreifer anschließend so Zugang zum Webserver. Auf diese Weise erlangte der Angreifer weitere Informationen über das Netzwerk und stahl Anmeldeinformationen von Mitarbeiter-Accounts des Forschungszentrums. Nachdem der Angriffsversuch erkannt und erfolgreich abgewehrt wurde, unternahm der Angreifer mehrere Versuche, die Persistenz aufrechtzuerhalten.
Der zweite Vorfall beschreibt Social-Engineering-Angriffe auf Rüstungsunternehmen der nordkoreanischen Cybergruppe LAZARUS. Die Angriffe werden in dieser Form seit mehr als drei Jahren durchgeführt und auch als „Operation Dream Job“ bezeichnet. Dabei legt die Gruppierung Profile auf einem Online-Jobportal an und kontaktiert darüber gezielt Personen, die Zugang zu wertvollen Ressourcen haben könnten. In den letzten Fällen adressierte die Cyber-Gruppierung beispielsweise vor allem Mitarbeiter aus dem IT-Bereich und Programmierer. Sobald der Kontakt hergestellt ist, erhält das potenzielle Opfer maliziöse Dateien mit einem angeblichen Stellenangebot. Die Schadsoftware versteckt sich hierbei beispielsweise in Links, ZIP-Dateien oder manipulierten PDF-Dokumenten.
In dem entsprechendem CSA wird die Vorgehensweise der Cyberakteure mit Hilfe des MITRE ATT&CK Frameworks beschrieben und Indicators of Compromise zur Verfügung gestellt. Angriffe nordkoreanischer Cyberakteure konnten in der Vergangenheit auch gegen baden-württembergische Stellen festgestellt werden. Die Cyberabwehr empfiehlt daher, Systeme anhand der bereitgestellten technischen Indikatoren zu überprüfen und verdächtige Aktivitäten den Sicherheitsbehörden zu melden.