Das U.S. Federal Bureau of Investigation (FBI) und andere Sicherheitsbehörden haben am Donnerstag ein Cybersecurity Advisory über nordkoreanische Cyberaktivitäten veröffentlicht. Der Bericht beschreibt Aktivitäten des Cyberakteurs, der unter den Namen Andariel, Onyx Sleet, DarkSeoul, Silent Chollima und Stonefly/Clasiopa bekannt ist. Der IT-Sicherheitsdienstleister Mandiant, der auch Informationen zur Erstellung dieses Berichts beigesteuert hat, hat ebenfalls einen ausführlichen Analysebericht zu diesem Thema veröffentlicht. Mandiant stuft diesen Bedrohungsakteur inzwischen als Advanced Persistent Threat mit der Bezeichnung APT 45 ein.
APT 45 zielt in erster Linie auf Unternehmen in den Bereichen Verteidigung, Luft- und Raumfahrt, Nuklearindustrie und Maschinenbau ab, um an sensible Informationen und geistiges Eigentum zu gelangen. Damit sollen die militärischen und nuklearen Programme und Ziele des nordkoreanischen Regimes vorangetrieben werden. Die beteiligten Sicherheitsbehörden gehen davon aus, dass diese Gruppierung eine anhaltende Bedrohung für verschiedene Industriezweige weltweit darstellt.
In der Vergangenheit verschafften sich die Angreifer zunächst einen ersten Zugang, indem sie bekannte Schwachstellen, wie beispielsweise Log4j, ausnutzten. Anschließend wurde eine dauerhafte Persistenz auf dem angegriffenen System eingerichtet und gängige Tools wie Mimikatz zum Datendiebstahl eingesetzt. Phishing-Aktivitäten mit schädlichen Anhängen, darunter Microsoft Windows Shortcut Files (LNK-Dateien) oder HTML Applikationen (HTA-Skriptdateien) in verschlüsselten oder unverschlüsselten Zip-Archiven, gehören ebenfalls zum Arsenal der Angreifer.
Der Bericht weist auch darauf hin, dass der Cyberakteur seine Spionageaktivitäten durch Ransomware-Angriffe finanziert. Dies deckt sich mit Erkenntnissen der Cyberabwehr im Landesamt für Verfassungsschutz, wonach sich die Grenzen zwischen Spionageoperationen staatlich gesteuerter Cyberakteure und typischen Cybercrime-Kampagnen zusehends verwischen.
Die Bearbeitung nordkoreanischer Cyberaktivitäten stellt einen Schwerpunkt der Cyberabwehr dar. Deutsche Stellen stehen unverändert im Fokus nordkoreanischer Cyberakteure. Die beschriebene Vorgehensweise ist der Cyberabwehr bekannt. Das Advisory gibt einen Überblick über die Fähigkeiten des Angreifers und liefert Indikatoren und Handlungsempfehlungen zur Absicherung der eigenen Netze sowie zur Abwehr möglicher Angriffe. Die Cyberabwehr empfiehlt daher, die eigenen Systeme anhand der im Bericht zur Verfügung gestellten Indicators of Compromise zu überprüfen.