Die Lazarus-Gruppe, eine der vermutlich größten Hacker-Gruppen der Welt, ist wieder aktiv geworden. Wie ESET-Forscher herausgefunden haben, griffen die nordkoreanischen Cyberkriminellen im vergangenen Jahr ein Luft- und Raumfahrtunternehmen in Spanien an. Dabei gaben sie sich als Recruiter des Facebook-Mutterkonzerns Meta aus und verschafften sich über Mitarbeiter Zugriff auf das Netzwerk des Unternehmens.
Mit solchen Attacken wollen die Hacker an technologisches Know-how aus der Branche gelangen – Informationen, die das international geächtete Nordkorea dringend für sein Raketenprogramm braucht.
“Lazarus tritt immer wieder in Erscheinung. Der aktuelle Fall zeigt, dass Nordkorea keine Kosten und Mühen scheut, um an Forschungsdaten aus der Luft- und Raumfahrt zu gelangen und sein eigenes militärisches Raketenprogramm weiter voranzutreiben”, erklärt ESET-Forscher Peter Kálnai, der den Angriff entdeckt hat.
Alles beginnt mit einer LinkedIn-Anfrage
Im vergangenen Jahr erhielten mehrere Mitarbeiter über das Business-Netzwerk LinkedIn eine Nachricht von angeblichen Personalbeschaffern von Meta. Eine Anstellung beim Konzern, der hinter Facebook, Instagram und WhatsApp steht, ist meist gut bezahlt und mit hohem Prestige verbunden. Die Hoffnung auf einen Job bei Meta nutzten die Hacker aus: Nach einem kurzen Smalltalk gaben sie ihren Opfern zwei Coding Challenges. Dabei handelt es sich um Programmieraufgaben, bei denen IT-Profis ihr Talent unter Beweis stellen, im aktuellen Fall Kenntnisse in der Programmiersprache C++. Die beiden Challenges sind angeblich Teil des offiziellen Einstellungsprozesses.
“Hello World” und Fibonacci
Um die beiden Aufgaben zu lösen, mussten die Angesprochenen zwei Dateien ausführen, Quiz1.exe und Quiz2.exe. Bei ersterem handelte es sich um ein “Hello World”-Programm, dessen einzige Aufgabe darin bestand, “Hello World” zu schreiben. Angehende Programmierer entwickeln solche Programme zu Beginn ihrer Ausbildung, um sich mit verschiedenen Programmiersprachen vertraut zu machen. Die zweite Datei stellte eine Fibonacci-Folge dar, eine festgelegte Zahlenfolge, die sich unendlich fortsetzt und bei der jede Zahl die Summe der beiden vorherigen Zahlen ist (0, 1, 1, 2, 3, 5, 8, 13 usw.).
Für erfahrene Programmierer sind solche Programme ein Witz. Führten sie sie allerdings aus, hatten die Hacker ihr Ziel erreicht: Die beiden Dateien luden die eigentlichen Schadprogramme nach.
Neue Tarnkappen-Backdoor aktiv
Unter den verschiedenen Schadprogrammen, die die Mitarbeiter unwissentlich auf ihren Dienstgeräten installierten, befand sich auch eine bis dato unbekannte und hochentwickelte Backdoor (“LightlessCan”). Sie ahmt die Funktionalität von nativen Windows-Befehlen nach. Der Vorteil bei dieser Methode: Anstatt Befehle auffällig über die Eingabekonsole von Windows auszuführen, findet die gesamte Arbeit “unter der Haube” statt. Hierdurch tarnt sich das Programm und macht es schwer, seine Aktivitäten zu erkennen und zu analysieren.
Ein weiterer Schutzmechanismus verschleierte die Aktivitäten zusätzlich: Die Hacker stellten sicher, dass die von Quiz1.exe und Quiz2.exe nachgeladenen Schadprogramme nur auf dem Rechner des Opfers entschlüsselt werden konnten. So sollten beispielsweise Sicherheitsforscher nicht darauf zugreifen können. Hiermit versuchten die Cyberkriminelle sowohl die Erkennung als auch die Auswertung ihres Angriffs zu erschweren.
“Die Art und Weise, wie Lazarus bei seinen Angriffen vorgeht, zeigt den hohen Professionalisierungsgrad der Gruppe”, sagt Peter Kálnai. “Spear Phishing gehört aufgrund der hohen Erfolgsquote zu den beliebtesten Werkzeugen von Hackern. Unternehmen sollten daher ihre Mitarbeiter regelmäßig über die Gefahren aufklären und gleichzeitig geeignete IT-Sicherheitslösungen verwenden.”
Lazarus’ regelmäßige Wiederauferstehung
Die Lazarus-Gruppe, auch bekannt als HIDDEN COBRA, ist eine nordkoreanische Cyberspionage-Gruppe und mindestens seit 2009 aktiv. Die Vielfalt, die Anzahl und die Exzentrizität ihrer Kampagnen sind kennzeichnend für diese Gruppe. Sie deckt alle drei Säulen der Cyberkriminalität ab: Cyberspionage, Cybersabotage und Raub. Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für mit Nordkorea verbündete APT-Gruppen. Das Land hat bereits mehrere Raketentests durchgeführt, die gegen Resolutionen des Sicherheitsrates der Vereinten Nationen verstoßen.
Weitere technische Informationen über Lazarus, seinen jüngsten Angriff und die LightlessCan-Backdoor finden Sie in dem Blogbeitrag “Lazarus lockt Mitarbeiter mit trojanisierten Programmieraufgaben: Der Fall eines spanischen Luft- und Raumfahrtunternehmens” auf WeLiveSecurity. ESET Research wird die Ergebnisse dieses Angriffs auf der Virus Bulletin Konferenz in London am 4. Oktober 2023 vorstellen.
www.eset.de