Nordkoreanische Bedrohungsakteure haben im vergangenen Jahr die Aufmerksamkeit der Security-Community auf sich gezogen und dadurch wertvolle Einblicke in eine Vielzahl von Kampagnen gewährt, wie z. B. neue Aufklärungswerkzeuge, neue Attacken auf die Lieferkette, schwer zu fassende plattformübergreifende Angriffe und neue raffinierte Social-Engineering-Taktiken. Darauf aufbauend hat SentinelLabs, die Forschungsabteilung von SentinelOne, die neue Kompromittierung beleuchtet, die man als eine strategische Spionagemission bezeichnen könnte – die Unterstützung des umstrittenen nordkoreanischen Raketenprogramms.
Die Zielorganisation
Bei der üblichen Verfolgung mutmaßlicher nordkoreanischer Bedrohungsakteure stießen die Sicherheitsforscher auf eine E-Mail-Sammlung, die Merkmale enthielt, die mit zuvor gemeldeten Kampagnen nordkoreanischer Bedrohungsakteure in Verbindung stehen. Eine gründliche Untersuchung des E-Mail-Archivs offenbarte ein größere Kompromittierung, die zu diesem Zeitpunkt von der anvisierten Organisation nicht vollständig erkannt wurde.
Das betroffene Unternehmen ist NPO Mashinostroyeniya (JSC MIC Mashinostroyenia, NPO Mash), ein führender russischer Hersteller von Raketen und militärischen Raumfahrzeugen. Die Muttergesellschaft des Unternehmens ist die JSC Tactical Missiles Corporation KTRV (russisch: АО „Корпорация Тактическое Ракетное Вооружение”, КТРВ). Es handelt sich dabei um eine international sanktionierte Einrichtung, die im Besitz streng vertraulicher geistiger Eigentumsrechte an sensibler Raketentechnologie ist, die derzeit für das russische Militär genutzt oder entwickelt wird.
Technischer Hintergrund
Die Sicherheitsexperten sind sehr zuversichtlich, dass die E-Mails im Zusammenhang mit dieser Aktivität von der Opferorganisation stammen. Außerdem gibt es darin keine erkennbaren Anzeichen für Manipulationen oder technisch nachweisbare Ungenauigkeiten. Es ist wichtig hervorzuheben, dass die durchgesickerten Daten eine beträchtliche Menge an E-Mails umfassen, die nichts mit dem aktuell untersuchten Bereich zu tun haben. Dies deutet darauf hin, dass das Leck wahrscheinlich zufällig entstanden ist oder auf Aktivitäten zurückzuführen ist, die nicht in Verbindung mit dem analysierten Eindringen stehen. Dennoch liefert diese Sammlung wertvolle Hintergrundinformationen für unser Verständnis des internen Netzwerkdesigns, der Sicherheitslücken und für die Aktivitäten anderer Angreifer.
Mitte Mai 2022, etwa eine Woche vor dem Veto Russlands gegen eine UN-Resolution zur Verhängung neuer Sanktionen gegen Nordkorea wegen des Starts ballistischer Interkontinentalraketen, die Atomwaffen transportieren könnten, wies die betroffene Organisation intern auf den Angriff hin. Interne E-Mails der NPO Mashinostroyeniya zeigen, dass IT-Mitarbeiter Diskussionen führten, die auf fragwürdige Kommunikation zwischen bestimmten Prozessen und unbekannter externer Infrastruktur hinwiesen. Am selben Tag entdeckten die Mitarbeiter der NPO Mashinostroyeniya auch eine verdächtige DLL-Datei in verschiedenen internen Systemen. Im Monat nach dem Eindringen wandte sich NPO Mashinostroyeniya an die Support-Mitarbeiter ihrer AV-Lösung, um herauszufinden, warum diese und andere Aktivitäten nicht erkannt wurden.
Nach einer Prüfung der E-Mails und einer eingehenden Untersuchung der beiden separaten Gruppen verdächtiger Aktivitäten konnte erfolgreich eine Korrelation zwischen jeder Gruppe von Aktivitäten und einem entsprechenden Bedrohungsakteur hergestellt werden, der ein bedeutenderes Eindringen in das Netzwerk darstellt, als die Opferorganisation realisiert hat. Dieses Eindringen gibt einen seltenen Einblick in sensible Cyberspionage-Kampagnen aus Nordkorea und bietet die Möglichkeit, unser Verständnis der Beziehungen und Ziele zwischen verschiedenen Cyberbedrohungsakteuren zu erweitern.
Fazit
Mit hoher Wahrscheinlichkeit ist davon auszugehen, dass dieses Eindringen auf Bedrohungsakteure zurückzuführen ist, die mit Nordkorea in Verbindung stehen. Dieser Vorfall ist ein überzeugendes Beispiel für die proaktiven Maßnahmen Nordkoreas zur verdeckten Förderung seiner Ziele bei der Entwicklung von Raketen, wie die direkte Kompromittierung einer russischen Organisation der Defense-Industrial Base (DIB) beweist. Die Konvergenz der nordkoreanischen Cyber-Bedrohungsakteure stellt eine Bedrohung von großer Tragweite dar, die eine umfassende globale Überwachung rechtfertigt. Diese Akteure agieren gemeinsam als ein zusammenhängendes Cluster und führen eine Vielzahl von Kampagnen durch, die durch unterschiedliche Faktoren motiviert sind. In Anbetracht dieser Erkenntnisse ist es von entscheidender Bedeutung, dieser Bedrohung mit äußerster Wachsamkeit und strategischer Reaktion zu begegnen und sie zu entschärfen.
www.sentinelone.com