HOPLIGHT: Nordkoreas weiterer Versuch, ein Hacking-Regime zu werden

Veröffentlicht: 2019-04-15

Die politischen Spannungen zwischen Nordkorea (früher bekannt als Demokratische Volksrepublik Korea) und den Vereinigten Staaten sind auf einem Allzeithoch, seit der nordkoreanische Führer Kim Jong-un seine Pläne zur Herstellung von Atomwaffen bekannt gegeben hat, um scheinbar seine auszulöschen "Feinde". In letzter Zeit hat sich Nordkorea in dem Wissen, dass es die Vereinigten Staaten nicht einfach an militärischer Stärke und Wirtschaftlichkeit übertreffen kann, der Netzwerkentführung und Cyberangriffen zugewandt, um die USA angreifbar zu machen, und versucht regelmäßig, in Regierungsakten und -informationen einzudringen. Die Angreifer, die behaupten, private Organisationen zu sein und keine Verbindung zur nordkoreanischen Regierung zu haben, haben mehrere Versuche gegen private US-Organisationen und Regierungsinstitutionen unternommen. Sie haben sich sogar die Mühe gemacht, offen mit Terroranschlägen und Massakern zu drohen, wenn US-Beamte ihren Forderungen nicht nachgeben. Wieder einmal haben Nordkoreas offensichtlich staatlich finanzierte Cyberangriffe US-Regierungsbehörden mit einer neuen Malware namens HOPLIGHT ins Visier genommen. Was kann HOPLIGHT und was ist Nordkorea nach dieser Zeit?

Muss gelesen werden: Bausteine ​​der Cybersicherheit

Nordkoreanische Cyberangriffsversuche auf die USA

Nordkoreanische Cyberangriffsversuche auf die USA
Bildquelle: Bleeping Computer

HOPLIGHT ist nicht das erste Mal, dass nordkoreanische Cyber-Angreifer eine Einrichtung oder Firma in den Vereinigten Staaten ins Visier nehmen. Tatsächlich geht das jetzt seit fast einem halben Jahrzehnt; und während das nordkoreanische Regime weiterhin leugnet, irgendwelche Informationen über diese Angriffe zu haben, ist es eine weltbekannte Tatsache, dass das Regime sie regelmäßig unterstützt.

Nordkoreanische Cyber-Angreifer
Bildquelle: Rekodieren

Der erste große Angriff, der Schlagzeilen machte, war der Sony Pictures Hack, bei dem sich die Angreifer in die Server und Netzwerke des amerikanischen Filmstudios Sony Pictures hackten. Der Angriff richtete sich gegen persönliche E-Mails von Studioleitern, Datendateien, Drehbücher bevorstehender Filmveröffentlichungen und Einzelheiten einiger in Bearbeitung befindlicher vertraglicher Vereinbarungen. Die Forderungen waren, die Veröffentlichung ihres Films The Interview zu blockieren, der eine Verhöhnung des nordkoreanischen Führers Kim Jong-un darstellte. Die Leckerbissen von Terroranschlägen bei der Filmvorführung zwangen das Studio, den Forderungen nachzugeben. Die Regierung der Vereinigten Staaten leitete daraufhin eine Reihe von Untersuchungen ein.

US-Beamte verfolgten die Angriffe nach Nordkorea
Bildquelle: ZDNet

Im Jahr 2017 nutzte eine Hackergruppe namens The Shadow Brokers eine Microsoft Windows-Schwachstelle, um weltweite Cyberangriffe durchzuführen und Unternehmensserver und -konten zu kapern. Dieser Denial-of-Service-Angriff namens Ransomware verletzte weltweit über 200.000 Computer, und Angreifer forderten Lösegeld in Kryptowährung, um ihre Blockade über diese Computer aufzuheben. Zu diesem Zeitpunkt erhöhte die US-Regierung den Einsatz für ihre laufenden Ermittlungen und begann, international zu graben. Zu der Zeit, als US-Beamte die Angriffe nach Nordkorea zurückverfolgten und offizielle Anschuldigungen bestätigten, hatte es bereits weitere Entführungsangriffe auf seine Versorgungsdienste und Stromnetze erlitten.

Also, wer steckt hinter diesen Angriffen?

Wer steckt hinter den Angriffen von Nordkorea?
Bildquelle: Vox

Die US-Regierung, das Federal Bureau of Investigation (FBI) und das US-Heimatschutzministerium (DHS), dass diese Angriffe von der koreanischen Geheimdienstgruppe Reconnaissance General Bureau unterstützt wurden und vom Bureau 121 mit dem Codenamen Lazarus Group orchestriert und angerufen wurden viele weitere Namen. Bureau 121 soll ein Expertenteam aus Cybersicherheitsexperten und ausgebildeten Hackern sein, die allein dafür verantwortlich sind, solche Angriffe auf „feindliche“ Nationen Nordkoreas durchzuführen. Die Ermittlungen nannten speziell Park Jin-hyok, ein mutmaßliches Mitglied des Büros 121, der der Hauptverantwortliche für diese Angriffe war. Und inzwischen hat das nordkoreanische Regime die Existenz einer solchen Gruppe abgelehnt und auf eine offizielle Erklärung zu diesen Angriffen verzichtet.

HOPLIGHT: Die neueste Reihe nordkoreanischer Malware-Angriffe

HOPLIGHT nordkoreanische Malware-Angriffe
Bildquelle: GB Hacker

Die nordkoreanische Cyber-Angriffsgruppe hat jetzt eine neue Malware namens HOPLIGHT veröffentlicht, die es erneut auf US-Regierungsbehörden abgesehen hat, um Informationen und Daten zu erhalten. Obwohl noch kein offizieller Bericht über einen HOPLIGHT-Angriff auf eine private oder öffentliche Organisation veröffentlicht wurde, wurde die Malware vom US Computer Emergency Readiness Team (CERT) entdeckt und bis nach Nordkorea zurückverfolgt. FBI und DHS haben Informationen veröffentlicht, dass diese neue Malware als Trojaner fungiert und wichtige Dateien im System lesen, ändern und verschieben kann. Die Malware hat auch die Fähigkeit, Virencodes in laufende Netzwerkprozesse einzuschleusen und diese zu beenden oder anzuhalten, was zu Unterbrechungen der Behördenarbeit führen kann. Darüber hinaus ist die Malware in der Lage, Registrierungsdateien zu verändern, was die Speicherung von Daten in Behördennetzwerken beeinträchtigen kann.

Malware von den USA nach Nordkorea zurückverfolgt
Bildquelle: Cyware

CERT hat Einzelheiten zu neun verschiedenen Dateitypen veröffentlicht, von denen die meisten Proxy-Anwendungen sind, die verwendet werden, um HOPLIGHT in Systeme und Netzwerke einzuschleusen. Die Proxys führen gefälschte SSL-Zertifikate und verwenden Befehlsserver, um Sicherheitsverletzungen durchzuführen.

HOPLIGHT ist das Neue in der Stadt

Seit Wannacry-Ransomware-Angriffen veröffentlicht CERT aktiv Berichte über böswillige Cyber-Angriffe und mögliche Malware-Erkennungen, um Behörden und öffentliche Organisationen zu warnen. Und keiner dieser Berichte hat zuvor irgendetwas wie HOPLIGHT angesprochen und keine Adressen mit HOPLIGHT aufgenommen. Anscheinend wurde HOPLIGHT noch nie zuvor verwendet und ist die neueste Malware in der Liste der bösartigen Software von Bureau 121.

Warum setzt Nordkorea seine Cyberangriffe auf US-Behörden fort?

Cyberangriffe auf US-Behörden
Bildquelle: PYMNTS

Nordkorea ist ein kleines Diktaturregime weit draußen im Osten und nicht in der Lage, souveräne Nationen wie Amerika zu erobern. Zumindest nicht an militärischen Fronten. Die Nation ist auf See von US-Seestreitkräften umgeben und wurde von den Weltmedien aufgrund der böswilligen Absichten des nordkoreanischen Führers Kim Jong-un gegen den Weltfrieden und die Sicherheit ständig herabgestuft. Darüber hinaus haben das schwache Bildungs- und Wirtschaftssystem des Landes die Nation mittellos gemacht, und daher waren die Motive hinter diesen Angriffen auch finanzielle Gewinne. Und natürlich kann keine Nation Spionage betreiben, während ein Cyber-Angreifer außerhalb der Reichweite der Strafverfolgungsbehörden nicht nachweisbar oder dennoch unmöglich zu fassen ist. Daher bleiben Cyberangriffe und Cybersicherheitsverletzungen die praktikabelste Option für Nordkorea, sich aktiv an der Informationsbeschaffung und Geheimdienstarbeit zu beteiligen, eine Praxis, die von jeder anderen Nation in der Spionage befolgt wird.

Aber wie kann Nordkorea diese Verstöße begehen?

Es ist eine sehr praktikable Frage angesichts der Tatsache, dass Nordkorea in der Lage war, äußerst wirkungsvolle Angriffe durchzuführen, obwohl es sich von einer Online-Präsenz in großem Umfang zurückhielt. Die Nation hat zwei Internetverbindungen mit der Außenwelt und hat es dennoch geschafft, ein tödlicher und ziemlich mächtiger Cyber-Angreifer zu werden.

Nordkorea führt diese Verstöße durch
Bildquelle: UPI

Dies liegt daran, dass das Regime Jugendliche umfassend in Cybersicherheit und Hacking geschult hat. Laut DHS- und FBI-Untersuchungsberichten werden die jungen Burschen Nordkoreas auf ihre mathematischen und logarithmischen Fähigkeiten geprüft und im Rahmen staatlich finanzierter Projekte zu Hackerexperten ausgebildet. Viele dieser ausgebildeten Hacker leben in fremden Ländern und leben verdeckt, um Nordkorea vor Ort Informationen zu liefern.

Wie groß ist das Problem?

Neueste nordkoreanische HOPLIGHT-Interferenz
Bildquelle: Business Insider

Die neuste nordkoreanische HOPLIGHT-Interferenz wurde zwar entdeckt, ihre Bedrohungen können jedoch so früh nicht übersehen werden. Nordkorea hat seit den letzten zwei Jahren wegen Cybersicherheitsangriffen nicht geschwiegen und ist unter dem Deckmantel gefälschter Gespräche und Stillschweigens über die mögliche Entwicklung von Atomwaffen sogar an diesen Angriffen beteiligt. Tatsächlich wurden die Angriffe auch nach einem offiziellen Treffen zwischen US-Präsident Trump und Kim Jong-un fortgesetzt. Das Problem ist also ziemlich groß und scheint nicht so schnell zu verschwinden.

Nordkorea hat bereits zuvor direkte Smash-and-Grab-Angriffe versucht, aber HOPLIGHT ist eine neue Form der Spionage für Nordkorea, die bisher noch keine Organisation offiziell ins Visier genommen hat.

Muss gelesen werden: Sind Regierungs- und Militärdaten sicher vor Cyber-Angriffen?

Die Antwort darauf, ob Nordkorea seine Bewegungen mit HOPLIGHT vorantreiben oder sich angesichts der frühen Offenlegung seiner neuen Malware zurückziehen würde, kann noch nicht festgelegt werden. Angesichts der nie endenden Sicherheitsverletzungen und Hacking-Versuche durch staatlich unterstützte Gruppen des Landes muss jedoch mit Nordkoreas Hacking-Expertise umgegangen werden.