Das US-CERT hat eine Sicherheitswarnung für ein Remote Administration Tool (RAT) namens FallChill herausgegeben, das die nordkoreanische Regierung für Angriffe auf Einrichtungen in den USA einsetzen soll. Entdeckt wurde die Malware demnach vom Department of Homeland Security (DHS) und der Bundespolizei Federal Bureau of Investigation (FBI). Beide Behörden identifizierten demnach IP-Adressen und Hinweise auf eine Kompromittierung, die FallChill zugeordnet werden.
An den Ermittlungen waren auch nicht näher genannte „vertrauenswürdige“ Dritte beteiligt. Demnach soll Nordkorea FallChill schon seit 2016 nutzen, um Luftfahrtunternehmen, Telekommunikationsanbieter und den Finanzsektor anzugreifen. „Die Malware ist ein voll funktionsfähiges Remote Administration Tool mit mehreren Befehlen, die die Hintermänner von einem Befehlsserver aus an das System eines Opfer schicken“, heißt es in der Meldung.
FallChill ordnen die Ermittler einer Hidden Cobra genannten Kampagne zu, in deren Verlauf weitere Schadsoftware eingesetzt wurde, unter anderem, um FallChill in die Systeme der Ziele einzuschleusen. Von daher sei nicht ausgeschlossen, dass sich auf mit FallChill verseuchten Systemen weitere Malware befinde.
Die Kommunikation zwischen den infizierten Systemen der Opfer und den Befehlsservern sollen mehrere Proxy-Server verschleiern, die Daten per RC4 verschlüsselt austauschen. Unter anderem werden dabei grundlegende Systeminformationen ausgelesen und übermittelt wie Betriebssystem, Prozessor, lokale IP-Adresse und MAC-Adresse. Darüber hinaus ist FallChill in der Lage, Details zu allen installierten Festplatten auszulesen, neue Prozesse zu starten, Dateien zu lesen, zu schreiben und auszuführen, den Zeitstempel von Datein und Verzeichnissen zu verändern sowie Malware zu löschen.
Darüber hinaus enthält die Sicherheitswarnung Netzwerksignaturen und host-basierte Regeln, mit denen sich Aktivitäten der Hidden-Cobra-Kampagne erkennen lassen. Weder die Signaturen noch die Regeln seien jedoch als alleiniges Kriterium für die Erkennung gefährlicher Aktivitäten geeignet.
Das US-CERT weist auch darauf hin, dass eine Infektion mit der Schadsoftware zu einem vorübergehenden oder gar dauerhaften Verlust von vertraulichen und proprietären Informationen führen kann. Auch eine Unterbrechung des regulären Geschäftsbetriebs sei nicht ausgeschlossen. Daraus könnten für Unternehmen finanzielle Verluste sowie eine Rufschädigung resultieren.
SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
[mit Material von Stephanie Condon, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
1 Kommentar zu FallChill: US-Regierung warnt vor staatlicher Malware aus Nordkorea
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Bei so wenigen Computern in Nord-Korea bezweifle ich, dass die selbst genügend gute Schadsoftwareentwickler haben. Für wahrscheinlicher halte ich, dass die solche Software von China, Russland oder dem CIA haben. Letzteres deshalb weil es für mich so aussieht als ob mache Kreise in den USA ein Krieg gegen Nord-Korea wollen.