US-Regierung warnt vor neuer nordkoreanischer Backdoor-Malware

Die US Cybersecurity and Infrastructure Security Agency (CISA) warnt vor einer neuen Schadsoftware, die ihrer Ansicht nach von Hackern verbreitet wird, die durch die nordkoreanische Regierung unterstützt werden. Die Malware wurde demnach bei Angriffen auf Firmen in und außerhalb der USA eingesetzt, vor allem gegen den Rüstungssektor und Luftfahrtunternehmen.

Analysiert wurden die Attacken von McAfee (Operation North Star) und ClearSky (Operation DreamJob). Die Angreifer sollen sich jeweils als Vertreter von Personalabteilungen großer Unternehmen ausgeben, die auf der Suche nach neuen Mitarbeitern sind. Die angesprochenen Opfer werden aufgefordert, an einem Bewerbungsverfahren teilzunehmen, in dessen Verlauf sie speziell gestaltete Office- oder PDF-Dokumente erhalten. Diese wiederum setzten die Hacker ein, um die Computer ihrer Opfer mit Schadsoftware zu infizieren.

Die Warnmeldung der CISA konzentriert sich auf die die eigentliche Schadsoftware, die die Angreifer einsetzen: einen Remote-Access-Trojaner namens Blindingcan, der „Informationen über Schlüsseltechnologien für Militär und Energie“ sammeln soll.

Unter anderem ist Blindingcan in der Lage, Daten über die installierten Festplatten, das Betriebssystem und den Prozessor abzufragen. Erfasst werden aber auch die lokale IP-Adresse und die MAC-Adresse. Darüber hinaus kann die Malware neue Prozesse anlegen, starten und beenden, Dateien lesen, schreiben, suchen und ausführen und Zeitstempel von Dateien und Ordnern ändern.

Die Warnmeldung liefert weitere technische Details zu der Schadsoftware. Sie enthält auch sogenannte Indicators of Compromise, also Merkmale, an denen Betroffene erkennen können, ob sie mit Blindingcan infiziert wurden.

Die aktuelle Meldung ist bereits die 35. Warnung der US-Regierung von Hackerangriffen aus Nordkorea. Allein die CISA veröffentlichte seit Mai 2017 31 Berichte über neue Malware-Familien, die ihren Ursprung in Nordkorea haben sollen. Laut einem Bericht des US-Militärs sollen viele nordkoreanische Hacker von anderen Staaten aus agieren, unter anderem Weißrussland, China, Indien, Malaysia und Russland.