Nordkoreanische Gruppierung LAZARUS – Sicherheitshinweis zu Cyberspionageaktivitäten

Ein gemeinsamer Sicherheitshinweis von BfV und NIS vom 19. Februar 2024 informiert über nordkoreanische Cyberspionageaktivitäten gegen die Rüstungsbranche. fokussiert auf den fortschrittlicher Rüstungstechnologien, um sein Militär zu stärken.

Der Hinweis enthält Taktiken, Techniken, Verfahren (TTPs) und Indikatoren für Kompromittierungen (IoCs) der DVRK. Er beschreibt zwei Fälle von Cyberangriffen: einen Supply-Chain-Angriff auf ein Forschungszentrum und Social Engineering-Angriffe durch die Gruppe . Die Empfehlungen betonen präventive Maßnahmen und Sensibilisierung der Rüstungsbranche und anderer Sektoren für solche Bedrohungen.

Der Sicherheitshinweis beschreibt zwei Haupttypen von Cyberangriffen durch nordkoreanische Akteure:

Supply-Chain-Angriff auf ein Forschungszentrum der Rüstungsbranche

  • Ein nordkoreanischer Cyberakteur drang in das Netzwerk eines Forschungszentrums für See- und Schifffahrtstechnologien ein, indem er zunächst einen Dienstleister, der für die Wartung des Webservers des Zentrums zuständig war, kompromittierte.
  • Der Angreifer nutzte legitime Programme, um bösartige Dateien von Command-and-Control (C2)-Servern herunterzuladen, darunter ein Tunneling-Tool und ein Base64-kodiertes Python-Skript.
  • Es erfolgte eine laterale Bewegung im Netzwerk durch SSH-Verbindungen zu anderen Servern des Forschungszentrums, wobei Netzwerkpakete mitgeschnitten und Anmeldeinformationen gestohlen wurden.
  • Der Angreifer erschlich sich die Anmeldedaten eines Sicherheitsmanagers und versuchte, über das Patch-Management-System (PMS) des Forschungszentrums eine bösartige Patch-Datei zu verteilen.

Social Engineering-Angriffe durch die Gruppe LAZARUS

  • LAZARUS verwendete Social Engineering, eine nicht-technische Methode, die menschliches Vertrauen und andere psychologische Aspekte ausnutzt, um an sensible Daten zu gelangen.
  • Der Prozess begann mit der Erstellung gefälschter oder gestohlener Profile auf Online-Jobportalen, die wie die eines Headhunters aussahen.
  • LAZARUS suchte gezielt nach Mitarbeitern von Rüstungsunternehmen mit Zugang zu wertvollen Ressourcen und baute über Jobportale Kontakt zu ihnen auf.
  • Der Angreifer versuchte, die Mitarbeiter zu einem Wechsel der Kommunikationsplattform zu bewegen (z.B. , Telegram, Skype) und übermittelte dann bösartige Dateien, oft getarnt als Jobangebote oder Informationen zu einer Stelle.
  • In einigen Fällen wurden Programmieraufgaben als Teil des vermeintlichen Rekrutierungsprozesses gesendet, die beim Ausführen Schadsoftware installierten. In anderen Fällen wurden manipulierte VPN-Clients zur Infiltration des Unternehmensnetzwerks verwendet.

Diese Taktiken zeigen die fortschrittlichen und vielfältigen Methoden, die nordkoreanische Cyberakteure anwenden, um gezielte Angriffe durchzuführen und Sicherheitsmaßnahmen zu umgehen.


Sicherheitsmaßnahmen und Best Practices gegen Social Engineering-Angriffe

Um Social Engineering-Angriffe effektiv zu bekämpfen, empfiehlt der gemeinsame Sicherheitshinweis von BfV und NIS verschiedene Maßnahmen und Best Practices:

  1. Regelmäßige Information der Mitarbeiter: Es ist wichtig, Mitarbeiter kontinuierlich über aktuelle Entwicklungen bei Cyberangriffen zu informieren. Dies erhöht das Verständnis für die Methoden von Cyberakteuren und ermöglicht eine schnelle Reaktion im Falle eines Eindringens in Unternehmenssysteme.
  2. Einschränkung der Zugriffsrechte: Bei der Nutzung von Fernwartungs- und Reparaturdiensten sollten Zugriffsrechte nur für die notwendigen Systeme erteilt werden. Eine sorgfältige Authentifizierung vor der Vergabe von Benutzerberechtigungen und -privilegien ist essentiell.
  3. Audit-Protokolle: Unternehmen sollten Audit-Protokolle führen und regelmäßig überprüfen, um ungewöhnliche Zugriffe zu erkennen und analysieren zu können.
  4. Patch-Management-System (PMS): Ein geeignetes PMS-Verfahren sollte etabliert werden, um Benutzerauthentifizierungen zu verifizieren und passende Verifizierungen sowie Zustimmungsprozesse für die finale Distributionsphase zu implementieren.
  5. Verwendung von SSL/TLS: Bei der Erstellung von Webseiten sollte immer SSL/TLS verwendet werden, um illegitimen Zugriff auf kritische Daten wie Benutzerinformationen zu verhindern.
  6. Multi-Faktor-Authentifizierung: Für Mitarbeiter, die per VPN aus dem Home-Office arbeiten, wird eine Multi-Faktor-Authentifizierung empfohlen. Sensible Informationen wie einmalig verwendbare Passwörter (OTP) und Authentifizierungsschlüssel sollten vor der Weitergabe an Dritte geschützt werden.
  7. Aufklärung über Social Engineering-Methoden: Mitarbeiter sollten über die gängigsten Methoden des Social Engineerings aufgeklärt werden. Dazu gehört die Sensibilisierung für verdächtige, passwortgesperrte Dokumente oder Links und die Etablierung einer Fehlerkultur, die Mitarbeiter ermutigt, Sicherheitsvorfälle zu melden, ohne Konsequenzen fürchten zu müssen.
  8. Restriktive Vergabe von Privilegien: Zur Minimierung des Risikos von Social Engineering-Angriffen sollte eine möglichst restriktive Vergabe von Privilegien und Zugriffsrechten auf sensible Daten erfolgen.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.