Deutschlands Bundesnachrichtendienst (BfV) und Südkoreas National Intelligence Service (NIS) warnen in einer heutigen Mitteilung vor einer andauernden Cyber-Spionageoperation, die im Auftrag der nordkoreanischen Regierung die globale Verteidigungsindustrie ins Visier nimmt. Ziel der Angriffe ist es, Informationen über fortschrittliche Militärtechnologien zu stehlen und Nordkorea bei der Modernisierung konventioneller Waffen sowie bei der Entwicklung neuer militärischer Fähigkeiten zu unterstützen.
Die gemeinsame Cyber-Sicherheitswarnung beleuchtet zwei Fälle, die nordkoreanischen Akteuren, darunter die Lazarus-Gruppe, zugeschrieben werden, und beschreibt die Taktiken, Techniken und Verfahren (TTPs) der Angreifer.
Angriff auf die Lieferkette Im ersten Fall drang Ende 2022 ein nordkoreanischer Cyber-Akteur in die Systeme eines Forschungszentrums für maritime und Schifffahrtstechnologien ein und führte einen Angriff auf die Lieferkette durch, indem das Unternehmen kompromittiert wurde, das für die Wartung des Webservers der Zielorganisation zuständig war. Der Angreifer nutzte dabei gestohlene SSH-Zugangsdaten, missbrauchte legitime Tools für die seitliche Bewegung im Netzwerk und versuchte, in der Infrastruktur unentdeckt zu bleiben.
Soziale Manipulation Das zweite Beispiel zeigt die Taktik „Operation Dream Job“ der Lazarus-Gruppe, die bekanntermaßen gegen Mitarbeiter von Kryptowährungsunternehmen und Softwareentwickler eingesetzt wird, aber auch gegen den Verteidigungssektor gerichtet war. Lazarus erstellte ein Konto auf einem Online-Jobportal mit gefälschten oder gestohlenen persönlichen Daten einer existierenden Person, knüpfte Verbindungen zu relevanten Personen und bot schließlich nach Aufbau eines Vertrauensverhältnisses schädliche Dateien unter dem Vorwand eines Jobangebots an.
Empfehlungen Um diesen Bedrohungen entgegenzuwirken, empfehlen die Agenturen mehrere Sicherheitsmaßnahmen, darunter die Beschränkung des Zugangs von IT-Dienstleistern auf die für die Fernwartung notwendigen Systeme, die Überwachung von Zugriffsprotokollen zur Erkennung unbefugter Zugriffsversuche, die Verwendung von Mehrfaktorauthentifizierung (MFA) für alle Konten und die Annahme strenger Benutzerauthentifizierungsrichtlinien für das Patch-Management-System (PMS).
Für soziale Manipulationsangriffe wird empfohlen, Mitarbeiter über gängige Taktiken aufzuklären und den Zugang der Mitarbeiter nur auf die Systeme zu beschränken, die sie benötigen, um eine gute Sicherheitsgrundlage zu schaffen. Starke Authentifizierungsmechanismen und Verfahren für das Patch-Management-System sowie die Pflege von Überwachungsprotokollen, die den Benutzerzugriff umfassen, sollten die Sicherheitslage verbessern.
