Nordkorea soll Schweizer Finanz- und Crypto-Branche angreifen

Im Februar hatte McAfee Details zu einem "HaoBao" genannten Hackerangriff publiziert. Nun wurde bekannt, dass auch Mitarbeitende im Schweizer Finanzplatz ins Visier genommen wurden, berichtet die 'SonntagsZeitung'. Bestätigt ist dies nicht, da Banken und Versicherungen der Zeitung nichts weiter sagen wollten. Allerdings hat sich laut der Zeitung auch der Nachrichtendienst des Bundes mit der Attacke beschäftigt. Man habe "bislang keine Spuren" von Infektionen bei potenziell betroffenen Firmen in der Schweiz gefunden, liess eine Melani-Sprecherin dazu wortkarg verlauten. Ob die Angriffe vorüber sind, ist ebenfalls unklar.
 
Auch die Stiftung Switch, die CERT-Services für Banken bietet und mit Melani zusammenarbeitet, winkt auf Anfrage von inside-it.ch ab, niemand könne detaillierter Auskunft geben.
 
Im Visier dürften neben Schweizer Banken und Versicherungen auch Crypto-Startups im Zuger "Crypto Valley" sein, da der "HaoBao"-Angriff sich zuvorderst an Bitcoin-User wendet. Der Angriff sei "darauf ausgerichtet, diejenigen zu identifizieren, die Bitcoin-bezogene Software einsetzen", so McAfee. Ziel sei die langfristige Datensammlung. Abgegriffen werden Computername, User-Name, laufende Prozesse auf dem System und Registry Key, so der Security-Anbieter in einem Blogpost.
 
Dabei setzen die Hacker auf Spear-Phishing-Attacken mit einer fingierten Anfrage eines Personalvermittlers samt Link auf einen bei Dropbox gespeicherten CV.
Das Dokument gibt vor, in einer älteren Microsoft-Word-Version erstellt worden zu sein und will die Zielpersonen damit vom Klick überzeugen. Über ein Visual Basic-Makro startet anschliessend der Angriff auf das System des Opfers, so McAfee.
 
Die Techniken, Taktiken und Verfahren seien Angriffen sehr ähnlich, die sich auf US-Verteidigungsunternehmen, den US-Energiesektor, Finanzinstitute und Kryptowährungs-Börsen im Jahr 2017 richteten. Die damalige "Kampagne" hatte den Namen "Sharpshooter" ("Scharfschütze") erhalten. In Kombination mit aus diesen Angriffen bekannten Domain- und IP-Adressen und weiteren technischen Erkenntnissen lasse sich bei den neuen Angriffen auf "Lazarus" als Hackergruppe schliessen. Dabei sei der Schadcode aber neu.
 
Lazarus steht laut mehreren Security-Firmen Nordkorea zumindest sehr nahe und hat sich immer wieder mit Crypto-Currency-bezogenen Angriffen hervorgetan.
 
In einem Vortrag an den Swiss Cyber Security Days in Fribourg letzten Februar hatte Moonbeom Park, ein IT-Security-Berater der südkoreanischen Regierung, erläutert, dass Spear-Phishing-Attacken neben solchen via Patch-Management-System zu den bevorzugten nordkoreanischen Methoden zählen. In Spear-Phishing-Mails seien oft manipulierte .xls- und .HWP-Dateien involviert, erläuterte der Berater in der Präsentation. Er wollte seine Slides aber nicht zur Publikation autorisieren.
 
Für das Jahr 2017 nannte er explizit Nordkorea als verantwortlich für die Spear-Phishing-Attacken auf die inzwischen konkurse Crypto-Börse Youbit sowie auf Bithumb, einen Bezug zu Lazarus hingegen machte er nicht.
 
Details zu "HaoBao" bietet ein -- https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/--McAfee-Blog-Beitrag--. (mag)