Eine nordkoreanische Bande nutzte einen bis dahin unbekannten Fehler in Chrome aus, um Organisationen ins Visier zu nehmen und deren Kryptowährung zu stehlen, wie ein Team von Microsoft-Forschern in einem Bericht enthüllte.
Laut dem am Freitag veröffentlichten Bericht erfuhren die Cybersicherheitsforscher von Microsoft erstmals am 19. August von den Vergehen der Hacker. Der Bericht führt weiter aus, dass die Bande mit Citrine Sleet in Verbindung stand, die dafür bekannt ist, die Kryptoindustrie und Finanzdienstleister im Allgemeinen ins Visier zu nehmen.
Die Hacker nutzten Sicherheitslücken in Browsern aus
Dies geschieht vor dem Hintergrund, dass Kryptowährungen seit Jahren ein begehrtes Ziel für nordkoreanische Regierungshacker sind. Laut einem Artikel von TechCrunch schätzt der UN-Sicherheitsrat, dass zwischen 2017 und 2023 Kryptowährungen im Wert von 3 Milliarden Dollar gestohlen wurden
Nach Angaben der Microsoft-Forscher nutzte die Hackergruppe eine Schwachstelle in einem Kernmodul von Chromium aus, dem zugrunde liegenden Code für Chrome und andere beliebte Browser wie Microsoft Edge.
Der Bericht erklärt weiter, dass es sich bei der Ausnutzung der Browser-Schwachstellen durch die Hacker um eine Zero-Day-Schwachstelle handelte. Das bedeutet, dass Google als Softwarehersteller von dem Fehler nichts wusste. Laut einem Artikel von TechCrunch hatte das Team daher keine Zeit, vor der Ausnutzung des Fehlers einen Fix bereitzustellen.
Laut den Erklärungen der Forscher behob Google den Fehler zwei Tage später, am 21. August
Laut TechCrunch sagte Google-Sprecher Scott Westover, der Technologiekonzern habe den Fehler behoben, nannte aber keine weiteren Details.
Microsoft gab gegenüber Kollegen bekannt, dass man „anvisierte und kompromittierte Kunden“ benachrichtigt habe, konnte aber weder weitere Informationen über die anvisierten Ziele noch darüber, wie viele Ziele und Opfer von dieser „Hacking-Serie“ betroffen waren, liefern
Der Sprecher der Organisation, Chris Williams, weigerte sich, die Anzahl der von diesem Fehlverhalten betroffenen Organisationen preiszugeben.
Nordkoreanische Bande nimmt Finanzdienstleistungen ins Visier
Den Forschern zufolge hat Citrine Sleet seinen Sitz in Nordkorea und zielt hauptsächlich auf Finanzdienstleister und Personen ab, die Kryptowährungen gewinnbringend verwalten. Die Gruppe habe im Rahmen ihrer Social-Engineering-Techniken „umfangreiche Aufklärungsarbeit in der Kryptowährungsbranche und bei den damit verbundenen Personen“ geleistet.
„Der Bedrohungsakteur erstellt gefälschte Webseiten, die sich als legitime Kryptowährungshandelsplattformen ausgeben, und nutzt diese, um gefälschte Stellenangebote zu verbreiten oder Zielpersonen dazu zu verleiten, eine präparierte Kryptowährungs-Wallet oder Handelsanwendung herunterzuladen, die auf legitimen Anwendungen basiert“, heißt es in einem Teil des Berichts.
„Citrine Sleet infiziert seine Ziele am häufigsten mit der von ihm entwickelten, einzigartigen Trojaner-Malware AppleJeus, die Informationen sammelt, die notwendig sind, um die Kontrolle über die Kryptowährungsbestände der Ziele zu erlangen.“
Microsoft-Bericht.
Die Forscher enthüllten, dass die nordkoreanischen Hacker zunächst ein Opfer dazu brachten, eine von ihnen kontrollierte Webseite zu besuchen. Der Bericht erklärt weiter, dass die Hacker aufgrund einer weiteren Sicherheitslücke im Windows-Kernel Schadsoftware mit tiefgreifendem Zugriff auf das Betriebssystem des Opfers installieren konnten. Dadurch erlangten sie die vollständige Kontrolle über die Daten und das Gerät des Opfers.
Laut TechCrunch hat das Regime in Nordkorea aufgrund strenger internationaler Sanktionen auf illegale Kryptoaktivitäten zurückgegriffen, um seine Atomwaffen zu finanzieren.
