Wie Forscher herausfanden, dass nordkoreanische Hacker hinter dem Sicherheitsverstoß eines US-amerikanischen Softwareunternehmens stecken

Letzte Woche wurde berichtet, dass eine nordkoreanische Hackergruppe in das in den USA ansässige Unternehmen für Unternehmenssoftware JumpCloud eingedrungen sei und es dann als Sprungbrett genutzt habe, um weiter in eine nicht identifizierte Anzahl von Kryptowährungsunternehmen einzudringen, mit dem Motiv, Geld zu stehlen. Sicherheitsforscher haben nun den Grund aufgeführt, weshalb sie zuversichtlich sind, dass nordkoreanische Hacker hinter dem Einbruch stecken.Forscher sagten, dass den Hackern ein Fehler unterlaufen sei, als sie illegal in die Systeme eingedrungen seien. Laut Mandiant hat ein Cybersicherheitsunternehmen und eine Tochtergesellschaft von Google, das einen der betroffenen Kunden von JumpCloud unterstützt, behauptet, dass die Hacker für das nordkoreanische Reconnaissance General Bureau (RGB) arbeiteten.

Es heißt, dass die RGB Kryptowährungsunternehmen ins Visier nimmt und Passwörter stiehlt, um Kryptodiebstähle zur Finanzierung von Atomwaffenprogrammen durchzuführen.„Mandiant führte diese Eingriffe auf UNC4899 zurück, einen Nexus-Akteur mit der Demokratischen Volksrepublik Korea (DVRK), der in der Vergangenheit Unternehmen in der Kryptowährungsbranche ins Visier genommen hat“, heißt es in einem Blog.Welchen Fehler haben die Hacker begangen?
Mandiant stellte fest, dass Hacker VPN verwenden, um ihren Standort und ihre IP-Adressen zu verbergen, damit sie nicht erwischt werden. Allerdings hat die nordkoreanische Hacking-Einheit fälschlicherweise ihre IP-Adressen offengelegt. Dies lag daran, dass die VPNs „in vielen Fällen“ nicht funktionierten oder die Hacker sie nicht nutzten, um auf das Netzwerk des Opfers zuzugreifen. Durch diesen operativen Fehler wurde ihr Zugriff offengelegt, und das Cybersicherheitsunternehmen stellte fest, dass sich der Bedrohungsakteur direkt bei einer IP-Adresse in Pjöngjang anmeldete. „Darüber hinaus konnte Mandiant zusätzliche Infrastruktur aufdecken, da ein PTR-Eintrag gegenüber einem früheren Vorgang nie geändert wurde. Mandiant hat zuvor die Domain wasxxv identifiziert.“[.]„Die Website wird von nordkoreanischen Bedrohungsakteuren genutzt“, hieß es.Zuvor sagten das Cybersicherheitsunternehmen CrowdStrike Holdings und der Cybersicherheitsforscher Tom Hegel auch, dass der JumpCloud-Einbruch von nordkoreanischen Hackern durchgeführt wurde, die sich mit dem Hacken von Software auskennen.



Ende des Artikels

gn-tech