Laut Microsoft hat eine nordkoreanische Hackergruppe Anfang August einen bislang unbekannten Fehler in Chrome ausgenutzt, um Organisationen anzugreifen und Kryptowährung zu stehlen.
In einem am Freitag veröffentlichten BerichtDie Cybersicherheitsforscher des Technologiegiganten sagten, sie hätten am 19. August erstmals Beweise für die Aktivitäten der Hacker gesehen und sagten, die Hacker seien mit einer Gruppe namens Citrine Sleet verbunden. das dafür bekannt ist, die Kryptoindustrie ins Visier zu nehmen.
Dem Bericht zufolge nutzten die Hacker einen Fehler in einer Kern-Engine von Chromium aus, dem zugrunde liegenden Code von Chrome und anderen beliebten Browsern wie Microsoft Edge. Als die Hacker die Schwachstelle ausnutzten, handelte es sich um einen Zero-Day-Angriff, was bedeutet, dass der Softwarehersteller – in diesem Fall Google – nichts von dem Fehler wusste und daher keine Zeit hatte, vor der Ausnutzung einen Fix herauszugeben. Laut Microsoft hat Google den Fehler zwei Tage später, am 21. August, behoben.
Googles Sprecher Scott Westover sagte gegenüber Tech, dass es von Google keinen Kommentar gebe, außer der Bestätigung, dass der Fehler behoben wurde.
Microsoft teilte mit, dass man „angegriffene und kompromittierte Kunden“ benachrichtigt habe, machte jedoch keine näheren Angaben dazu, wer ins Visier genommen wurde und wie viele Ziele und Opfer von dieser Hackerkampagne betroffen waren.
Kontaktieren Sie uns
Haben Sie weitere Informationen über nordkoreanische Regierungshacker oder andere von der Regierung geförderte Hackeraktivitäten? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Auf Nachfrage von Tech wollte Chris Williams, ein Sprecher von Microsoft, keine Auskunft darüber geben, wie viele Organisationen oder Unternehmen betroffen sind.
Die Forscher schrieben, dass Citrine Sleet „in Nordkorea ansässig ist und in erster Linie Finanzinstitute, insbesondere Organisationen und Einzelpersonen, die Kryptowährungen verwalten, zum finanziellen Vorteil ins Visier nimmt“. Zudem hat die Gruppe im Rahmen ihrer Social-Engineering-Techniken „eine umfassende Aufklärung der Kryptowährungsbranche und der mit ihr verbundenen Einzelpersonen durchgeführt“.
„Der Bedrohungsakteur erstellt gefälschte Websites, die sich als legitime Kryptowährungs-Handelsplattformen tarnen, und verwendet sie, um gefälschte Stellenausschreibungen zu verteilen oder Ziele dazu zu verleiten, ein bewaffnetes Kryptowährungs-Wallet oder eine Handelsanwendung herunterzuladen, die auf legitimen Anwendungen basiert“, heißt es in dem Bericht. „Citrine Sleet infiziert Ziele am häufigsten mit der einzigartigen Trojaner-Malware, die es entwickelt hat, AppleJeus, die Informationen sammelt, die erforderlich sind, um die Kontrolle über die Kryptowährungsanlagen der Ziele zu übernehmen.“
Der Angriff der nordkoreanischen Hacker begann damit, dass sie ihr Opfer dazu verleiteten, eine von ihnen kontrollierte Webdomäne zu besuchen. Dann gelang es den Hackern, aufgrund einer weiteren Schwachstelle im Windows-Kernel ein Rootkit – eine Art Schadsoftware, die tiefen Zugriff auf das Betriebssystem hat – auf dem Computer des Ziels zu installieren, heißt es in Microsofts Bericht.
An diesem Punkt ist das Spiel für die Daten des anvisierten Opfers im Grunde genommen vorbei, da die Hacker die vollständige Kontrolle über den gehackten Computer erlangt haben.
Krypto ist seit Jahren ein lukratives Ziel für Hacker der nordkoreanischen Regierung. Ein Gremium des Sicherheitsrates der Vereinten Nationen kam zu dem Schluss, dass das Regime stahl Kryptowährungen im Wert von 3 Milliarden Dollar zwischen 2017 und 2023. Da gegen die Regierung von Kim Jong Un strenge internationale Sanktionen verhängt wurden, ist das Regime dazu übergegangen, Kryptowährungen zu stehlen, um damit sein Atomwaffenprogramm zu finanzieren.