Wie Nordkorea die Hacks nachgewiesen werden

"Hidden Cobra" ist der US-Codename für die staatlichen Hacker Nordkoreas. Wie kann man überhaupt wissen, ob und wann die Diktatur hinter einer Attacke steckt?

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 120 Beiträge

Riesige Statuen von Kim Il Sung und Kim Jong Il. Die verstorbenen Despoten werden in der Erbdiktatur als Übermenschen verehrt.

(Bild: gemeinfrei)

Von

"Das FBI hat heute mitgeteilt, und wir können es bestätigen, dass Nordkorea sich an dieser Attacke beteiligt hat", sagte Ende 2014 der damalige US-Präsident Barack Obama. Er bezog sich dabei auf flächendeckende Angriffe auf Server von Sony Pictures im November des Jahres, bei denen umfangreich Daten gestohlen worden waren. Doch wie können die Ermittler wissen, wer hinter einem Hack steht? Ein Vortrag von McAfee-Experten auf der CanSecWest 2020 vergangene Woche in Vancouver gewährte Einblick in deren Detektivarbeit.

Ryan Sherstobitoff und Thomas Roccia von McAfee Advanced Threat Reserach studieren seit sechs Jahren die Arbeit der Nordkoreaner. Das dabei gewonnene Wissen hilft ihnen, die Angreifer aufzuspüren: "Die meisten Attacken der Hidden Cobra beginnen mit Spear-Phishing." Hidden Cobra ist der von US-Behörden genutzte Codename für "everything cyber North Korea", also jegliche digitale Konfliktführung Nordkoreas. Sie soll spätestens 2007 begonnen haben. Bei Spear-Phishing wird keine technische Schwachstelle ausgenutzt, sondern eine menschliche: Unter einem Vorwand entlocken Angreifer Zielpersonen deren Zugangsdaten.

Lesen Sie auch

Nun ist Spear-Phishing ein Indiz, das auch auf viele andere Täter zutrifft. Weitere Merkmale, die die beiden Forscher gefunden haben, schließen aber schon fast alle nicht-staatlichen Banden aus: "Es sind gut organisierte, aggressive Angreifer. Sie betreiben Cyberspionage, Sabotage und andere Cybercrime-Kampagnen", so die McAfee-Experten, "Sie updaten ihre Werkzeuge und ihr Arsenal seit mehr als einem Jahrzehnt." Nicht-staatliche Täter haben selten so langen Atem und sind auch kaum auf Sabotage aus.

Dragos Ruiu, Veranstalter der kanadischen IT-Security-Konferenz CanSecWest

(Bild: Daniel AJ Sokolov)

Besonders verräterisch: "Verschiedene Gruppen innerhalb der Hidden Cobra arbeiten mit der selben Malware-DNA auf unterschiedliche Ziele hin." Mehrere Familien implantierter Malware haben über die Jahre gleichen Code genutzt: "Software aus der selben Familie, die in der selben Entwicklungsumgebung kompiliert wurde, kann eine signifikante Menge identischer Zeichenfolgen aufweisen", erläuterte Roccia, "Es gibt aber nicht nur gleichen Code, sondern auch gleiche Funktionsweisen." Solche Übereinstimmungen weisen auf dieselbe Quelle hin.

Weitere Übereinstimmungen, die McAfee gefunden hat: Gemeinsam genutzte Infrastruktur, wiederverwendete IP-Adressen, wiederverwendete Makros und gemeinsam genutzte, gefälschte TLS-Zertifikate. Diese Zertifikate halfen den Forschern übrigens bei der Bekämpfung einer Operation Sharpshooter genannten weltweiten Kampagnen Nordkoreas der Jahre 2018 und 2019.

Die Täter hatten fremde, kompromittierte Server als Command & Control Server genutzt, und chinesische Webshells sowie ExpressVPN, um Spuren zu verwischen. Weil aber dieselben gefälschten Zertifikate mehrfach verwendet wurden, konnte McAfee Advanced Threat Research weitere Command & Control Server der Nordkoreaner aufspüren, wo dann auch Malware von früheren nordkoreanischen Kampagnen auftauchte.

Dabei zeigte sich, dass die Nordkoreaner für viele ihrer Operationen ein spezifisches Backend-Framework verwenden. Ursprünglich in Python programmiert, tauchten später auch ASP.NET-Versionen auf. Stets gab es eine mehrstufige Weiterleitung von Befehlen zu einem Master Server.

Ein weiterer Hinweis ist ein spezifisches HTTP-Request-Format, das die Täter einsetzen. Es führt sogar "Nordkoreanisch" als akzeptierte Sprache an. Geholfen hat den Forscher übrigens eine von den Angreifern selbst erstellte Datei namens Vendor.php: Sie enthielt stets eine Whitelist mit IP-Adressen jener Clients, die den Command & Control Server steuern dürfen.

Lesen Sie auch

Unter den Überbegriff Hidden Cobra fallen verschiedene digitale Bataillone der Diktatur. Sie haben Bezeichnungen wie Guardians of Peace, ZINC oder Nickel Academy erhalten. Private Sicherheitsfirmen verwenden andere Namen, zum Beispiel Lazarus, Bluenoroff, APT37 oder Kimsuky. Jeder dieser Gruppen verfolgt unterschiedliche Ziele im Dienste Nordkoreas.

Grundsätzlich betreibe fast jeder Staat ein Programm für aggressives Verhalten in Datennetzen auf die eine oder andere Weise, erklärten die Vortragenden. Vorteile gegenüber klassischer Gewaltanwendung seien die geringeren Kosten, leichteres Leugnen, und dass weltweit zugeschlagen werden könne. In der Regel sollen die staatlichen Aktionen bestimmte staatliche Ziele unterstützen. Diese können politischer, außenpolitischer, militärischer, oder finanzieller Natur sein oder direkt der Beeinflussung von Menschen oder Organisationen dienen.

Nordkorea reagiere mit digitalen Attacken oft auf internationale Sanktionen. Außerdem würden regelmäßig Oppositionelle und "Staatsfeinde" angegriffen, sowie humanitäre Organisationen, die über Menschenrechtsmangel in Nordkorea berichten. Zudem versuche das Land, sich durch Hacking fremde Militärtechnik zu beschaffen. Mit solchen Verbrechen sind die Nordkoreaner leider nicht alleine. Doch ein weiteres Tatbild ist für Staaten selten: "Sie umgehen Sanktionen, indem sie sich an Kryptowährungen sowie digitalen Bankräuben beteiligen", berichtete Sherstobitoff.

Man sieht: Die Zuordnung einer Attacke beruht auf umfangreichem Vorwissen, erworben durch jahrelange Beobachtung und forensische Untersuchungen gehackter Systeme. Die Wiederverwendung von Code, Zertifikaten und Systemen, aber auch Vorgehensweisen, Ziele und Motive ergeben zusammen ein Bild, das je nach Situation mehr oder weniger deutlich auf die Täterschaft schließen lässt. Auf eine für eine strafrechtliche Verurteilung ausreichende Beweisführung kommt es in der geopolitischen Arena ja nicht an. Geheimdienste können überdies auf Informationen zurückgreifen, die privaten Forschern wie Roccia und Sherstobitoff nicht zugänglich sind.

Siehe dazu auch den Hintergrund-Artikel über Attribution:

(ds)