Harmony-Hack: FBI hat Lazarus im Verdacht

Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

[datensicherheit.de, 26.01.2023] „Nach mehreren Berichten unter anderem bei ,Bleeping Computer’ machte das FBI bekannt, dass hinter dem Cyber-Angriff auf die Krypto-Bridge ,Horizon’ des Unternehmens Harmony im Juni 2022 die Gruppe ,APT38‘ steckt“, führt Kevin Bocek, „VP Security Strategy & Threat Intelligence“ bei Venafi, in seiner aktuellen Stellungnahme aus. Damals seien „Alt-Coins im Wert von 100 Millionen US-Dollar entwendet“ worden.

Foto: Venafi

Kevin Bocek: Keine Überraschung, dass der Angriff auf Harmony „Lazarus“ zugeschrieben wird…

Lazarus-Gruppe dafür bekannt, Krypto-Währungen zu stehlen

Die „Lazarus“-Gruppe bzw. „APT38“ sei dafür bekannt, sogenannte Krypto-Währungen zu stehlen – indem Maschinenidentitäten ausgenutzt würden. Bocek kommentiert: „Daher ist es keine Überraschung, dass der Angriff auf Harmony diesem Unternehmen zugeschrieben wird. Bei der Offenlegung der Sicherheitsverletzung lieferte Harmony Beweise dafür, dass seine privaten Schlüssel – eine Kernkomponente der Maschinenidentität – kompromittiert wurden, was ,Lazarus, die Tür öffnete und es der Gruppe ermöglichte, Daten zu entschlüsseln und Gelder abzuschöpfen.“ Dies zeige, welchen Einfluss Maschinenidentitäten hätten – „wenn sie in die falschen Hände geraten“.

Die Untersuchungen von Venafi hätten auch gezeigt, dass Angriffe von nordkoreanischen Bedrohungsgruppen – wie „Lazarus“ – oft finanzieller Natur seien. Cyber-kriminelle Aktivitäten seien „zu einem wesentlichen Bestandteil der Finanzierung des nordkoreanischen Staates geworden und ermöglichen, internationale Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren“. Nordkoreanische APT-Gruppen hätten zahllose Cyber-Angriffe in über 30 Ländern durchgeführt, wobei das Volumen der Aktivitäten seit 2017 Berichten zufolge um 300 Prozent gestiegen sei.

APT-Gruppen wie Lazarus können eigene Schadsoftware als legitime Software eines echten Entwicklers ausgeben

Bocek berichtet: „Die Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation.“ Seit Januar 2020 hätten nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, Großbritannien, der Ukraine und den Vereinigten Staaten von Amerika angegriffen.

„Die Verwendung von Code-Signing-Maschinenidentitäten macht es besonders schwer, die Attacken der APT abzuwehren.“ Durch den Diebstahl von Code-Signatur-Maschinenidentitäten seien nordkoreanische Cyber-Kriminelle in der Lage, ihre eigene Schadsoftware als legitime Software eines echten Entwicklers auszugeben.

Ohne bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen haben cyber-kriminelle Akteure wie Lazarus leichtes Spiel

Außerdem könnten sie damit „verheerende Angriffe auf die Lieferkette“ durchführen. „Das Problem ist, dass es derzeit nicht genügend Bewusstsein und Sicherheit für die Bedeutung von Maschinenidentitäten gibt“, warnt Bocek. Dieser Mangel an Aufmerksamkeit ermögliche es nordkoreanischen Cyber-Kriminellen, „einen ernsthaften blinden Fleck in der Software-Lieferkette auszunutzen“. Er betont: „Jedes Unternehmen, dass ein finanziell lohnendes Ziel bietet, wird deshalb auf kurz oder lang angegriffen werden.“

Ohne eine bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen, um die Taktiken nordkoreanischer Cyber-Krimineller zu bekämpfen, würden diese Bedrohungen nur noch schlimmer werden – „und andere globale Parias werden ihre eigenen Möglichkeiten erkennen“. Da Gruppen wie „Lazarus“ immer wieder Maschinenidentitäten ausnutzten, sollten Unternehmen eine Kontrollebene für die Verwaltung von Maschinenidentitäten einrichten. Bocek erläutert abschließend: „Dadurch erhalten sie den nötigen Einblick, die Konsistenz und die Belastbarkeit, die sie benötigen, um das Risiko von Sicherheitsverstößen zu reduzieren.“

Weitere Informationen zum Thema:

BLEEPING COMPUTER, Bill Toulas, 24.01.2023
FBI: North Korean hackers stole $100 million in Harmony crypto hack

Venafi, Brooke Crothers, 24.08.2022
Machine Identity Management / North Korea Cyber Threat Group ‘Lazarus’ Targets M1 Mac with Signed Executables

Harmony, Matthew Barrett, 14.06.2022
Harmony’s Horizon Bridge Hack

Venafi, Yana Blachman, 24.06.2021
Machine Identity Management / North Korean Cyberattacks Can Inspire Other Rogue Nations