Aktuelles, Branche - geschrieben von dp am Donnerstag, Januar 26, 2023 20:20 - noch keine Kommentare
Harmony-Hack: FBI hat Lazarus im Verdacht
Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken
[datensicherheit.de, 26.01.2023] „Nach mehreren Berichten unter anderem bei ,Bleeping Computer’ machte das FBI bekannt, dass hinter dem Cyber-Angriff auf die Krypto-Bridge ,Horizon’ des Unternehmens Harmony im Juni 2022 die Gruppe ,APT38‘ steckt“, führt Kevin Bocek, „VP Security Strategy & Threat Intelligence“ bei Venafi, in seiner aktuellen Stellungnahme aus. Damals seien „Alt-Coins im Wert von 100 Millionen US-Dollar entwendet“ worden.
Foto: Venafi
Kevin Bocek: Keine Überraschung, dass der Angriff auf Harmony „Lazarus“ zugeschrieben wird…
Lazarus-Gruppe dafür bekannt, Krypto-Währungen zu stehlen
Die „Lazarus“-Gruppe bzw. „APT38“ sei dafür bekannt, sogenannte Krypto-Währungen zu stehlen – indem Maschinenidentitäten ausgenutzt würden. Bocek kommentiert: „Daher ist es keine Überraschung, dass der Angriff auf Harmony diesem Unternehmen zugeschrieben wird. Bei der Offenlegung der Sicherheitsverletzung lieferte Harmony Beweise dafür, dass seine privaten Schlüssel – eine Kernkomponente der Maschinenidentität – kompromittiert wurden, was ,Lazarus, die Tür öffnete und es der Gruppe ermöglichte, Daten zu entschlüsseln und Gelder abzuschöpfen.“ Dies zeige, welchen Einfluss Maschinenidentitäten hätten – „wenn sie in die falschen Hände geraten“.
Die Untersuchungen von Venafi hätten auch gezeigt, dass Angriffe von nordkoreanischen Bedrohungsgruppen – wie „Lazarus“ – oft finanzieller Natur seien. Cyber-kriminelle Aktivitäten seien „zu einem wesentlichen Bestandteil der Finanzierung des nordkoreanischen Staates geworden und ermöglichen, internationale Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren“. Nordkoreanische APT-Gruppen hätten zahllose Cyber-Angriffe in über 30 Ländern durchgeführt, wobei das Volumen der Aktivitäten seit 2017 Berichten zufolge um 300 Prozent gestiegen sei.
APT-Gruppen wie Lazarus können eigene Schadsoftware als legitime Software eines echten Entwicklers ausgeben
Bocek berichtet: „Die Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation.“ Seit Januar 2020 hätten nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, Großbritannien, der Ukraine und den Vereinigten Staaten von Amerika angegriffen.
„Die Verwendung von Code-Signing-Maschinenidentitäten macht es besonders schwer, die Attacken der APT abzuwehren.“ Durch den Diebstahl von Code-Signatur-Maschinenidentitäten seien nordkoreanische Cyber-Kriminelle in der Lage, ihre eigene Schadsoftware als legitime Software eines echten Entwicklers auszugeben.
Ohne bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen haben cyber-kriminelle Akteure wie Lazarus leichtes Spiel
Außerdem könnten sie damit „verheerende Angriffe auf die Lieferkette“ durchführen. „Das Problem ist, dass es derzeit nicht genügend Bewusstsein und Sicherheit für die Bedeutung von Maschinenidentitäten gibt“, warnt Bocek. Dieser Mangel an Aufmerksamkeit ermögliche es nordkoreanischen Cyber-Kriminellen, „einen ernsthaften blinden Fleck in der Software-Lieferkette auszunutzen“. Er betont: „Jedes Unternehmen, dass ein finanziell lohnendes Ziel bietet, wird deshalb auf kurz oder lang angegriffen werden.“
Ohne eine bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen, um die Taktiken nordkoreanischer Cyber-Krimineller zu bekämpfen, würden diese Bedrohungen nur noch schlimmer werden – „und andere globale Parias werden ihre eigenen Möglichkeiten erkennen“. Da Gruppen wie „Lazarus“ immer wieder Maschinenidentitäten ausnutzten, sollten Unternehmen eine Kontrollebene für die Verwaltung von Maschinenidentitäten einrichten. Bocek erläutert abschließend: „Dadurch erhalten sie den nötigen Einblick, die Konsistenz und die Belastbarkeit, die sie benötigen, um das Risiko von Sicherheitsverstößen zu reduzieren.“
Weitere Informationen zum Thema:
BLEEPING COMPUTER, Bill Toulas, 24.01.2023
FBI: North Korean hackers stole $100 million in Harmony crypto hack
Venafi, Brooke Crothers, 24.08.2022
Machine Identity Management / North Korea Cyber Threat Group ‘Lazarus’ Targets M1 Mac with Signed Executables
Harmony, Matthew Barrett, 14.06.2022
Harmony’s Horizon Bridge Hack
Venafi, Yana Blachman, 24.06.2021
Machine Identity Management / North Korean Cyberattacks Can Inspire Other Rogue Nations
Aktuelles, Experten, Studien - Jan. 23, 2025 0:40 - noch keine Kommentare
Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
weitere Beiträge in Experten
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
- Praxistipps: Wie Datenschutz im Alltag funktionieren kann
- Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren