Nordkoreanische Hacker greifen DeBridge Finance an

  • Die Hackergruppe Lazarus, die als von Nordkorea beauftragt gilt, sandte Phishing-Mails an mehrere  Mitarbeiter von DeBridge Finance.
  • Einer der – man glaubt es kaum – speziell geschulten Mitarbeiter ging in die Falle. Er hatte dem angehängten PDF mit dem Dateinamen „Neue Gehaltsanpassungen“ nicht widerstehen können.

Die berüchtigte nordkoreanische Lazarus-Hackergruppe, die für mehrere hochprofessionell ausgeführte Cyber-Attacken verantwortlich ist, hat einen Angriff auf Debridge Finance unternommen. Alex Smirnov, Gründer von und Projektleiter bei DeBridge Finance, gab dies am 5. August bekannt.

Das Unternehmen ist bekannt für die Bereitstellung von Cross-Chain-Interoperabilität und Liquiditätsprotokollen, die für die Übertragung von Daten und Vermögenswerten zwischen Blockchains verwendet werden.

Die Lazarus-Hackergruppe verschickte an mehrere Mitarbeiter des Unternehmens Phishing-Mails mit einem angehängten PDF namens „Neue Gehaltsanpassungen“. Die E-Mail schien vom Unternehmensgründer Alex Smirnov zu kommen.

Smirnow erklärte, dass alle Teammitglieder eine besondere Schulung über mögliche Cyber-Angriffe absolviert haben.

„Wir haben strenge interne Sicherheitsrichtlinien und arbeiten ständig daran, diese zu verbessern und das Team über mögliche Angriffsvektoren zu schulen.“

Trotzdem lud ein Mitarbeiter die Datei herunter, was zu einem Angriff auf das Computersystem des Unternehmens führte.

System-Daten gestohlen ohne direkten Schaden anzurichten

Eine erste Untersuchung, woher der Angriff kam, welchen Zweck er verfolgte und welche Folgen er haben könnte, ergab, dass es sich bei dem vermeintlich heruntergeladenen PDF um ein ausführbares Programm handelte, dass auch sofort aktiv wurde und Benutzerdaten und System-Informationen an die Hacker zu sendete.

„Eine schnelle Analyse zeigte, dass der empfangene Code eine Menge Informationen über den PC sammelt und sie an [die Kommandozentrale des Angreifers]exportiert: Benutzername, Betriebssystem-Informationen, CPU-Informationen, Netzwerkadapter und laufende Prozesse.“

All diese Informationen sind erforderlich, um einen maßgeschneiderten weiteren Angriff vorzubereiten, der dann auch ohne vorhergehende Phishingmail erfolgen könnte – also völlig unbemerkt.

Smirnov stellte fest, dass der Angriff auf Debridge ähnliche Merkmale aufwies wie ein anderer Angriff, der auf Twitter gepostet wurde und angeblich von der Lazarus-Gruppe ausging.

Er warnte seine Mitarbeiter keine E-Mail zu öffnen, ohne vorher den vollständigen Namen des Absenders zu überprüfen. Außerdem sollte jeder ein internes Protokoll führen, wie das Team Anhänge austauscht, um sie von denen zu unterscheiden, die von unbekannten Absendern stammen.

Laut David Schwed, Chief Operating Officer des Blockchain-Sicherheitsunternehmens Halborn, ist diese Art von Angriff sehr häufig. Er erklärte, dass Hacker die Neugier der Menschen ausnutzen, indem sie bösartigen Dateien Namen geben, die ihre persönliche Aufmerksamkeit erregen. Schwed erklärte weiter, dass die Unveränderlichkeit von Blockchain-Transaktionen Blockchain-Unternehmen zum Hauptziel dieser Art von Angriffen macht.

Die Hackergruppe Lazarus soll auch hinter dem Angriff auf die Ronin-Bridge stecken, eine Ethereum-Sidechain, die von dem Play-to-Earn-Kryptospiel Axie Infinity verwendet wird. In diesem Fall blieb es nicht beim Absaugen von Benutzter- und System-Daten, sondern es wurden Kryptowährungen im Wert von 622 Millionen Dollar gestohlen – der bis heute zweitgrößte Defi-Hack. Der früheste bekannte Angriff der Hackergruppe geht auf das Jahr 2009 zurück. Das FBI bezeichnet sie als „staatlich geförderte Hackerorganisation“. Sie sollen auch für den Ransomware-Angriff „WannaCry“ von 2017, den Einbruch bei Sony Pictures 2014 sowie für mehrere Angriffe auf Pharmaunternehmen 2020 verantwortlich sein.

About Author

John ist seit Jahren ein begeisterter Krypto- und Blockchainjournalist. Besonders fasziniert ist er von aufstrebenden Startups und den versteckten Mächten hinter Angebot und Nachfrage. Er hat einen Bachelor-Abschluss in Geographie und Wirtschaft.

Comments are closed.