Mandiant warnt vor Angreifergruppe APT43 aus Nordkorea
Spione geben sich als Journalisten aus
In einem neuen Bericht stuft Googles Security-Tochter Mandiant einen Spionageakteur aus Nordkorea als APT (Advanced Persistent Threat, organisierte Angreifergruppe) ein: APT43. Die Gruppe sammle mit hoher Geschwindigkeit strategische Informationen, die für Pjöngjang von geopolitischem Interesse sind. APT43 spioniere zwar im Auftrag des nordkoreanischen Regimes, sei aber nicht von diesem finanziert, sondern müsse sich durch Cyberkriminalität selbst ihren Unterhalt verdienen.
Die Experten von Mandiant haben bei der Gruppe ein ungewöhnlich aggressives Social Engineering (Ausnutzen menschlicher Schwächen) beobachtet. Die Angreiferorganisation verstecke sich oft über mehrere Wochen hinweg in den Systemen ihrer Opfer und spiele bösartige Links oder Malware erst später oder auch gar nicht ein. In einzelnen Fällen ist es APT43 laut den Security-Fachleuten gelungen, eine Beziehung zum Opfer aufzubauen und es zu überreden, ihnen geopolitische Analysen und Forschungsergebnisse zu übermitteln.
Betroffen von den Angriffen sind laut dem Mandiant-Report vor allem Regierungsorganisationen, akademische Institute und Think Tanks in Südkorea und den USA, die sich mit geopolitischen Fragen der koreanischen Halbinsel beschäftigen. Auch europäische Länder – hier vor allem Schweden, Norwegen und Belgien, aber auch Deutschland und Großbritannien – seien im Visier der Gruppe (siehe Karte oben).
„Während der Pandemie verfolgten Teile von APT43 das sekundäre Ziel, Informationen über COVID-Impfstoffe zu erhalten“, sagt Michael Barnhart, Mandiant Principal Analyst bei Google Cloud. „Um es zu erreichen, zielten sie auf Think Tanks und politische Organisationen, Institutionen für Außenpolitik und Regierungsstellen in Europa ab.“ Das primäre Ziel aber sei es, nuklearstrategische Informationen und solche zur Außenpolitik zu sammeln.
„In Europa sollte man sich vor allem vor der Spionageaktivität der Gruppe in Acht nehmen“, so Barnhart weiter. In den USA gehe es APT43 hingegen eher darum, Geld zu verdienen, und zwar mittels Diebstahl von Kryptowährung.
Laut Mandiant-Erkenntnissen nutzt APT43 wahrscheinlich Hash-Miet- und Cloud-Mining-Dienste, um gestohlene in saubere Kryptowährung umzuwandeln. Man gehe mit „hoher Wahrscheinlichkeit“ davon aus, dass es sich um eine nordkoreanische Gruppe handelt, nutze sie doch die gleichen Dienste wie die anderen mit Nordkorea verbundenen APTs, um ihre illegalen Gelder zu waschen.
Während die anderen nordkoreanischen Angreifer auf große Kryptowährungsbörsen abzielen, habe APT43 seine Angriffe auf normale Nutzer ausgeweitet. Die hohe Geschwindigkeit und das Volumen der Angriffe lasse vermuten, dass dies automatisiert erfolgt. Seit Juni 2022 habe Mandiant mehr als zehn Millionen Phishing-NFTs (Non-Fungible Tokens) verfolgt, die an Kryptowährungsnutzer auf mehreren Blockchains verteilt wurden.
Mandiant hat die Gruppe seit 2018 auf dem Radar. Die Prioritäten von APT43 decken sich laut dem US-Security-Unternehmen mit der Mission des nordkoreanischen Militärgeheimdienstes RGB (Reconnaissance General Bureau). Die Gruppe erstelle für das Social Engineering zahlreiche gefälschte, aber überzeugende Personas.
So habe Mandiant beobachtet, dass die Gruppe sich als Journalisten ausgegeben und gefälschte E-Mails verschickt hat. „Mit dieser Methode waren sie sehr erfolgreich“, so Barnhart. „Dies gilt als Mahnung, die E-Mail-Adressen und die Identität der Personen, mit denen man kommuniziert, zu überprüfen.“ Denn gewiefte Betrüger brauchen gar keine Malware, um die gewünschten Informationen abzugreifen.
Lesen Sie mehr zum Thema
