Der Bericht analysiert die Logs, Protokolle und weitere technische Artefakte, die von F-Secure während der forensischen Untersuchung eines Angriffes auf eine Krypto-Organisation sichergestellt werden konnten. F-Secures Sicherheitsexperten stellten dabei fest, dass die Angriffsmethoden nahezu identisch mit den Praktiken sind, die so zuvor auch von der Lazarus-Gruppe – auch als APT38 bekannt – eingesetzt wurden.
Darüber hinaus beinhaltet der Bericht Details zu Taktiken, Techniken und Verfahren (TTP), die während des Angriffs zum Einsatz kamen. So konnten von den Angreifern beispielsweise per „Spearphishing“ vertrauenswürdige externe Dienste instrumentalisiert werden. In diesem konkreten Fall wurde ein gefälschtes und speziell auf das Profil des Empfängers zugeschnittenes Stellenangebot über die Plattform LinkedIn versendet.
Auf der Grundlage von Phishing-Artefakten, die nach dem Angriff der Lazarus Group sichergestellt wurden, konnten die Forscher von F-Secure den Vorfall mit einer umfangreichen, bereits seit Januar 2018 laufenden Kampagne in Verbindung bringen. Dem Bericht zufolge wurden ähnliche Artefakte bei Angriffen in mindestens 14 Ländern festgestellt: in den Vereinigten Staaten, China, Großbritannien, Kanada, Deutschland, Russland, Südkorea, Argentinien, Singapur, Hongkong, den Niederlanden, Estland, Japan und den Philippinen.
Um die Abwehr des betroffenen Unternehmens während des Angriffs zu umgehen, hat die Lazarus-Gruppe einen erheblichen Aufwand betrieben. So konnte sie beispielsweise Antiviren-Software auf den kompromittierten Hosts deaktivieren und hinterlassene Beweise für ihre Aktivitäten entfernen. Und obwohl der Bericht den Angriff als hochprofessionell charakterisiert, weist er doch darauf hin, dass die Bemühungen der Lazarus Group, ihre Spuren im Nachhinein zu verwischen, nicht ausreichend waren. Zahlreiche versteckte und nicht beseitigte Indizien ergaben für F-Secure schlussendlich eindeutige Beweise für die Aktivitäten der Angreifer.
„Die Untersuchung des Angriffs erfolgte durch erfahrene Spezialisten unserer Incident Response, Managed Detection & Response und Tactical Defense Teams. Dabei stellte sich heraus, dass dieser Angriff eine Reihe von Ähnlichkeiten mit bekannten Aktivitäten der Lazarus-Gruppe aufwies. Wir sind davon überzeugt, dass sie auch für diesen Angriff verantwortlich waren“, so Matt Lawrence, Director of Detection and Response bei F-Secure. Unternehmen können sich den Bericht nun zur Hand nehmen, um sich mit der konkreten Cyberattacke, den TTPs und der Lazarus-Gruppe im Allgemeinen vertraut zu machen. Darüber hinaus werden direkte Sicherheitsempfehlungen gegeben, um sich vor Angriffen der Hackergruppe zu schützen.
Der vollständige Bericht ist ab sofort bei F-Secure Labs verfügbar.
Niemand hat einen besseren Einblick in echte Cyberangriffe als F-Secure. Wir schließen die Lücke zwischen Erkennung und Reaktion. Zu diesem Zweck nutzen wir die unübertroffene Bedrohungsexpertise von Hunderten der besten technischen Berater unserer Branche, Daten von Millionen von Geräten, die unsere preisgekrönte Software nutzen, sowie fortlaufende Innovationen im Bereich der künstlichen Intelligenz. Führende Banken, Fluggesellschaften und Unternehmen vertrauen auf unser Engagement bei der Bekämpfung der gefährlichsten Cyberbedrohungen der Welt. Zusammen mit unserem Netzwerk an Top-Channel-Partnern und über 200 Serviceanbietern ist es unsere Mission, all unseren Kunden maßgeschneiderte unternehmensfähige Cybersicherheit zur Verfügung zu stellen. F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd gelistet.
f-secure.com | twitter.com/fsecure | linkedin.com/f-secure
WithSecure GmbH
Kistlerhofstraße 172c
81379 München
Telefon: +49 (89) 787467-00
Telefax: +49 (89) 78746799
http://www.withsecure.com
PR & Social Media Manager DACH
Telefon: +49 (89) 787467-28
Fax: +49 (89) 787467-99
E-Mail: berk.kutsal@f-secure.com