Während die Welt derzeit gebannt auf den Krieg Russlands gegen die Ukraine und da auch auf die umgebenden Hackeraktivitäten schaut, erinnert Google daran, dass andere Länder in diesem Bereich ebenfalls äußerst umtriebig sind. In einem Blogposting deckt die "Threat Analysis Group" (TAG) nun zwei neue Kampagnen auf, hinter denen nicht nur dieselben Akteure stehen, es wurde auch die gleiche Lücke verwendet.

Attacken

Über einen Zeitraum von mehreren Wochen haben dem nordkoreanischen Staat zugeordnete Hacker gezielte Angriffe gegen hunderte Ziele in den USA vorgenommen. Dabei nutzten sie eine sogenannte Zero-Day-Lücke in Googles Chrome-Browser, also eine Sicherheitslücke, für die es zu dem Zeitpunkt noch kein Update gab.

Konkret beschreibt die TAG dabei zwei Kampagnen: Eine wird einer Gruppe zugerechnet, die zuvor bereits als "Operation Dream Job" geführt wurde. Über sie wurden aktuell zumindest 250 Personen in zehn unterschiedlichen Firmen angegriffen. Dabei ging es vor allem um Journalisten, aber auch Angestellte bei Domain-Verkäufern, Web-Hosting-Firmen und Softwareherstellern waren im Visier.

Gesucht: Job. Gefunden: Schadsoftware

Der Angriff wurde mithilfe von gefälschten Jobseiten vorgenommen, die Domainnamen wie "ziprecruiters.org" oder "disnecareers.net" trugen. Klickten die Opfer auf den Link, wurde die beschriebene Chrome-Lücke ausgenutzt, um Schadcode auf ihrem Rechner unterzubringen.

Noch perfider war eine zweite Angriffskampagne, die einer anderen Gruppe nordkoreanischer Hacker zugerechnet wird – und schon in der Vergangenheit als "Operation AppleJeus" beschrieben wurde. Wurden dafür doch die Webseiten von zwei legitimen Webseiten aus der Fintech- und Krypto-Welt übernommen und auf ihnen Schadcode versteckt. Konkret geht es dabei um "options-it.com" und "tradingtechnologies.com". Zusätzlich wurden aber auch hier Fake-Domains für Phishing-Angriffe genutzt.

Ablauf

Die ersten Spuren solcher Angriffe konnte Google bis Anfang Jänner zurückverfolgen, natürlich könnte es aber auch sein, dass schon vorher Angriffe stattfanden. Entdeckt hat die TAG die Chrome-Lücke am 10. Februar, vier Tage danach war sie dann bereits geschlossen.

Die Sicherheitsforscher betonen dabei allerdings, dass man wohl nur einen Ausschnitt der gesamten Angriffskampagne gesehen hat. So ist es etwa nicht gelungen, den nach dem ursprünglichen Einbruch verschickten Schadcode abzufangen, weswegen auch nicht ganz klar ist, was dieser schlussendlich getan hat.

Auch Attacken auf Safari und Firefox?

Zudem dürfte Chrome auch nicht der einzige Browser sein, der hier attackiert wurde. Jedenfalls habe die nordkoreanische Software auch gezielt nach dem Safari auf MacOS sowie Firefox – auf allen Plattformen – gesucht, was nahelegt, dass die Angreifer auch hier Exploits besitzen.

Neben dem allgemeinen Einblick in den Ablauf so eines Angriffs, betont die TAG vor allem, wie wichtig das rasche Einspielen von Sicherheitsaktualisierungen sei. So konnte man auch nach der Veröffentlichung der fehlerbereinigten Chrome-Version noch zahlreiche Angriffe auf die Lücke beobachten – die natürlich dann bei den gepatchten Systemen ins Leere gelaufen sind. (Andreas Proschofsky, 25.3.2022)