Hacker-Gruppe Lazarus zielt mit neuen Strategien auf Bitcoin-Börsen

Lazarus, eine Hacker-Gruppe, deren Ursprung in Nordkorea vermutet wird, ist weiter aktiv. Mit dem Ziel des finanziellen Gewinns passt sie ihre Techniken an gesteigerte Sicherheitsvorkehrungen an. Die Gruppierung nimmt weiterhin vornehmlich Krypto-Börsen ins Visier.

Securelist, die Cyber-Sicherheitsanalyse-Gruppe des IT-Sicherheitsanbieters Kaspersky Lab postete am 26. März einen Bericht zur Bedrohungslage durch Hacker-Gruppe Lazarus.

Lazarus: „Erfolgreichste“ Krypto-Hacker-Gruppe 2018

Der Jahresbericht 2018 der Moskauer IT-Security-Firma Group-IB bezeichnete Lazarus als die erfolgreichste Hacker-Gruppe im Angriff auf Krypto-Börsen weltweit. Die Gruppe entwendete Wallets von unterschiedlichen Kryptowährungen im Gesamtwert von 571 Millionen US-Dollar. Handelsplätze in Südkorea und Japan standen besonders im Fokus der Hacker.

Die Gruppe arbeitet mit Methoden des Spear Phishing, Social Engineering und setzt Schadsoftware ein. Damit stiehlt sie Informationen über Krypto-Wallets. Über das Social Engineering erforscht sie das private und berufliche Umfeld von Mitarbeitern anzugreifender Unternehmen. Diese Informationen nutzen die Hacker, um sich das Vertrauen der Personen zu erschleichen und sie zur Herausgabe sensibler Daten zu bewegen.

Nordkoreas Beteiligung an Lazarus nicht bewiesen

Aus den vorliegenden Sicherheitsberichten geht Nordkorea als der wahrscheinlichste Drahtzieher hinter Lazarus hervor. Dennoch ist es weiterhin denkbar, dass ein anderer Staat oder Akteur unter „falscher Flagge“ verdeckte Einsätze unter der Instrumentalisierung falscher Spuren durchführt.

Neue Operationsstrategie entdeckt

Der Securelist-Bericht beschreibt eine neue Strategie, mit der die Hacker-Gruppe seit November 2018 operiert: Diese nutzt PowerShell, um Windows- und MacOS-Systeme mit Malware zu infizieren.

Die Gruppe geht dabei sehr organisiert vor: Sie streut ihre Malware für den Fall von Sicherheitsmaßnahmen. Außerdem entwickelt sie spezialisierte PowerShell-Scripts, die mit anderen infizierten Servern kommunizieren und Befehle des Operators empfangen können. Die C2-Server sind beispielsweise als WordPress-Anwendungen getarnt.

Weiterhin umfasst die Bandbreite der Malware weitreichende Handlungsfelder, wie den Up- und Download von Dateien, unerwünschte Updates und Datenklau.

Insgesamt geht der Bericht davon aus, dass Lazarus mit Hochdruck daran arbeitet, ihre Hacking-Aktivitäten technisch weiterzuentwickeln, um möglichst lange unter dem Radar zu bleiben.

Windows- und MacOS-User werden dazu aufgerufen, wachsam zu bleiben und nicht auf Lazarus hereinzufallen. Mitglieder der Krypto-Community sollen besonders vorsichtig sein, wenn sie neue Software auf ihren PCs installieren.