Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Quelle: shutterstock

Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Der Hackergruppe Lazarus gelang nach Angaben der Sicherheitsforscher von Kaspersky Lab beinahe ein neuer Coup. Sie bauten eine unauffällige Schadsoftware in einen eigens dafür entwickelten Client zum Traden von Kryptowährungen ein. Die Cyberkriminellen haben dabei keine Kosten und Mühen gescheut. Sie hatten die Trader und die Übernahme der Wallets von infiltrierten Kryptobörsen vor Augen.

Der von Kaspersky Lab als „AppleJeus“ bezeichnete Angriff zielt direkt auf die Trader und Online-Handelsplätze für Kryptowährungen ab. Dabei ist es den Mitgliedern von Lazarus gelungen, in die Infrastruktur einer namentlich nicht genannten Kryptobörse im asiatischen Raum einzudringen. Lazarus hat eigens zu diesem Zweck ein voll funktionstüchtiges Trading-Programm für Windows und Mac OS X erstellt. Auch war eine Version für Linux-Distributionen geplant, wie Kaspersky der Firmenwebseite des Herstellers entnahm. Die Tarnfirma Celas LLC wurde offenbar von den Lazarus-Mitgliedern zu dem ausschließlichen Zweck gegründet, um den wahren Charakter ihres Trading-Programms zu verschleiern. Denn die Sicherheitsforscher fanden Auffälligkeiten bei der Domain-Registrierung und dem Webhoster, der schon häufiger in anderen Zusammenhängen von Lazarus in Anspruch genommen wurde.

 

Lazarus: Eigene Tarnfirma für Trojaner gegründet?

Der Client für Mac OS X war sogar mit einem gültigen Software-Zertifikat von Apple versehen. Anderenfalls hätte der Mitarbeiter der Kryptobörse aus Sicherheitsgründen die Einstellungen seines Macs verändern müssen, um Programme von nicht überprüften Entwicklern installieren zu dürfen. Ihm wurde per E-Mail zum Download der Trading-Software geraten. Der Client „Celas Trade Pro“ funktioniert im Zusammenspiel mit diversen Krypto-Exchanges. Entsprechend auch mit Bitfinex, Bitstamp, Bitmarket, BTC China, Goc.io, Indacoin, OKCoin, WEX und YObit. Die Cyberkriminellen hatten also in ihrer Software für genügend Programmierschnittstellen und zahlreiche Funktionen gesorgt.

Als in der Kryptobörse die Erkennungssoftware des Netzwerkes anschlug, wurde der schädliche Code im Updater des Trading Clients gefunden. Lazarus hat dabei den Backdoor-Loader Fallchill benutzt, der schon früher zum Einsatz kam.

Kryptobörsen & Trader sind lohnende Ziele

Die Webseite der Celas LLC soll laut Kaspersky von außen betrachtet keine Auffälligkeiten aufgewiesen haben. Die Seiten Celasltd.com und subeerete.info sind aber derzeit nicht erreichbar. Sie wirkten selbst auf die Sicherheitsfachleute vertrauenswürdig. Sehr auffällig ist allerdings der von den Kriminellen betriebene Aufwand. Zumeist wird Schadsoftware nämlich nur für Windows als das meist verbreitete Betriebssystem programmiert. Daher stellen Trojaner, die man plattformübergreifend verbreitet, eine echte Ausnahme dar. Zur Erlangung der eigenen Ziele eine Tarnfirma zu gründen, eine seriös aussehende Webseite und das funktionierende Programm selbst zu erstellen, zeugt von hohem Arbeitsaufwand. Schaut man sich aber das Ziel der Aktion an, erklärt sich dieser.

Screenshot von celasltd.com.

[Anzeige]
Bitcoin kaufen mit dem Bitwala Konto. Warum ein Bankkonto bei Bitwala? Ein Bankkonto “Made in Germany” mit Einlagensicherung bis zu 100.000 Euro; 24/7 Bitcoin Handel mit schneller Liquidität; Gehandelt werden ausschließlich ‘echte’ Bitcoin – keine Finanzderivate wie CFDs; Sichere Nutzerkontrolle über das Bitcoin Wallet und den private Schlüssel; Mit der kontaktlosen Debit-Mastercard weltweit abheben und bezahlen.

Jetzt kostenloses Konto eröffnen

Außerdem zeigt der Fall, dass man sich selbst als Benutzer einer Linux-Distribution oder von Mac OS X nie komplett sicher fühlen darf. Dafür haben die Besitzer einer Wallet oder einer Kreditkarte zu viel zu verlieren. Wer sich für die Hintergründe interessiert: Eine ausführliche technische Analyse ist bei Qihoo 360 und SecureList.com verfügbar.

Auffälligerweise hatten sich die mutmaßlichen Angreifer einen Header eingebaut, der die Akzeptanz der nordkoreanischen Sprache zulässt. Ein Hinweis, der den Verdacht darauf nährt, dass der Angriff von nordkoreanischem Boden ausging. Im Hinblick auf den Hintergrund der Lazarus-Gruppe ein durchaus brisantes Detail.

Hintergrund

Lazarus wird der Angriff auf mehrere südkoreanische Kryptobörsen wie Bithump, YouBit und Coinlink nachgesagt. Die Gruppe ist auch unter dem Namen „Hidden Cobra“ bekannt. Die ersten Angriffe, die man ihnen eindeutig zuordnen konnte, geschahen im Jahr 2009. 2014 stellte die Gruppe ihre ausgeklügelten Angriffsszenarien beim Hack von Sony Pictures unter Beweis.

BTC-ECHO

Mehr zum Thema:

Ähnliche Artikel

EZB bestätigt Rezessionsgefahr: Wie die Radikalisierung der Geldpolitik neue Krypto-Konzepte hervorruft
EZB bestätigt Rezessionsgefahr: Wie die Radikalisierung der Geldpolitik neue Krypto-Konzepte hervorruft
Kommentar

Die Europäische Zentralbank (EZB) hat es gestern wieder getan: Sie hat den Leitzins weiter gesenkt sowie ihr Anleihen-Ankaufprogramm bestätigt. Absolut entschlossen zeigt sich Mario Draghi, wirklich alles zu tun, um Inflation zu erzeugen und eine Rezession zu vermeiden. An eine positive Wirkung für die Realwirtschaft glaubt indessen kaum noch jemand. Wie die Geldpolitik der nächsten Monate aussehen wird, warum Tokenisierung Finanzblasen sowohl erzeugen als auch bekämpfen kann und welche Rolle Krypto-Trojaner in der Geldpolitik zukünftig spielen werden.

Bitcoin-Kurs-Treiber: ETF rückt langsam näher
Bitcoin-Kurs-Treiber: ETF rückt langsam näher
Märkte

Ein Bitcoin ETF wird als hochkarätiger Treiber für den Bitcoin-Kurs gehandelt. Nun äußerte sich der Vorsitzende der US-amerikanischen Börsenaufsicht zum Thema. Dabei zeigte Jay Clayton von der Securities and Exchange Commission (SEC) die aktuelle Position der Behörde.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Deutsche Bank macht winterfest – und tritt JPMorgans Blockchain-Netz IIN bei
Deutsche Bank macht winterfest – und tritt JPMorgans Blockchain-Netz IIN bei
Blockchain

Als jüngstes Mitglied tritt die Deutsche Bank dem Interbank Information Network (IIN) vom Branchenkonkurrenten JPMorgan bei. Über den Austausch von Transaktionsdaten soll das Blockchain-Netz internationale Überweisungen schneller und günstiger gestalten. JPMorgan erhofft sich von dem Beitritt weiteren Zuwachs vonseiten großer Geldhäuser. Die derzeit strauchelnde Deutsche Bank wiederum will sich mithilfe des Netzwerks auf das Zukunftsgeschäft im Bereich von Echtzeitüberweisungen einstellen.

Warner Music investiert in CryptoKitties-Entwickler Dapper Labs
Warner Music investiert in CryptoKitties-Entwickler Dapper Labs
Blockchain

Das Medienunternehmen Warner Music Group unterstützt das neue Projekt der Entwickler des Ethereum-Projekts CryptoKitties. Auf „Flow“ sollen einzigartige digitale Sammelgegenstände geschaffen und getauscht werden können.

BeeCoin: Berlin Art Week verbindet Bienen und Blockchain
BeeCoin: Berlin Art Week verbindet Bienen und Blockchain
Blockchain

Bienen, die auf Blockchain-Basis sozialen Mehrwert generieren? Das gab es dieses Wochenende auf der Berlin Art Week zu sehen. Eine Kooperation verschiedener Künstlerkollektive in Berlin lancierte eine eigene Kryptowährung namens „BeeCoin“. Das Besondere daran: Über Sensoren erfassen die Netzwerkknoten das Wohlergehen der Bienen und wandeln die Parameter in Ethereum-basierte Assets um. Diese nutzen die Künstler für die Finanzierung gemeinnütziger Projekte.

Plötzlich fiel der Bitcoin-Kurs: Probleme bei Binance
Plötzlich fiel der Bitcoin-Kurs: Probleme bei Binance
Bitcoin

Auf der Binance-Futures-Plattform schwankte der Bitcoin-Kurs am 16. September erheblich. Der vermeintliche Grund löste eine Tweet-Serie des Geschäftsführer Changpeng Zhao aus. Und zeigte die mangende Reife der weltweit größten Krypto-Börse.

Angesagt

Marshallinseln: Vorverkauf des „Sovereign“
ICO

Die Marshallinseln halten an ihrem Vorhaben fest. Die nationale Kryptowährung Sovereign, kurz SOV, soll im nächsten Schritt in den Vorverkauf gehen. Warum dieser Schritt nötig ist, erklärte David Paul auf der Convention Invest: Asia.

Santander gibt Anleihe auf Ethereum Blockchain aus
Blockchain

Blockchain, die Technologie unter Bitcoin & Co., hat vor allem im Finance-Bereich disruptives Potential. Schließlich handelt es sich beim Geldgeschäft um den wohl bekanntesten Use Case der Blockchain. Dennoch konnte die Banco Santander die Grenze zwischen dem traditionellen Bankgeschäft und der Krypto-Welt jüngst ein klein wenig mehr einreißen. Denn sie vergab nun vermeintlich erstmals eine Blockchain-Anleihe.

Bundesrat muss Klarheit bei Bitcoin-Regulierung schaffen – Das Regulierungs-ECHO
Regulierung

Der Bundesrat muss Klarheit in Fragen der Bitcoin-Regulierung schaffen, damit der Standort Deutschland auch für ausländische Unternehmen attraktiv wird. Das und was ihr sonst noch in der vergangenen Woche verpasst habt, im Regulierungs-ECHO.

Ripple-Chef ist „long on Bitcoin“: Das Meinungs-ECHO
Bitcoin

Brad Garlinghouse ist ein Bitcoin Fan. Zumindest, wenn es um dessen Qualität als Wertspeicher geht. Der Bitcoin-Krawattenmann Tim Draper hält selbst einen Bitcoin-Kurs von 250.000 für konservativ, während Vitalik Buterin zur Vorsicht bei DeFi-Investments mahnt. Das Meinungs-ECHO

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: