Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Quelle: shutterstock

Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Der Hackergruppe Lazarus gelang nach Angaben der Sicherheitsforscher von Kaspersky Lab beinahe ein neuer Coup. Sie bauten eine unauffällige Schadsoftware in einen eigens dafür entwickelten Client zum Traden von Kryptowährungen ein. Die Cyberkriminellen haben dabei keine Kosten und Mühen gescheut. Sie hatten die Trader und die Übernahme der Wallets von infiltrierten Kryptobörsen vor Augen.

Der von Kaspersky Lab als „AppleJeus“ bezeichnete Angriff zielt direkt auf die Trader und Online-Handelsplätze für Kryptowährungen ab. Dabei ist es den Mitgliedern von Lazarus gelungen, in die Infrastruktur einer namentlich nicht genannten Kryptobörse im asiatischen Raum einzudringen. Lazarus hat eigens zu diesem Zweck ein voll funktionstüchtiges Trading-Programm für Windows und Mac OS X erstellt. Auch war eine Version für Linux-Distributionen geplant, wie Kaspersky der Firmenwebseite des Herstellers entnahm. Die Tarnfirma Celas LLC wurde offenbar von den Lazarus-Mitgliedern zu dem ausschließlichen Zweck gegründet, um den wahren Charakter ihres Trading-Programms zu verschleiern. Denn die Sicherheitsforscher fanden Auffälligkeiten bei der Domain-Registrierung und dem Webhoster, der schon häufiger in anderen Zusammenhängen von Lazarus in Anspruch genommen wurde.

 

Lazarus: Eigene Tarnfirma für Trojaner gegründet?

Der Client für Mac OS X war sogar mit einem gültigen Software-Zertifikat von Apple versehen. Anderenfalls hätte der Mitarbeiter der Kryptobörse aus Sicherheitsgründen die Einstellungen seines Macs verändern müssen, um Programme von nicht überprüften Entwicklern installieren zu dürfen. Ihm wurde per E-Mail zum Download der Trading-Software geraten. Der Client „Celas Trade Pro“ funktioniert im Zusammenspiel mit diversen Krypto-Exchanges. Entsprechend auch mit Bitfinex, Bitstamp, Bitmarket, BTC China, Goc.io, Indacoin, OKCoin, WEX und YObit. Die Cyberkriminellen hatten also in ihrer Software für genügend Programmierschnittstellen und zahlreiche Funktionen gesorgt.

Als in der Kryptobörse die Erkennungssoftware des Netzwerkes anschlug, wurde der schädliche Code im Updater des Trading Clients gefunden. Lazarus hat dabei den Backdoor-Loader Fallchill benutzt, der schon früher zum Einsatz kam.

Kryptobörsen & Trader sind lohnende Ziele

Die Webseite der Celas LLC soll laut Kaspersky von außen betrachtet keine Auffälligkeiten aufgewiesen haben. Die Seiten Celasltd.com und subeerete.info sind aber derzeit nicht erreichbar. Sie wirkten selbst auf die Sicherheitsfachleute vertrauenswürdig. Sehr auffällig ist allerdings der von den Kriminellen betriebene Aufwand. Zumeist wird Schadsoftware nämlich nur für Windows als das meist verbreitete Betriebssystem programmiert. Daher stellen Trojaner, die man plattformübergreifend verbreitet, eine echte Ausnahme dar. Zur Erlangung der eigenen Ziele eine Tarnfirma zu gründen, eine seriös aussehende Webseite und das funktionierende Programm selbst zu erstellen, zeugt von hohem Arbeitsaufwand. Schaut man sich aber das Ziel der Aktion an, erklärt sich dieser.

Screenshot von celasltd.com.

Außerdem zeigt der Fall, dass man sich selbst als Benutzer einer Linux-Distribution oder von Mac OS X nie komplett sicher fühlen darf. Dafür haben die Besitzer einer Wallet oder einer Kreditkarte zu viel zu verlieren. Wer sich für die Hintergründe interessiert: Eine ausführliche technische Analyse ist bei Qihoo 360 und SecureList.com verfügbar.

Auffälligerweise hatten sich die mutmaßlichen Angreifer einen Header eingebaut, der die Akzeptanz der nordkoreanischen Sprache zulässt. Ein Hinweis, der den Verdacht darauf nährt, dass der Angriff von nordkoreanischem Boden ausging. Im Hinblick auf den Hintergrund der Lazarus-Gruppe ein durchaus brisantes Detail.

Hintergrund

Lazarus wird der Angriff auf mehrere südkoreanische Kryptobörsen wie Bithump, YouBit und Coinlink nachgesagt. Die Gruppe ist auch unter dem Namen „Hidden Cobra“ bekannt. Die ersten Angriffe, die man ihnen eindeutig zuordnen konnte, geschahen im Jahr 2009. 2014 stellte die Gruppe ihre ausgeklügelten Angriffsszenarien beim Hack von Sony Pictures unter Beweis.

BTC-ECHO

Du bist ein Blockchain- oder Krypto-Investor?: Der digitale Kryptokompass ist der erste Börsenbrief für digitale Währungen und liefert dir monatlich exklusive Einschätzungen und umfassende Analysen zur aktuellen Lage an den Blockchain- & Krypto-Märkten. Jetzt kostenlos testen

Ähnliche Artikel

Krypto- und traditionelle Märkte – Seitwärtsphase wirft Bitcoin ins Mittelfeld
Krypto- und traditionelle Märkte – Seitwärtsphase wirft Bitcoin ins Mittelfeld
Märkte

Weiterhin ist nicht Bitcoin, sondern Öl das am besten performende Asset.

Coinmarketcap lanciert Indizes für Bitcoin & Co. – mit deutscher Unterstützung
Coinmarketcap lanciert Indizes für Bitcoin & Co. – mit deutscher Unterstützung
Invest

Coinmarketcap.com, die Ranking-Seite für Kryptowährungen, hat gemeinsam mit dem deutschen Unternehmen Solactive AG zwei neue Krypto-Indizes entwickelt.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Nutzerbetrug bei ALQO? Discord-User auf der Spur
    Nutzerbetrug bei ALQO? Discord-User auf der Spur
    Szene

    Einer kleinen Kryptowährung namens ALQO soll über eine Online-Wallet widerrechtlich Gelder an sich gerissen haben.

    Krypto- und traditionelle Märkte – Seitwärtsphase wirft Bitcoin ins Mittelfeld
    Krypto- und traditionelle Märkte – Seitwärtsphase wirft Bitcoin ins Mittelfeld
    Märkte

    Weiterhin ist nicht Bitcoin, sondern Öl das am besten performende Asset.

    Der Hodl-Guide: 5 Arten von Bitcoin Wallets, die du kennen solltest
    Der Hodl-Guide: 5 Arten von Bitcoin Wallets, die du kennen solltest
    Bitcoin

    Bitcoins kryptographische Absicherung ist bei korrekter Handhabe bombensicher. Aber wie bereits bei Spiderman festgestellt wurde, „kommt mit großer Kraft große Verantwortung“.

    Shorting und Margin Selling in der Kritik: Das Regulierungs-ECHO
    Shorting und Margin Selling in der Kritik: Das Regulierungs-ECHO
    Regulierung

    In Thailand gibt es Aussichten auf eine Bitcoin-Börse für institutionelle Anleger.

    Angesagt

    Free Money! Wie Justin Sun für TRON neue Nutzer kauft
    Altcoins

    Justin Sun ist der Gründer und CEO von TRON. Das Blockchain-Projekt ist unter anderem darauf ausgelegt, der zweitgrößten Kryptowährung Ether und der Ethereum Blockchain den Rang streitig zu machen.

    Die Top Bitcoin-, Blockchain- und Altcoin-News der Woche: Der BTC-ECHO-Newsflash
    Bitcoin

    Ripple beschäftigt eine Privat-Armee an Bots. Das Handelsvolumen von Bitcoin steigt derweil und die Lightning Torch scheint langsam zu einem kleinen Flächenbrand auszuarten.

    Bitmain in Bullenstimmung: 200.000 neue Miner in China geplant
    Mining

    Mining-Gigant Bitmain plant Quellen zufolge große Investitionen im chinesischen Sichuan.

    Cryptopia meldet sich zurück – Die Bitcoin-Börse nimmt den Handel nach Hackerangriff wieder auf
    Invest

    Die neuseeländische Bitcoin-Börse Cryptopia gab die Wiedereröffnung ihrer Handelsplattform bekannt.

    Anzeige
    ×