Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Quelle: shutterstock

Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Der Hackergruppe Lazarus gelang nach Angaben der Sicherheitsforscher von Kaspersky Lab beinahe ein neuer Coup. Sie bauten eine unauffällige Schadsoftware in einen eigens dafür entwickelten Client zum Traden von Kryptowährungen ein. Die Cyberkriminellen haben dabei keine Kosten und Mühen gescheut. Sie hatten die Trader und die Übernahme der Wallets von infiltrierten Kryptobörsen vor Augen.

Der von Kaspersky Lab als „AppleJeus“ bezeichnete Angriff zielt direkt auf die Trader und Online-Handelsplätze für Kryptowährungen ab. Dabei ist es den Mitgliedern von Lazarus gelungen, in die Infrastruktur einer namentlich nicht genannten Kryptobörse im asiatischen Raum einzudringen. Lazarus hat eigens zu diesem Zweck ein voll funktionstüchtiges Trading-Programm für Windows und Mac OS X erstellt. Auch war eine Version für Linux-Distributionen geplant, wie Kaspersky der Firmenwebseite des Herstellers entnahm. Die Tarnfirma Celas LLC wurde offenbar von den Lazarus-Mitgliedern zu dem ausschließlichen Zweck gegründet, um den wahren Charakter ihres Trading-Programms zu verschleiern. Denn die Sicherheitsforscher fanden Auffälligkeiten bei der Domain-Registrierung und dem Webhoster, der schon häufiger in anderen Zusammenhängen von Lazarus in Anspruch genommen wurde.

 

Lazarus: Eigene Tarnfirma für Trojaner gegründet?

Der Client für Mac OS X war sogar mit einem gültigen Software-Zertifikat von Apple versehen. Anderenfalls hätte der Mitarbeiter der Kryptobörse aus Sicherheitsgründen die Einstellungen seines Macs verändern müssen, um Programme von nicht überprüften Entwicklern installieren zu dürfen. Ihm wurde per E-Mail zum Download der Trading-Software geraten. Der Client „Celas Trade Pro“ funktioniert im Zusammenspiel mit diversen Krypto-Exchanges. Entsprechend auch mit Bitfinex, Bitstamp, Bitmarket, BTC China, Goc.io, Indacoin, OKCoin, WEX und YObit. Die Cyberkriminellen hatten also in ihrer Software für genügend Programmierschnittstellen und zahlreiche Funktionen gesorgt.

Lies auch:  Neue Strategien zum Schutz von Bitcoin & Co.

Als in der Kryptobörse die Erkennungssoftware des Netzwerkes anschlug, wurde der schädliche Code im Updater des Trading Clients gefunden. Lazarus hat dabei den Backdoor-Loader Fallchill benutzt, der schon früher zum Einsatz kam.

Kryptobörsen & Trader sind lohnende Ziele

Die Webseite der Celas LLC soll laut Kaspersky von außen betrachtet keine Auffälligkeiten aufgewiesen haben. Die Seiten Celasltd.com und subeerete.info sind aber derzeit nicht erreichbar. Sie wirkten selbst auf die Sicherheitsfachleute vertrauenswürdig. Sehr auffällig ist allerdings der von den Kriminellen betriebene Aufwand. Zumeist wird Schadsoftware nämlich nur für Windows als das meist verbreitete Betriebssystem programmiert. Daher stellen Trojaner, die man plattformübergreifend verbreitet, eine echte Ausnahme dar. Zur Erlangung der eigenen Ziele eine Tarnfirma zu gründen, eine seriös aussehende Webseite und das funktionierende Programm selbst zu erstellen, zeugt von hohem Arbeitsaufwand. Schaut man sich aber das Ziel der Aktion an, erklärt sich dieser.

Screenshot von celasltd.com.

Außerdem zeigt der Fall, dass man sich selbst als Benutzer einer Linux-Distribution oder von Mac OS X nie komplett sicher fühlen darf. Dafür haben die Besitzer einer Wallet oder einer Kreditkarte zu viel zu verlieren. Wer sich für die Hintergründe interessiert: Eine ausführliche technische Analyse ist bei Qihoo 360 und SecureList.com verfügbar.

Auffälligerweise hatten sich die mutmaßlichen Angreifer einen Header eingebaut, der die Akzeptanz der nordkoreanischen Sprache zulässt. Ein Hinweis, der den Verdacht darauf nährt, dass der Angriff von nordkoreanischem Boden ausging. Im Hinblick auf den Hintergrund der Lazarus-Gruppe ein durchaus brisantes Detail.

Lies auch:  Cryptojacking: Wie Schadsoftware fremde Rechner für das Krypto-Mining kapert

Hintergrund

Lazarus wird der Angriff auf mehrere südkoreanische Kryptobörsen wie Bithump, YouBit und Coinlink nachgesagt. Die Gruppe ist auch unter dem Namen „Hidden Cobra“ bekannt. Die ersten Angriffe, die man ihnen eindeutig zuordnen konnte, geschahen im Jahr 2009. 2014 stellte die Gruppe ihre ausgeklügelten Angriffsszenarien beim Hack von Sony Pictures unter Beweis.

BTC-ECHO

Anzeige

Ähnliche Artikel

Krypto- und traditionelle Märkte KW2 – Bitcoin schlägt traditionelle Märkte
Krypto- und traditionelle Märkte KW2 – Bitcoin schlägt traditionelle Märkte
Märkte

Aktuell ist Bitcoin zu allen anderen betrachteten Assets antikorreliert. Der Abwärtstrend der Volatilität wurde weiterverfolgt, durch den jüngsten Abverkauf aber temporär unterbrochen.

Der Bärenmarkt in Bildern: Rückblick auf die Bitcoin-Kursentwicklungen von 2018
Der Bärenmarkt in Bildern: Rückblick auf die Bitcoin-Kursentwicklungen von 2018
Invest

Das Jahr 2018 ist noch nicht lange passé und trotz des jüngsten Aufbäumen ist die Erinnerung an den Bärenmarkt noch recht frisch.

TRON steigt, Bitcoin, Ethereum, IOTA und Co. fallen
TRON steigt, Bitcoin, Ethereum, IOTA und Co. fallen
Märkte

TRON konnte in den letzten 24 Stunden einen Kurszuwachs von über zehn Prozent verzeichnen.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Südkorea: Bezirksverwaltung in Seoul benutzt Blockchain für öffentliche Ausschreibungen
    Südkorea: Bezirksverwaltung in Seoul benutzt Blockchain für öffentliche Ausschreibungen
    Blockchain

    Südkorea hat ein weiteres vielversprechendes Blockchain-Projekt vorzuweisen. Die Verwaltung des Seouler Stadtteils Yeongdeungpo hat damit begonnen, öffentliche Aufträge mithilfe der Blockchain-Technologie auszuschreiben.

    IBM und Ford starten Pilotprojekt für Kobalt-Supply-Chain
    IBM und Ford starten Pilotprojekt für Kobalt-Supply-Chain
    Blockchain

    Die Adaption der Blockchain-Technologie schreitet unaufhörlich voran. Auch in der Autoindustrie scheint sie inzwischen angekommen zu sein.

    Dänische Steuerbehörde ermittelt gegen Krypto-Investoren
    Dänische Steuerbehörde ermittelt gegen Krypto-Investoren
    Politik

    Dänemark nimmt Krypto-Investoren unter die Lupe. Nachdem bekannt wurde, dass sich dänische Staatsbürger in Finnland an steuerlich relevanten Geschäften mit Kryptowährungen beteiligten, stehen nun mögliche Verstöße gegen das dänische Steuerrecht im Raum.

    Brave Ads: Werbung sehen, wann man will – und BAT verdienen
    Brave Ads: Werbung sehen, wann man will – und BAT verdienen
    Altcoins

    Brave, die Firma hinter dem gleichnamigen Browser mit Privacy-Fokus, hat ein neues Feature vorgestellt.

    Angesagt

    Wechselkurs von Petro zu Bolívar auf 1:36.000 angehoben – Inflation hat Venezuela fest im Griff
    Politik

    Nicolás Maduro hebt den Wechselkurs von Bolívar zu Petro auf ein Verhältnis von 1:36.000 an.

    Neues aus dem Hause BAKKT: Kauf von Vermögenswerten erfolgreich
    Bitcoin

    BAKKT-CEO Kelly Loeffler rückt auf Medium mit den neuesten Entwicklungen rund um die ersten physischen Bitcoin Futures heraus.

    USA: Vermont sucht Expertise für Blockchain-Pilotprojekt
    Blockchain

    Der US-Bundesstaat Vermont will ein Pilotprojekt starten, das den Nutzen der Blockchain-Technologie für Eigenversicherer ausloten soll.

    Ethereum: Constantinople Hard Fork wegen Sicherheitslücken abgesagt
    Altcoins

    Das Ethereum-Entwicklerteam hat die lang erwartete Hard Fork Constantinople abgesagt.