Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Quelle: shutterstock

Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea

Der Hackergruppe Lazarus gelang nach Angaben der Sicherheitsforscher von Kaspersky Lab beinahe ein neuer Coup. Sie bauten eine unauffällige Schadsoftware in einen eigens dafür entwickelten Client zum Traden von Kryptowährungen ein. Die Cyberkriminellen haben dabei keine Kosten und Mühen gescheut. Sie hatten die Trader und die Übernahme der Wallets von infiltrierten Kryptobörsen vor Augen.

Der von Kaspersky Lab als „AppleJeus“ bezeichnete Angriff zielt direkt auf die Trader und Online-Handelsplätze für Kryptowährungen ab. Dabei ist es den Mitgliedern von Lazarus gelungen, in die Infrastruktur einer namentlich nicht genannten Kryptobörse im asiatischen Raum einzudringen. Lazarus hat eigens zu diesem Zweck ein voll funktionstüchtiges Trading-Programm für Windows und Mac OS X erstellt. Auch war eine Version für Linux-Distributionen geplant, wie Kaspersky der Firmenwebseite des Herstellers entnahm. Die Tarnfirma Celas LLC wurde offenbar von den Lazarus-Mitgliedern zu dem ausschließlichen Zweck gegründet, um den wahren Charakter ihres Trading-Programms zu verschleiern. Denn die Sicherheitsforscher fanden Auffälligkeiten bei der Domain-Registrierung und dem Webhoster, der schon häufiger in anderen Zusammenhängen von Lazarus in Anspruch genommen wurde.

 

Lazarus: Eigene Tarnfirma für Trojaner gegründet?

Der Client für Mac OS X war sogar mit einem gültigen Software-Zertifikat von Apple versehen. Anderenfalls hätte der Mitarbeiter der Kryptobörse aus Sicherheitsgründen die Einstellungen seines Macs verändern müssen, um Programme von nicht überprüften Entwicklern installieren zu dürfen. Ihm wurde per E-Mail zum Download der Trading-Software geraten. Der Client „Celas Trade Pro“ funktioniert im Zusammenspiel mit diversen Krypto-Exchanges. Entsprechend auch mit Bitfinex, Bitstamp, Bitmarket, BTC China, Goc.io, Indacoin, OKCoin, WEX und YObit. Die Cyberkriminellen hatten also in ihrer Software für genügend Programmierschnittstellen und zahlreiche Funktionen gesorgt.

Als in der Kryptobörse die Erkennungssoftware des Netzwerkes anschlug, wurde der schädliche Code im Updater des Trading Clients gefunden. Lazarus hat dabei den Backdoor-Loader Fallchill benutzt, der schon früher zum Einsatz kam.

Kryptobörsen & Trader sind lohnende Ziele

Die Webseite der Celas LLC soll laut Kaspersky von außen betrachtet keine Auffälligkeiten aufgewiesen haben. Die Seiten Celasltd.com und subeerete.info sind aber derzeit nicht erreichbar. Sie wirkten selbst auf die Sicherheitsfachleute vertrauenswürdig. Sehr auffällig ist allerdings der von den Kriminellen betriebene Aufwand. Zumeist wird Schadsoftware nämlich nur für Windows als das meist verbreitete Betriebssystem programmiert. Daher stellen Trojaner, die man plattformübergreifend verbreitet, eine echte Ausnahme dar. Zur Erlangung der eigenen Ziele eine Tarnfirma zu gründen, eine seriös aussehende Webseite und das funktionierende Programm selbst zu erstellen, zeugt von hohem Arbeitsaufwand. Schaut man sich aber das Ziel der Aktion an, erklärt sich dieser.

Screenshot von celasltd.com.

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
[Anzeige]
Bitcoin, Ethereum, Ripple, IOTA und die bekanntesten Kryptowährungen auf Plus500 handeln. Warum Plus500? Kostenloses Demo-Konto; Mobile Trading-App; Einzahlungen per PayPal; große Auswahl an verschiedenen Finanzprodukten (Kryptowährungen, Aktien, Rohstoffe, ETFs, Devisen, Indizies).

Jetzt kostenloses Konto eröffnen

Außerdem zeigt der Fall, dass man sich selbst als Benutzer einer Linux-Distribution oder von Mac OS X nie komplett sicher fühlen darf. Dafür haben die Besitzer einer Wallet oder einer Kreditkarte zu viel zu verlieren. Wer sich für die Hintergründe interessiert: Eine ausführliche technische Analyse ist bei Qihoo 360 und SecureList.com verfügbar.

Auffälligerweise hatten sich die mutmaßlichen Angreifer einen Header eingebaut, der die Akzeptanz der nordkoreanischen Sprache zulässt. Ein Hinweis, der den Verdacht darauf nährt, dass der Angriff von nordkoreanischem Boden ausging. Im Hinblick auf den Hintergrund der Lazarus-Gruppe ein durchaus brisantes Detail.

Hintergrund

Lazarus wird der Angriff auf mehrere südkoreanische Kryptobörsen wie Bithump, YouBit und Coinlink nachgesagt. Die Gruppe ist auch unter dem Namen „Hidden Cobra“ bekannt. Die ersten Angriffe, die man ihnen eindeutig zuordnen konnte, geschahen im Jahr 2009. 2014 stellte die Gruppe ihre ausgeklügelten Angriffsszenarien beim Hack von Sony Pictures unter Beweis.

BTC-ECHO

Mehr zum Thema:

Ähnliche Artikel

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
Bitcoin und traditionelle Märkte – Bitcoin fällt auf Performance-Level der übrigen Märkte zurück
Märkte

Die Korrelation Bitcoins zu den betrachteten Assets der klassischen Märkte stieg an. Das geht leider mit einem Absinken der Performance einher, sodass Bitcoin bezüglich Performance nur noch knapp die Nase vorne hat.

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
Bobby Lee: Bitcoin-Kurs bis 2030 bei 500.000 US-Dollar
Märkte

Bobby Lee, Mitgründer der ersten Bitcoin-Börse Chinas, hat dem Krypto-Space eine Runde Bullenfutter spendiert. Er sieht den Bitcoin-Kurs in weniger als einer Dekade bei einer halben Million US-Dollar. Und bemüht dazu das Stock-to-Flow-Modell und eine gute Dosis „Hopium“.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
Niederländischer Fußballbund testet erfolgreich Blockchain-Tickets
Blockchain

Im Rahmen seines Innovationsprojektes „Change the Game Challenge“ hat der holländische Fußballbund KNVB auch den Fan-Ticketverkauf per Blockchain getestet. Das Ziel: Den Schwarzhandel eindämmen. Damit soll der mehrfache Weiterverkauf von begehrten Fußballtickets zu völlig überhöhten Preisen langfristig unmöglich gemacht werden.

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
My Two Sats: Was sind UTXOs in Bitcoin?
Bitcoin

Das Bitcoin-Protokoll ist im Kern die Abbildung des UTXO Sets. UTXO steht für Unspent Transaction Output. Wieso Bitcoiner ein rudimentäres Verständnis von der Funktionsweise des Netzwerks haben sollten.

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
Ubisoft wird Block Producer bei EOS-Fork Ultra
Altcoins

Der Spieleentwickler und Publisher Ubisoft wird einen Validator Node für die blockchainbasierte Gaming-Plattform Ultra betreiben. Bis zum Jahresende soll Ubisoft in das Testnet von Ultra integriert werden. Wenn alles nach Plan verläuft, wird das Unternehmen auch das Mainnet von Ultra unterstützen.

Lazarus, Lazarus infiltrierte asiatische Kryptobörsen, Spur führt nach Nordkorea
Ripple: Illegale XRP-Geschäfte in Höhe von 400 Millionen US-Dollar entdeckt
Ripple

Auch im Zahlungsnetzwerk von Ripple hat das Risikoanalyse-Unternehmen Elliptic nun kriminelle Aktivitäten nachgewiesen. Und gleichzeitig Entwarnung gegeben: Nur 0,2 Prozent aller Transaktionen würden auf Geldwäsche, Betrug oder Diebstahl hindeuten.

Angesagt

Bitcoin vs. Umwelt: Neue Studie entkräftet Vorwürfe gegen Mining-Farmen
Bitcoin

Mining ist ein dreckiges Geschäft. Für den Proof of Work werden ganze Farmen in Betrieb genommen, die den globalen CO2-Ausstoß in die Höhe treiben. Eine neue Studie bezweifelt jedoch das Ausmaß der Energieverschwendung, das gerne als Argument genutzt wird, um Kryptowährungen als Energiefresser dastehen zu lassen.

Canaan: Erstes chinesisches Mining-Unternehmen drängt auf US-Börse
Mining

Das Mining von Bitcoin & Co. ist mittlerweile ein hart umkämpftes Feld. Jetzt drängt das chinesische Bitcoin-Mining-Unternehmen Canaan Inc. auf den US-Markt. Der Hersteller für Mining-Technologie hat jüngst 90 Millionen US-Dollar im Börsengang eingesammelt.

Deposy: Diese IOTA-Lösung soll unser Müllproblem in den Griff bekommen
Szene

Das Team von Biota will mithilfe der IOTA-Technologie das Müllproblem in den Griff bekommen. Das Tangle soll dabei helfen, ein Pfandsystem zu entwickeln, das Menschen für das Sammeln von Plastikmüll belohnt.

Südafrika: First National Bank schließt Konten von Bitcoin-Börsen
Regulierung

Die südafrikanische Bank FNB hat offensichtlich kalte Füße bekommen und die Bankkonten aller Krypto-Börsen geschlossen. Das Risiko sei ihr zu groß, teilte die fünftgrößte Bank Südafrikas mit.

Warte mal kurz ... !

Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: