{"id":17548,"date":"2018-08-27T20:20:30","date_gmt":"2018-08-27T18:20:30","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17548"},"modified":"2018-08-28T20:22:03","modified_gmt":"2018-08-28T18:22:03","slug":"lazarus-crypto-exchange-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/lazarus-crypto-exchange-attack\/17548\/","title":{"rendered":"Krypto-B\u00f6rsen-Hack mit nordkoreanischem Akzent"},"content":{"rendered":"

Die Angriffsmethoden seri\u00f6ser Cyberkrimineller sind oft so raffiniert, dass es sogar f\u00fcr Cybersicherheitsexperten eine Herausforderung ist, ihnen auf die Schliche zu kommen. Vor Kurzem haben unsere Experten eine neue Kampagne einer nordkoreanischen Gruppe namens Lazarus<\/a> entdeckt<\/a>, die ber\u00fcchtigt f\u00fcr ihre Angriffe auf Sony Pictures<\/a> und eine Reihe von Finanzinstituten ist \u2013 darunter auch der Diebstahl der Zentralbank Bangladesch<\/a> in H\u00f6he von 81 Millionen Dollar.\"\"<\/a><\/p>\n

In diesem speziellen Fall entschieden sich die Eindringlinge, sich die Taschen mit Kryptow\u00e4hrung<\/a> zu f\u00fcllen. Um an die Wallets ihrer Opfer zu gelangen, schleusten sie ein St\u00fcck Malware in die Firmennetzwerke einer Reihe von Krypto-B\u00f6rsen. Die Kriminellen verlie\u00dfen sich voll und ganz auf die Verwundbarkeit des menschlichen Faktors, und das zahlte sich aus.<\/p>\n

Trading-App mit sch\u00e4dlichem Update<\/h2>\n

Die Netzwerkpenetration begann mit einer E-Mail. Mindestens einer der Mitarbeiter der Krypto-B\u00f6rse erhielt ein E-Mail-Angebot, um eine Trading-App namens Celas Trade Pro von Celas Limited zu installieren. \u201eEin solches Programm k\u00f6nne f\u00fcr das Unternehmen unter Ber\u00fccksichtigung des Unternehmensprofils m\u00f6glicherweise von Nutzen sein\u201c, so hie\u00df es.<\/p>\n

Dar\u00fcber hinaus enthielt die Nachricht einen Link zur offiziellen Website des Entwicklers, die auf den ersten Blick ziemlich legitim aussah und sogar \u00fcber ein g\u00fcltiges SSL-Zertifikat von Comodo CA, einem der f\u00fchrenden Zertifizierungszentren, verf\u00fcgte.<\/p>\n

\"\"<\/a><\/p>\n

Celas Trade Pro stand zum Download f\u00fcr Windows und Mac bereit; eine Version f\u00fcr Linux war angeblich bereits in Arbeit.\"\"<\/a><\/p>\n

Dar\u00fcber hinaus verf\u00fcgte die Trading-App \u00fcber ein g\u00fcltiges digitales Zertifikat<\/a> \u2013 ein weiteres legitimes Produktattribut \u2013 dessen Code keine sch\u00e4dlichen Komponenten aufwies.<\/p>\n

Nach der erfolgreichen Installation der Anwendung auf dem Computer des Mitarbeiters f\u00fchrte Celas Trade Pro ein Update aus und kontaktierte dazu den Server des Anbieters \u2013 auch hier soweit nichts Verd\u00e4chtiges. Statt eines Updates wurde jedoch ein Backdoor-Trojaner<\/a> heruntergeladen.<\/p>\n

\"\"<\/a><\/p>\n

Fallchill: Eine \u00e4u\u00dferst gef\u00e4hrliche Malware<\/h3>\n

Eine Backdoor ist ein virtueller \u201eDiensteingang\u201c, den Kriminelle ausnutzen k\u00f6nnen, um in ein System einzudringen. Die meisten fr\u00fcheren Angriffe auf Krypto-B\u00f6rsen wurden mit Fallchill durchgef\u00fchrt. Fallchill war bei diesem Angriff das ausschlaggebende Indiz, das Experten zur Lazarus-Gruppe f\u00fchrte; die Gruppe hatte die Backdoor, die eine nahezu unbegrenzte Kontrolle \u00fcber das infizierte Ger\u00e4t erm\u00f6glicht, bereits einige Male ausgenutzt. Folgende sind nur einige wenige Funktionen der Malware:<\/p>\n