©Reuters. DATEIFOTO: Menschen besuchen die Statuen des nordkoreanischen Gründers Kim Il Sung und des verstorbenen Führers Kim Jong Il am 74
Von Josh Smith
SEOUL (Reuters) – Als Daniel Depetris, ein in den USA ansässiger Analyst für Außenpolitik, im Oktober eine E-Mail vom Direktor der Denkfabrik 38 North erhielt, in der er einen Artikel in Auftrag gab, schien alles wie gewohnt zu laufen.
Es war nicht.
Der Absender war laut den Beteiligten und drei Cybersicherheitsforschern tatsächlich ein mutmaßlicher nordkoreanischer Spion, der Informationen suchte.
Anstatt seinen Computer zu infizieren und sensible Daten zu stehlen, wie es Hacker normalerweise tun, schien der Absender zu versuchen, seine Gedanken zu nordkoreanischen Sicherheitsfragen herauszubekommen, indem er vorgab, Jenny Town, Direktorin von 38 North, zu sein.
„Mir wurde klar, dass es nicht legitim war, als ich die Person mit Folgefragen kontaktierte und herausfand, dass tatsächlich keine Anfrage gestellt wurde und dass diese Person auch ein Ziel war“, sagte DePetris gegenüber Reuters und bezog sich auf Town. „Also fand ich ziemlich schnell heraus, dass dies eine weit verbreitete Kampagne war.“
Die E-Mail ist Teil einer neuen und bisher nicht gemeldeten Kampagne einer mutmaßlichen nordkoreanischen Hacking-Gruppe, so die Cybersicherheitsexperten, fünf gezielte Personen und E-Mails, die von Reuters überprüft wurden.
Die Hackergruppe, die Forscher unter anderem Thallium oder Kimsuky nannten, verwendet seit langem „Spear-Phishing“-E-Mails, die Ziele dazu verleiten, Passwörter preiszugeben oder auf Anhänge oder Links zu klicken, die Malware laden. Mittlerweile scheint es aber auch einfach darum zu gehen, Forscher oder andere Experten um Stellungnahmen oder Berichte zu bitten.
Laut den von Reuters überprüften E-Mails waren unter anderem die Reaktion Chinas im Falle eines neuen Atomtests; und ob eine „leisere“ Herangehensweise an die nordkoreanische „Aggression“ gerechtfertigt sein könnte.
„Die Angreifer haben mit dieser sehr, sehr einfachen Methode eine Menge Erfolg“, sagte James Elliott vom Microsoft (NASDAQ:) Threat Intelligence Center (MSTIC), der hinzufügte, dass die neue Taktik erstmals im Januar auftauchte. “Die Angreifer haben den Prozess komplett verändert.”
MSTIC sagte, es habe „mehrere“ Nordkorea-Experten identifiziert, die Informationen an ein Konto eines Thallium-Angreifers weitergegeben haben.
Die Experten und Analysten, auf die die Kampagne abzielt, haben Einfluss auf die Gestaltung der internationalen öffentlichen Meinung und der Politik ausländischer Regierungen gegenüber Nordkorea, sagten die Cybersicherheitsforscher.
Ein Bericht der Cybersicherheitsbehörden der US-Regierung aus dem Jahr 2020 besagt, dass Thallium seit 2012 in Betrieb ist und „höchstwahrscheinlich vom nordkoreanischen Regime mit einer globalen Mission zum Sammeln von Informationen beauftragt wird“.
Laut Microsoft hat Thallium in der Vergangenheit Regierungsangestellte, Denkfabriken, Akademiker und Menschenrechtsorganisationen ins Visier genommen.
„Die Angreifer erhalten die Informationen direkt aus dem Maul des Pferdes, wenn Sie so wollen, und sie müssen nicht dasitzen und Interpretationen vornehmen, weil sie sie direkt vom Experten erhalten“, sagte Elliot.
NEUE TAKTIK
Nordkoreanische Hacker sind bekannt für gezielte Angriffe, die Millionen von Dollar einbringen Sony (NYSE:) Bilder über einem Film, der als Beleidigung seines Anführers angesehen wird und Daten von Pharma- und Verteidigungsunternehmen, ausländischen Regierungen und anderen stiehlt.
Die nordkoreanische Botschaft in London reagierte nicht auf eine Bitte um Stellungnahme, hat jedoch bestritten, an Cyberkriminalität beteiligt zu sein.
Bei anderen Angriffen haben Thallium und andere Hacker Wochen oder Monate damit verbracht, Vertrauen zu einem Ziel aufzubauen, bevor sie bösartige Software senden, sagte Saher Naumaan, Principal Threat Intelligence Analyst bei BAE Systems (OTC:) Applied Intelligence.
Aber laut Microsoft arbeitet die Gruppe jetzt auch mit Experten in einigen Fällen zusammen, ohne jemals schädliche Dateien oder Links zu senden, selbst nachdem die Opfer geantwortet haben.
Diese Taktik kann schneller sein, als das Konto einer anderen Person zu hacken und ihre E-Mails zu durchsuchen, traditionelle technische Sicherheitsprogramme umgehen, die eine Nachricht mit bösartigen Elementen scannen und kennzeichnen würden, und den Spionen direkten Zugriff auf die Gedanken der Experten ermöglichen, sagte Elliot.
„Für uns als Verteidiger ist es wirklich sehr schwer, diese E-Mails zu stoppen“, sagte er und fügte hinzu, dass es in den meisten Fällen darauf ankomme, dass der Empfänger es herausfinden könne.
Town sagte, dass einige Nachrichten, die angeblich von ihr stammten, eine E-Mail-Adresse verwendet hatten, die auf „.live“ endete, anstatt ihr offizielles Konto, das auf „.org“ endete, aber ihre vollständige Signaturzeile kopiert hatte.
In einem Fall, sagte sie, war sie in einen surrealen E-Mail-Austausch verwickelt, in dem der mutmaßliche Angreifer, der sich als sie ausgab, sie in eine Antwort einbezog.
DePetris, ein Mitarbeiter mit Verteidigungsprioritäten und Kolumnist für mehrere Zeitungen, sagte, die E-Mails, die er erhalten habe, seien so geschrieben worden, als würde ein Forscher um eine Einreichung von Papieren oder Kommentare zu einem Entwurf bitten.
„Sie waren ziemlich ausgeklügelt, mit Think-Tank-Logos an der Korrespondenz, um den Anschein zu erwecken, als sei die Anfrage legitim“, sagte er.
Ungefähr drei Wochen nach Erhalt der gefälschten E-Mail von 38 North verkörperte ein anderer Hacker ihn und schickte anderen Leuten eine E-Mail, um sich einen Entwurf anzusehen, sagte Depetris.
Diese E-Mail, die DePetris mit Reuters teilte, bietet 300 US-Dollar für die Überprüfung eines Manuskripts über das Atomprogramm Nordkoreas und bittet um Empfehlungen für andere mögliche Prüfer. Elliot sagte, die Hacker hätten niemals jemanden für ihre Recherchen oder Antworten bezahlt und würden dies auch niemals beabsichtigen.
INFORMATIONEN SAMMELN
Identitätsdiebstahl ist eine gängige Methode für Spione auf der ganzen Welt, aber da sich die Isolation Nordkoreas unter den Sanktionen und der Pandemie vertieft hat, glauben westliche Geheimdienste, dass Pjöngjang besonders abhängig von Cyberkampagnen geworden ist, sagte eine Sicherheitsquelle in Seoul gegenüber Reuters und sprach die Bedingung der Anonymität an über Geheimdienstangelegenheiten sprechen.
In einem Bericht vom März 2022 listete ein Expertengremium, das die Umgehung von UN-Sanktionen durch Nordkorea untersucht, die Bemühungen von Thallium als Aktivitäten auf, die „Spionage darstellen, die darauf abzielt, die Umgehung von Sanktionen durch das Land zu informieren und zu unterstützen“.
Town sagte, in einigen Fällen hätten die Angreifer Papiere in Auftrag gegeben, und Analysten hätten vollständige Berichte oder Manuskriptprüfungen vorgelegt, bevor sie erkannten, was passiert sei.
DePetris sagte, die Hacker hätten ihn zu Themen befragt, an denen er bereits arbeite, einschließlich Japans Reaktion auf die militärischen Aktivitäten Nordkoreas.
Eine andere E-Mail, die vorgab, ein Reporter der japanischen Kyodo News zu sein, fragte einen Mitarbeiter von 38 North, wie ihrer Meinung nach der Krieg in der Ukraine in Nordkoreas Denken einfließen würde, und stellte Fragen zur Politik der USA, Chinas und Russlands.
„Man kann nur vermuten, dass die Nordkoreaner versuchen, ehrliche Ansichten von Denkfabriken zu erhalten, um die US-Politik gegenüber dem Norden und ihre mögliche Richtung besser zu verstehen“, sagte Depetris.