Bereits in ihrer ersten Analyse im Juni stellten die Sicherheitsforscher eine gewisse Ähnlichkeit zwischen Operation North Star und der Hackergruppe Hidden Cobra, auch bekannt als The Lazarus Group, fest. Dabei handelt es sich um eine Gruppierung, die von der US-Regierung und anderen Experten in Nordkorea verortet wird und für das dortige Regime tätig ist. Auch die ausgeklügelte Phishing-Kampagne von Operation North Star wurde bereits im ursprünglichen Bericht dargestellt. Die Kriminellen versuchen noch immer, Angestellte ihrer potenziellen Opfer über falsche Job-Angebote per E-Mail oder LinkedIn dazu zu bringen, kompromittierte Dateianhänge zu öffnen. Dabei kommen sogar legitime Stellenzeigen und Dokumente zum Einsatz, die von den Websites beliebter US-Verteidigungsunternehmen übernommen wurden, um den E-Mails mehr Glaubwürdigkeit zu verleihen.
In der nun veröffentlichten, weiterführenden Analyse gehen die Sicherheitsforscher von McAfee auch auf das Vorgehen der Gruppe nach der Erstinfektion ein und beschreiben einen zweistufigen Angriff:
In Stufe 1 werden zunächst alle Unternehmen mit Malware infiziert, die auf die Phishing-Kampagne hereingefallen sind. Das erlaubt den Angreifern umfangreichen Zugriff auf Daten wie Festplatteninformationen, freien Speicherplatz, den Computernamen sowie den angemeldeten Benutzer und die Prozessinformationen. Diese Daten werden anschließend analysiert, um zu prüfen, ob sich ein Übergang zu Stufe 2 lohnt, denn diese kommt nur bei großen und wichtigen Unternehmen zum Einsatz. Wer weiterer Aufmerksamkeit nicht würdig erachtet wird, kann sich glücklich schätzen, denn für sie ist der Angriff vorerst beendet.
Für alle anderen folgt in Stufe 2 eine weitere Infektion mit einer bislang unbekannten Spyware namens Torisma. Dabei handelt es sich um ein neuartiges Tool, das die Systeme der hochkarätigen Opfer überwacht und gleichzeitig versucht, sich Zugang zu Log-in-Daten und zu Remote Desktop Sessions zu verschaffen. Dazu wird ein Shellcode ausgeführt, der situationsabhängig unterschiedliche Aktionen ausführt. Bemerkenswert sind dabei nicht nur die Spionage-Fähigkeiten von Torisma, sondern auch seine Tarnung, die es schwer macht, den Schädling zu entdecken. Den Sicherheitsforschern gibt das einen klaren Hinweis darauf, dass das Ziel von Operation North Star die langfristige Überwachung der Opfer ist, um möglichst viele wertvollen Informationen und Forschungsergebnisse abzugreifen.
Eine weitere Erkenntnis der neuen Analyse ist, dass sich die Kampagne nicht, wie zuerst angenommen, auf die USA konzentriert. Mittlerweile sind Ziele in Israel, Russland, Indien und Australien bekannt. Unternehmen der direkt betroffenen oder auch benachbarten Branchen sollten sich also auch in Deutschland nicht allzu sicher fühlen. Hinzu kommt, dass Operation North Star längst nicht die einzige Gruppe ist, die in diesem Bereich ihr Unwesen treibt und Technologieunternehmen ausspäht. Entsprechende Maßnahmen zu Abwehr von Phishing-Kampagnen gehören daher zwingend zu einem sinnvollen Sicherheitskonzept.
Hier bieten sich zum einen Phishing-Tests an, wie das 8com Social E-Mail Audit. Ein Social E-Mail Audit dient dazu, den Sensibilisierungsgrad im Bereich „Risiken beim E-Mail-Empfang“ einzuschätzen, aber auch um Sensibilisierungsfortschritte nach bereits erfolgten Maßnahmen sichtbar zu machen. Die Angestellten eines Unternehmens erhalten präparierte E-Mails, wie auch Cyberkriminelle sie einsetzen. Nur dass beim Phishing-Test Negativfolgen ausbleiben. Ziel des Tests ist es, anonymisiert zu messen, wie oft Anhänge in verdächtigen Mails geöffnet bzw. Links gefolgt wird. Diese Erkenntnisse ermöglichen gezielte Schulungen und rasche Fortschritte im Sicherheitsbewusstsein der Mitarbeiter. Ein kontinuierliches Security Monitoring durch ein Security Operations Center (SOC), das Anomalien und verdächtige Vorgänge innerhalb der IT-Infrastruktur erkennt und frühzeitig Abwehrmaßnahmen gegen Cyberangriffe einleitet, bietet zusätzlichen Schutz auf technischer Seite.