Contact
QR code for the current URL

Story Box-ID: 1032798

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Mr Kent Gaertner +49 30 3030808913
Company logo of 8com GmbH & Co. KG

Operation North Star: Bedrohung größer als angenommen

(PresseBox) (Neustadt an der Weinstraße, )
Während Ende März dieses Jahres die meisten Menschen und Unternehmen mit den Folgen des Lockdowns aufgrund der Corona-Pandemie zu kämpfen hatten, betrat eine neue Hackergruppe das Spielfeld und griff amerikanische Unternehmen aus Luftfahrt- und Verteidigungsbranche mit einer ausgeklügelten Phishing-Kampagne an. Bereits im Sommer legten Sicherheitsforscher von McAfee erste Ergebnisse über die neue Bedrohung aus dem Netz namens Operation North Star vor und beschrieben die Angriffsvektoren. Jetzt wurden weitergehende Untersuchungen veröffentlicht, die darauf hindeuten, dass die Gruppierung noch raffinierter geworden ist und ihre Ziele weiter gestreut sind als bisher angenommen.

Bereits in ihrer ersten Analyse im Juni stellten die Sicherheitsforscher eine gewisse Ähnlichkeit zwischen Operation North Star und der Hackergruppe Hidden Cobra, auch bekannt als The Lazarus Group, fest. Dabei handelt es sich um eine Gruppierung, die von der US-Regierung und anderen Experten in Nordkorea verortet wird und für das dortige Regime tätig ist. Auch die ausgeklügelte Phishing-Kampagne von Operation North Star wurde bereits im ursprünglichen Bericht dargestellt. Die Kriminellen versuchen noch immer, Angestellte ihrer potenziellen Opfer über falsche Job-Angebote per E-Mail oder LinkedIn dazu zu bringen, kompromittierte Dateianhänge zu öffnen. Dabei kommen sogar legitime Stellenzeigen und Dokumente zum Einsatz, die von den Websites beliebter US-Verteidigungsunternehmen übernommen wurden, um den E-Mails mehr Glaubwürdigkeit zu verleihen.

In der nun veröffentlichten, weiterführenden Analyse gehen die Sicherheitsforscher von McAfee auch auf das Vorgehen der Gruppe nach der Erstinfektion ein und beschreiben einen zweistufigen Angriff:

In Stufe 1 werden zunächst alle Unternehmen mit Malware infiziert, die auf die Phishing-Kampagne hereingefallen sind. Das erlaubt den Angreifern umfangreichen Zugriff auf Daten wie Festplatteninformationen, freien Speicherplatz, den Computernamen sowie den angemeldeten Benutzer und die Prozessinformationen. Diese Daten werden anschließend analysiert, um zu prüfen, ob sich ein Übergang zu Stufe 2 lohnt, denn diese kommt nur bei großen und wichtigen Unternehmen zum Einsatz. Wer weiterer Aufmerksamkeit nicht würdig erachtet wird, kann sich glücklich schätzen, denn für sie ist der Angriff vorerst beendet.

Für alle anderen folgt in Stufe 2 eine weitere Infektion mit einer bislang unbekannten Spyware namens Torisma. Dabei handelt es sich um ein neuartiges Tool, das die Systeme der hochkarätigen Opfer überwacht und gleichzeitig versucht, sich Zugang zu Log-in-Daten und zu Remote Desktop Sessions zu verschaffen. Dazu wird ein Shellcode ausgeführt, der situationsabhängig unterschiedliche Aktionen ausführt. Bemerkenswert sind dabei nicht nur die Spionage-Fähigkeiten von Torisma, sondern auch seine Tarnung, die es schwer macht, den Schädling zu entdecken. Den Sicherheitsforschern gibt das einen klaren Hinweis darauf, dass das Ziel von Operation North Star die langfristige Überwachung der Opfer ist, um möglichst viele wertvollen Informationen und Forschungsergebnisse abzugreifen.

Eine weitere Erkenntnis der neuen Analyse ist, dass sich die Kampagne nicht, wie zuerst angenommen, auf die USA konzentriert. Mittlerweile sind Ziele in Israel, Russland, Indien und Australien bekannt. Unternehmen der direkt betroffenen oder auch benachbarten Branchen sollten sich also auch in Deutschland nicht allzu sicher fühlen. Hinzu kommt, dass Operation North Star längst nicht die einzige Gruppe ist, die in diesem Bereich ihr Unwesen treibt und Technologieunternehmen ausspäht. Entsprechende Maßnahmen zu Abwehr von Phishing-Kampagnen gehören daher zwingend zu einem sinnvollen Sicherheitskonzept.

Hier bieten sich zum einen Phishing-Tests an, wie das 8com Social E-Mail Audit. Ein Social E-Mail Audit dient dazu, den Sensibilisierungsgrad im Bereich „Risiken beim E-Mail-Empfang“ einzuschätzen, aber auch um Sensibilisierungsfortschritte nach bereits erfolgten Maßnahmen sichtbar zu machen. Die Angestellten eines Unternehmens erhalten präparierte E-Mails, wie auch Cyberkriminelle sie einsetzen. Nur dass beim Phishing-Test Negativfolgen ausbleiben. Ziel des Tests ist es, anonymisiert zu messen, wie oft  Anhänge in verdächtigen Mails geöffnet bzw. Links gefolgt wird. Diese Erkenntnisse ermöglichen gezielte Schulungen und rasche Fortschritte im Sicherheitsbewusstsein der Mitarbeiter. Ein kontinuierliches Security Monitoring durch ein Security Operations Center (SOC), das Anomalien und verdächtige Vorgänge innerhalb der IT-Infrastruktur erkennt und frühzeitig Abwehrmaßnahmen gegen Cyberangriffe einleitet, bietet zusätzlichen Schutz auf technischer Seite.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.