myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Brisant] Angriff aus Nordkorea: IT-Systeme eines russischen Raketenherstellers gehackt (https://mygully.com/showthread.php?t=7420638)

ziesell 08.08.23 18:16
Angriff aus Nordkorea: IT-Systeme eines russischen Raketenherstellers gehackt
 
Zitat:
Angriff aus Nordkorea: IT-Systeme eines russischen Raketenherstellers gehackt

Nordkoreanische Hacker haben sich unter Einsatz einer Backdoor Zugang zu den IT-Systemen eines russischen Raketenherstellers gesichert.

https://www.golem.de/2308/176558-395210-395209_rc.jpg

Eine nordkoreanische Hackergruppe namens Scarcruft soll in die IT-Systeme von NPO Maschinostrojenija eingedrungen sein – einem russischen Unternehmen, das unter anderem Weltraum- und Interkontinentalraketen für militärische Zwecke herstellt. Wie Bleeping Computer berichtete, soll der Hersteller die russische und indische Armee mit Verteidigungs- und Angriffsraketen beliefern. Ferner soll die US-Regierung schon im Jahr 2014 Sanktionen gegen NPO Maschinostrojenija verhängt haben.

Auswertung eines Datenlecks fördert Backdoor-Infektion zutage

Aufgedeckt wurde der Cyberangriff von Sicherheitsanalysten von Sentinellabs, nachdem diese infolge eines Datenlecks bei dem Raketenhersteller Zugriff auf teils höchst vertrauliche interne E-Mails erhalten hatten. Auf Basis der darin enthaltenen Informationen führten die Experten weitere Untersuchungen durch. Dabei stellten sie fest, dass das IT-Personal von NPO Maschinostrojenija in der Vergangenheit verdächtige Aktivitäten im Netzwerk des Unternehmens identifiziert hatte.

Später entdeckten die Administratoren des Herstellers auf den infiltrierten Servern eine bösartige DLL-Datei und banden daraufhin externe Sicherheitsexperten in den Vorfall mit ein. Wie aus dem Bericht von Sentinellabs hervorgeht, hatten böswillige Akteure das russische Unternehmen offenbar mit der Windows-Backdoor Opencarrot infiziert, die schon in der Vergangenheit mit der nordkoreanischen Hackergruppe Lazarus in Verbindung gebracht wurde. Ob Letztere ebenfalls in den Angriff auf den Raketenhersteller involviert war, ist aber noch unklar.

Opencarrot verbreitet sich auch über USB-Speicher

Durch Opencarrot soll sich Scarcruft, auch bekannt als APT37, weitreichende Zugriffsrechte auf den infiltrierten Systemen gesichert haben. So war es den Hackern möglich, Dateien und Prozesse nach Belieben zu manipulieren und über einen externen Server mit der Backdoor zu kommunizieren. Darüber hinaus soll Opencarrot auch automatisch nach neu verbundenen USB-Datenträgern Ausschau gehalten haben, um darüber weitere Systeme zu infizieren.

Wie genau die Scarcruft-Hacker in die IT-Systeme von NPO Maschinostrojenija eindringen konnten, konnten die Analysten von Sentinellabs bisher noch nicht abschließend feststellen. Sie fanden jedoch Hinweise auf den Einsatz von Tools und Techniken, die die Angreifer schon in der Vergangenheit genutzt hatten, um die für die Hackergruppe charakteristische Rokrat-Backdoor zu verbreiten.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:17 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.