Ein außergewöhnlicher Vorfall in der Cybersecurity-Welt hat der Fachwelt einen beispiellosen Einblick in die Arbeitsweise staatlicher Hacker-Gruppen verschafft. Zwei Aktivisten gelang es, Systeme der berüchtigten nordkoreanischen APT-Gruppe Kimsuky zu kompromittieren und dabei umfangreiche Daten über deren Operationen zu erbeuten. Die Ergebnisse dieser bemerkenswerten Aktion wurden in der Jubiläumsausgabe des legendären Hacker-Magazins Phrack während der DEF CON-Konferenz veröffentlicht.
Erfolgreiche Infiltration einer staatlichen Hacker-Gruppe
Die beiden Aktivisten, die unter den Pseudonymen Saber und cyb0rg operieren, schafften es, eine Arbeitsstation eines nordkoreanischen Operators zu kompromittieren. Dabei erhielten sie Zugang zu virtuellen Maschinen und VPS-Servern der Angreifer. Das Ergebnis ihrer Operation war beeindruckend: Sie konnten nahezu 20.000 Datensätze extrahieren, darunter Browser-Verläufe von Chrome und Brave, detaillierte Anleitungen für Malware-Einsätze, Passwörter und Zugangsdaten verschiedener Hacking-Tools.
Sämtliche erbeuteten Informationen wurden an die Aktivistengruppe DDoSecrets (Distributed Denial of Secrets) weitergegeben. Diese Organisation hat sich darauf spezialisiert, Datenlecks im öffentlichen Interesse zu indizieren und zu archivieren, und positioniert sich als Verfechter der Transparenz bei staatlichen Aktivitäten.
Kimsuky: Profil einer hochaktiven Cyberbedrohung
Die Kimsuky-Gruppe, auch bekannt als APT43 und Thallium, zählt zu den aktivsten Advanced Persistent Threat-Gruppen mit Verbindungen zur nordkoreanischen Regierung. Ihre primären Ziele sind typischerweise Journalisten, Aktivisten und Regierungsbeamte in Südkorea sowie andere Objekte von nachrichtendienstlichem Interesse für Pjöngjang.
Neben klassischen Spionageoperationen engagiert sich Kimsuky intensiv in finanziell motivierten Aktivitäten, insbesondere beim Diebstahl und der Geldwäsche von Kryptowährungen – ein charakteristisches Merkmal nordkoreanischer Hacker-Kollektive.
Überraschende Erkenntnisse zur internationalen Zusammenarbeit
Die Analyse der gestohlenen Daten offenbarte faszinierende Details über die Kooperation zwischen verschiedenen staatlichen Hacker-Gruppen. Die Autoren des Hacks stellten fest: „Dies zeigt, wie offen Kimsuky mit chinesischen Regierungshackern zusammenarbeitet und Werkzeuge sowie Techniken mit ihnen teilt“.
In den kompromittierten Systemen fanden sich Belege für erfolgreiche Einbrüche in mehrere südkoreanische Regierungsnetzwerke und kommerzielle Unternehmen sowie eine umfangreiche Sammlung von Hacking-Werkzeugen, internen Handbüchern und Passwörtern.
Zweifel an der Attribution: Chinesische Verbindung
Sicherheitsexperten von Trend Micro, die den Datenabfluss analysierten, äußerten begründete Zweifel an der nationalen Zugehörigkeit des kompromittierten Hackers. Die Indizien deuten darauf hin, dass der Angreifer eher mit China als mit Nordkorea in Verbindung steht: Er nutzte die chinesische Sprache, und seine Browser-Historie sowie Lesezeichen wiesen auf chinesische Interessen hin.
Zusätzlich wurden in seinem Arsenal Werkzeuge entdeckt, die häufig von chinesischen APT-Gruppen verwendet werden, einschließlich Client-Code für Exploits gegen Ivanti-Backdoors, die charakteristisch für die Gruppe UNC5221 sind.
Auswirkungen auf die Cybersecurity-Landschaft
Obwohl die Aktionen von Saber und cyb0rg technisch illegal waren, haben sie der Cybersecurity-Community eine einzigartige Gelegenheit verschafft, die internen Mechanismen staatlicher Cyberspionage zu studieren. Experten betonen, dass die gewonnenen Informationen das Verständnis für Fähigkeiten und Ziele regierungsgesteuerter Hacker-Gruppen erheblich erweitern.
Diese Enthüllung fügt wichtige Puzzleteile zum komplexen Bild internationaler Cyber-Operationen hinzu und verdeutlicht die Tiefe der Zusammenarbeit zwischen verschiedenen staatlichen Hacker-Kollektiven. Für Cybersecurity-Spezialisten stellen diese Erkenntnisse einen unschätzbaren Wert bei der Entwicklung von Abwehrmaßnahmen gegen Advanced Persistent Threats dar und helfen beim Verständnis der Evolution staatlicher Cyber-Bedrohungstaktiken.
