Nordkoreanische Hacker stehen bei einem Cyberangriff auf den türkischen Finanzsektor unter Verdacht. Das geht aus einem Bericht von McAfee vom 8. März hervor.

Das McAfee Forschungs-Team für fortgeschrittene Bedrohungen identifizierte am 2. und 3. März einen Versuch der Hacker-Gruppe Hidden Cobra, die Sicherheitsmaßnahmen von staatlichen türkischen Finanzinstituten zu überwinden.

Die McAfee-Richtlinie identifiziert Cyber-Gruppen aus Nationalstaaten normalerweise zwar nicht offiziell als Täter, aber in dem Bericht erwähnen sie, dass der Code der betreffenden Schadsoftware dem Code ähnelt, den eine mit Nordkorea verknüpfte Hackergruppe verwendet.

Die Hacker verwendeten eine modifizierte Schadsoftware, die als "Bankshot" bekannt wurde und eine kürzlich aufgedeckte Schwachstelle bei Adobe Flash ausgenutzt hat. Die Angreifer haben versucht ihre Opfer mit Spear-Phishing-E-Mails zu locken, die eine infizierte Microsoft Word-Datei mit dem Namen Agreement.docx enthielten.

Die Datei gab laut dem Bericht vor, eine Vorlage für eine Vereinbarung für eine Bitcoin-Verteilung zwischen einer unbekannten Person aus Paris und einer zu bestimmenden Kryptowährungsbörse zu sein.

Die Bankshot-Implantate wurden von einer Domain aus verteilt, die der Kryptwährungs-Verleihplattform Falcon Coin ähnlich ist. Aber die bösartige Domain falcancoin.io wurde am 27. Dezember 2017 erstellt und hat rechtlich nichts mit der ursprünglichen Plattform zu tun.

Obwohl bei den Angriffen kein Gelddiebstahl gemeldet wurde, glaubt das Forscherteam, dass die Aktion auf einen Fernzugriff auf die internen Systeme der staatlich kontrollierten Finanzorganisationen hinausgelaufen sind. Aus dem Bericht geht jedoch nicht hervor, welche Organisationen genau betroffen sind.

Das McAfee-Team entdeckte auch zwei auf Koreanisch geschriebene Dokumente, die Teil derselben Hacker-Aktion zu sein scheinen, aber auf andere Ziele gerichtet waren.

Bereits im Dezember 2017 hat die US-Regierung eine Warnung vor Bankshot-Schadsoftware ausgesprochen und diese mit Hidden Cobra in Verbindung gebracht hat. Das ist eine Gruppe von Hackern, die von der US-Regierung als bösartige Cyberkriminelle im Dienst der nordkoreanischen Regierung betrachtet werden.

Nordkorea wurde wiederholt beschuldigt, südkoreanischer Kryptowährungsbörsen gehackt zu haben, da die internationalen Sanktionen gegen das Land im Laufe des letzten Jahres verschärft wurden.

Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.