- Von Google TAG verfolgte, mutmaßlich von der nordkoreanischen Regierung unterstützte Angreifer nehmen weiterhin Sicherheitsforscher für Schwachstellenforschung und -entwicklung ins Visier; auch in der jüngsten Kampagne wurde ein aktiv ausgenutzter 0-day bestätigt
- Die Angreifer bauen auf X Beziehungen auf, verlagern Gespräche dann zu Signal, WhatsApp und Wire und senden Forschern, bei denen ausreichend Vertrauen aufgebaut wurde, bösartige Dateien mit 0-days in beliebten Softwarepaketen
- Nach erfolgreichem Exploit führt der Shellcode eine Erkennung virtueller Maschinen durch und überträgt gesammelte Informationen sowie Screenshots an eine von den Angreifern kontrollierte C2-Domain
- Das Windows-Tool GetSymbol, das als separater möglicher Infektionspfad vermutet wird, wirkt wie ein Dienstprogramm zum Herunterladen von Debugging-Symbolen, kann aber beliebigen Code von einer von den Angreifern kontrollierten Domain herunterladen und ausführen
- TAG fügt zugehörige Domains zu Safe Browsing hinzu, sendet Warnungen vor staatlich unterstützten Angreifern an betroffene Gmail- und Workspace-Nutzer und empfiehlt Chrome Enhanced Safe Browsing sowie Geräte-Updates
Wiederholte Zielangriffe auf Sicherheitsforscher
- Die Google Threat Analysis Group (TAG) veröffentlichte bereits im Januar 2021 eine Kampagne, in der ein von der nordkoreanischen Regierung unterstützter Akteur mit 0-day-Exploits Sicherheitsforscher für Schwachstellenforschung angriff
- In den folgenden zweieinhalb Jahren hat TAG Kampagnen aus derselben Familie weiter verfolgt und unterbunden sowie 0-days identifiziert, um Online-Nutzer zu schützen
- Die kürzlich bestätigte neue Kampagne könnte aufgrund der Ähnlichkeiten zu früheren Aktivitäten demselben Akteur zuzuordnen sein
- In den vergangenen Wochen wurde bei Angriffen auf Sicherheitsforscher mindestens ein aktiv ausgenutzter 0-day verwendet; die betreffende Schwachstelle wurde dem betroffenen Anbieter gemeldet
- Der Anbieter veröffentlichte am 12. September 2023 einen Patch, und TAG veröffentlichte gemäß den Offenlegungsrichtlinien von Google eine root cause analysis
Aufbau sozialer Beziehungen und anschließende Zustellung bösartiger Dateien
- Wie in früheren Kampagnen nehmen die Angreifer zunächst über soziale Medien wie X Kontakt zu den Ziel-Forschern auf
- In einem Fall führten sie über mehrere Monate Gespräche mit einem Sicherheitsforscher auf Basis gemeinsamer Interessen und versuchten eine Zusammenarbeit aufzubauen
- Auf X begonnene Unterhaltungen wurden zu verschlüsselten Messengern wie Signal, WhatsApp und Wire verlagert
- Sobald Vertrauen entstanden ist, senden die Angreifer bösartige Dateien, die mindestens einen 0-day in einem beliebten Softwarepaket enthalten
- Ist der Exploit erfolgreich, führt der Shellcode mehrere Prüfungen zur Erkennung virtueller Maschinen durch
- Anschließend sendet er gesammelte Informationen und Screenshots an eine von den Angreifern kontrollierte Command-and-Control-Domain
- Die Struktur des Shellcodes ähnelt Shellcode, der in früheren nordkoreanischen Exploits beobachtet wurde
GetSymbol als potenzieller zweiter Infektionspfad
- Unabhängig von der 0-day-Zielkampagne entwickelten die Angreifer auch ein eigenständiges Windows-Tool
- Das Tool gibt vor, für Reverse Engineers Debugging-Symbole von den Symbolservern von Microsoft, Google, Mozilla und Citrix herunterzuladen
- Der Quellcode wurde erstmals am 30. September 2022 auf GitHub veröffentlicht, danach folgten mehrere Updates
- Oberflächlich wirkt es wie ein Dienstprogramm, das Symbolinformationen aus mehreren Quellen schnell herunterladen kann
- Symbols liefern zusätzliche Informationen über Binärdateien und können beim Debuggen von Softwareproblemen oder bei der Schwachstellenforschung hilfreich sein
- Das Tool enthält jedoch auch eine Funktion zum Herunterladen und Ausführen beliebigen Codes von einer von den Angreifern kontrollierten Domain
- TAG empfiehlt, nach einem Download oder der Ausführung dieses Tools zu prüfen, ob sich das System in einem bekannten sauberen Zustand befindet; eine Neuinstallation des Betriebssystems kann erforderlich sein
Schutzmaßnahmen von Google
- TAG nutzt Forschungsergebnisse zu schwerwiegenden Bedrohungsakteuren, um Sicherheit und Schutz von Google-Produkten zu verbessern
- Alle bestätigten Websites und Domains werden sofort nach ihrer Entdeckung zu Safe Browsing hinzugefügt, um Nutzer vor weiterer Ausnutzung zu schützen
- Betroffene Gmail- und Workspace-Nutzer erhalten government-backed attacker alerts
- Potenziellen Zielen wird empfohlen, Enhanced Safe Browsing in Chrome zu aktivieren und alle Geräte auf dem neuesten Stand zu halten
- Je besser Taktiken und Techniken verstanden werden, desto stärker können Threat-Hunting-Fähigkeiten und der Schutz von Nutzern branchenweit verbessert werden
Von den Angreifern kontrollierte Websites und Konten
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2-IPs/Domains
23.106.215[.]105www.blgbeach[.]com
-
X-Konto
-
Wire-Konto
@paul354
-
Mastodon-Konto
1 Kommentare
Hacker-News-Kommentare
Das getsymbol-Tool auf GitHub hat 214 Sterne, aber es ist nirgends ein Banner zu sehen, dass es ein bösartiges Tool ist.
In einem kürzlich erstellten Issue gibt es zwar einen Link zum Google-Blogpost, aber das war’s auch schon.
Falls jemand von GitHub mitliest: Ich würde dringend empfehlen, diesem Tool und anderer Software mit bekannten Backdoors (z. B. Forks) Backdoor-Warnbanner oder -Modals hinzuzufügen.
Ich habe das selbst schon mehrfach gemacht :(
Die Backdoor steckt viel eher in den Binary-Releases oder im Auto-Update-Binary.
Wenn man selbst kompiliert und dann das Auto-Update akzeptiert, kann man infiziert werden; und da das Binary über 15 MB groß ist, ist mehr als genug Platz, um eine kleine Backdoor zu verstecken.
Wenn sie Gemeinsamkeiten mit anderen obskuren Projekten haben, könnte das ein Hinweis darauf sein, dass diese Accounts Sockenpuppen-Accounts sind.
Ich frage mich, wie vertrauenswürdig populäre Download-Seiten sind.
Zum Beispiel werden die ffmpeg-Windows-Binaries[1] auf irgendeiner privaten Website gehostet.
Man kann zwar Checksummen und Ähnliches prüfen, aber es gibt trotzdem keine Garantie, dass sie mit einem bestimmten Git-Commit verknüpft sind.
Bei Downloads von Nicht-GitHub-/inoffiziellen Hostern ohne reproduzierbare oder nachgewiesene Builds gehe ich im Grunde von einem staatlichen Akteur aus.
Bin ich paranoid? Wie lösen Linux-/Mac-Paketmanager das?
[1] https://ffmpeg.org/download.html
Genau das ist tatsächlich bei Linux Mint passiert.
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Wenn man nicht in die Issues schaut, wirkt es völlig normal.
https://github.com/dbgsymbol/getsymbol
Die Windows-Downloads werden von „shinchiro“ auf SourceForge bereitgestellt, die MacOS-Downloads von „stolendata“ auf stolendata.net.
Das steckt noch eher in den Kinderschuhen.
Schockierend oder neu ist es nicht, aber interessant schon.
Warum sollte man einen 0-day gegen Sicherheitsforscher einsetzen? Meine Vermutung: Es ist ein Test mit Vorteilen.
Wenn er bei Sicherheitsforschern funktioniert, kann man ihn als gute Schwachstelle betrachten und in der Praxis einsetzen; langfristig haben sie vermutlich auch die Möglichkeit einkalkuliert, von diesem Forscher 1+x 0-days zu bekommen.
Auch aus Sicht von Sicherheitsforschern ist das eine interessante Situation.
Wenn man vorsichtig genug ist und sich dumm genug stellen kann, könnte man frische Angriffsvektoren oder 0-days „kostenlos“ ernten; wenn man sich aber überschätzt, wird man sofort kompromittiert.
Dieses Tool hat auch die Funktion, beliebigen Code von einer vom Angreifer kontrollierten Domain herunterzuladen und auszuführen.
Mit anderen Worten: Auto-Update.
Ironisch ist, dass Big Tech der Öffentlichkeit diese Abhängigkeit antrainiert oder Alternativen zwangsweise entfernt hat, und dass diese abhängige, vertrauensselige Haltung sich nun bis zu Sicherheitsforschern ausbreitet und zurückbeißt.
Einige von uns wussten von Anfang an, wohin diese Haltung führen würde, und wir waren nicht alle Sicherheitsforscher.
Wir hatten einfach andere negative Effekte gesehen, die entstehen, wenn man zulässt, dass jemand etwas auf unsere Maschinen schiebt und dort ausführt, und haben die Verbindung hergestellt.
Reine Spekulation, aber gerade ist ein neues macOS-Sicherheitsupdate erschienen, und darin steht Folgendes:
„Auswirkung: Die Verarbeitung eines bösartig erstellten Bildes kann zur Ausführung beliebigen Codes führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv ausgenutzt wurde.“
https://support.apple.com/en-us/HT213906
Ich bin kein Wettmensch, aber ich vermute, dass die hier diskutierte Schwachstelle genau diese ist.
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Was mich interessiert, ist Folgendes:
Diese Nordkoreaner brauchen, um 0-days zu finden, faktisch wohl uneingeschränkten Internetzugang, und sie verstehen ganz sicher zumindest Englisch.
Wie kann es dann sein, dass sie nicht zufällig auf Medien stoßen, die Dinge zeigen, die die Staatsmedien verbergen?
Realistischerweise werden sie, wie Nachrichtendienste anderer Länder, natürlich nach Patriotismus ausgewählt.
Diese Frage ist ungefähr so, als würde man fragen, warum US-Geheimdienstler, obwohl sie über Nordkorea mehr als nur Propaganda mitbekommen, nicht wegen Nordkoreas besserer Gesundheitsversorgung, Schulen ohne Amokläufe und besserer Müllentsorgung nach Nordkorea überlaufen.
Sie messen den Aspekten der nordkoreanischen Gesellschaft, die besser aussehen könnten, vermutlich keinen Wert bei und glauben wahrscheinlich auch nicht, dass sie in konkreten Situationen tatsächlich besser sind.
Ich sehe wenig Grund, warum nordkoreanische Nachrichtendienste da anders sein sollten.
Vermutlich kennen sie sie.
Es gibt andere Mittel, sie zu kontrollieren: die Karotte sind Privilegien innerhalb Nordkoreas, die Peitsche sind die Folgen für sie selbst und ihre Familien, wenn sie eine Grenze überschreiten.
In ein freieres Land zu gelangen ist für alle Nordkoreaner schwierig, und wegen Karotte und Peitsche können sie wohl auch nicht einfach mit dem Hacking aufhören.
Wahrscheinlich werden sie eng überwacht.
Manche glauben vielleicht wirklich an die Propaganda, und diese Leute dürften ziemlich gut behandelt werden.
Das entschuldigt Nordkoreas Fehlverhalten aber nicht.
Sie werden an ihrem Arbeitsplatz genau überwacht und oft mit Drohungen gegen ihre Familien unter Druck gesetzt.
Ich frage mich, wie wahrscheinlich es ist, dass ein Security Researcher eine Windows-Binary ausführt, die er per Chat von einer unbekannten Person bekommen hat.
Das ist inzwischen weniger Security-Grundlagenwissen als vielmehr gesunder Menschenverstand.
Eher hätten die Researcher wohl die Gelegenheit bekommen, in einer sicheren Umgebung mit der Binary herumzuspielen.
Da die Angreifer den Source Code veröffentlicht haben, hätte man ihn nicht einmal reverse-engineeren müssen.
Nette Blackhats.
Apropos: Findet jemand in dem verlinkten Repository den Exploit? Ich bin neugierig, was er macht, habe aber keine Lust, alle Dateien durchzugehen.
Der Originalartikel hätte diesen Link auch setzen und erklären können, worauf die Einschätzung beruht, dass dieses Projekt mit nordkoreanischen Hackern verbunden ist.
Junge IT-Security-Praktiker werden ermutigt, Zertifizierungen wie OSCP oder eJPT zu machen, und in diesem Zertifikatsgeschäft muss man oft bekannte Boxen kompromittieren.
Dadurch entsteht auf Discord-Servern eine Kultur des gegenseitigen „Helfens“, und ein Teil dieser Hilfe kommt in Form von Binaries oder obfuskiertem Source Code.
Das wird dann auf dem Laptop ausgeführt, der für Pentesting-Aufträge genutzt wird.
Auf diesem Laptop liegen SSH-Keys für den Server zum Schreiben von Berichten, und wenn er am Ende kompromittiert wird, bekommt Nordkorea Zugriff auf Daten und Schwachstellen privater US-Unternehmen.
Vielleicht habe ich so etwas tatsächlich schon gesehen.
Es ging darum, dass ein Dokument, das von irgendeinem Programm gelesen wird, einen 0-day ausgenutzt hat, und dass sie dieses Dokument erhalten haben.
Denn sobald man sie veröffentlicht, wären sie vermutlich nicht mehr brauchbar.
Wenn die Umgebung eines Security Researchers nicht gut konzipiert ist, sei es aus Budgetgründen oder aus Nachlässigkeit, passiert so etwas tatsächlich, und Angreifer können sehr schnell bis zum leckeren Inneren vordringen.
Mir macht Sorgen, wie gelassen Researcher solche Kampagnen attribuieren.
Die Methodik der Attribution wird nie offengelegt, aber Nichttechniker achten immer zuerst auf genau diese Attribution.
Schon in diesem Artikel sind die ersten beiden Wörter der attribuierte Akteur.
Es gibt aber keinerlei Möglichkeit, das zu beweisen.
Attribution im Internet ist wirklich, wirklich, wirklich schwierig.
Weil wir nicht unabhängig beurteilen können, ob wir richtig oder falsch liegen, wissen wir nicht einmal, wie schwierig sie ist.
Zu glauben, Attribution sei frei von politischen Motiven, wäre naiv.
Auf dieser Grundlage nehme ich an, dass die Attribution im Großen und Ganzen korrekt ist.
Tritt man jedoch einen Schritt zurück und betrachtet es objektiv, wirkt es ziemlich heuchlerisch, weil die Quelle dieser Intelligence privatsphärenverletzend ist.
Es ist erstaunlich, dass Nordkorea genug hochqualifizierte Hacker und Cybersecurity-Fachkräfte findet, um so etwas zu tun, obwohl das allgemeine Niveau der Informatikausbildung in der Bevölkerung so schwach ist.
Wenn ein Kind in Nordkorea mathematisches Talent zeigt, gerät es unter Beobachtung; ist es gut genug, wird es auf eine Spezialschule für Mathematik geschickt, wo es faktisch kaum noch etwas anderes lernt.
Danach kommt es an die einzige technische Universität und studiert dort jahrelang intensiv Computerprogrammierung.
Wenn es die Anforderungen erfüllt, wird es nach China geschickt und nutzt den besseren Internetzugang für alles von MMORPG-Golddiebstahl über Phishing-Angriffe bis zur Suche nach 0-days.
Klingt nach einem trostlosen Leben: 12 Stunden am Tag, ständiger Leistungsdruck, beengtes Wohnheimleben.
Also ein bisschen wie Silicon Valley ;)
Sogar der oberste Diktator besuchte in der Schweiz die Mittel- und Oberstufe.
„Sobald sie entdeckt werden, werden alle bestätigten Websites und Domains zu Safe Browsing hinzugefügt, um Nutzer vor weiterer Ausnutzung zu schützen.“
Im Brave-Browser zeigt dbgsymbol.com keine Safe-Browsing-Warnung an.
Warnung: unbekannter Vektor.