2 Punkte von GN⁺ 2023-09-08 | 1 Kommentare | Auf WhatsApp teilen
  • Von Google TAG verfolgte, mutmaßlich von der nordkoreanischen Regierung unterstützte Angreifer nehmen weiterhin Sicherheitsforscher für Schwachstellenforschung und -entwicklung ins Visier; auch in der jüngsten Kampagne wurde ein aktiv ausgenutzter 0-day bestätigt
  • Die Angreifer bauen auf X Beziehungen auf, verlagern Gespräche dann zu Signal, WhatsApp und Wire und senden Forschern, bei denen ausreichend Vertrauen aufgebaut wurde, bösartige Dateien mit 0-days in beliebten Softwarepaketen
  • Nach erfolgreichem Exploit führt der Shellcode eine Erkennung virtueller Maschinen durch und überträgt gesammelte Informationen sowie Screenshots an eine von den Angreifern kontrollierte C2-Domain
  • Das Windows-Tool GetSymbol, das als separater möglicher Infektionspfad vermutet wird, wirkt wie ein Dienstprogramm zum Herunterladen von Debugging-Symbolen, kann aber beliebigen Code von einer von den Angreifern kontrollierten Domain herunterladen und ausführen
  • TAG fügt zugehörige Domains zu Safe Browsing hinzu, sendet Warnungen vor staatlich unterstützten Angreifern an betroffene Gmail- und Workspace-Nutzer und empfiehlt Chrome Enhanced Safe Browsing sowie Geräte-Updates

Wiederholte Zielangriffe auf Sicherheitsforscher

  • Die Google Threat Analysis Group (TAG) veröffentlichte bereits im Januar 2021 eine Kampagne, in der ein von der nordkoreanischen Regierung unterstützter Akteur mit 0-day-Exploits Sicherheitsforscher für Schwachstellenforschung angriff
  • In den folgenden zweieinhalb Jahren hat TAG Kampagnen aus derselben Familie weiter verfolgt und unterbunden sowie 0-days identifiziert, um Online-Nutzer zu schützen
  • Die kürzlich bestätigte neue Kampagne könnte aufgrund der Ähnlichkeiten zu früheren Aktivitäten demselben Akteur zuzuordnen sein
  • In den vergangenen Wochen wurde bei Angriffen auf Sicherheitsforscher mindestens ein aktiv ausgenutzter 0-day verwendet; die betreffende Schwachstelle wurde dem betroffenen Anbieter gemeldet
  • Der Anbieter veröffentlichte am 12. September 2023 einen Patch, und TAG veröffentlichte gemäß den Offenlegungsrichtlinien von Google eine root cause analysis

Aufbau sozialer Beziehungen und anschließende Zustellung bösartiger Dateien

  • Wie in früheren Kampagnen nehmen die Angreifer zunächst über soziale Medien wie X Kontakt zu den Ziel-Forschern auf
    • In einem Fall führten sie über mehrere Monate Gespräche mit einem Sicherheitsforscher auf Basis gemeinsamer Interessen und versuchten eine Zusammenarbeit aufzubauen
    • Auf X begonnene Unterhaltungen wurden zu verschlüsselten Messengern wie Signal, WhatsApp und Wire verlagert
  • Sobald Vertrauen entstanden ist, senden die Angreifer bösartige Dateien, die mindestens einen 0-day in einem beliebten Softwarepaket enthalten
  • Ist der Exploit erfolgreich, führt der Shellcode mehrere Prüfungen zur Erkennung virtueller Maschinen durch
    • Anschließend sendet er gesammelte Informationen und Screenshots an eine von den Angreifern kontrollierte Command-and-Control-Domain
    • Die Struktur des Shellcodes ähnelt Shellcode, der in früheren nordkoreanischen Exploits beobachtet wurde

GetSymbol als potenzieller zweiter Infektionspfad

  • Unabhängig von der 0-day-Zielkampagne entwickelten die Angreifer auch ein eigenständiges Windows-Tool
  • Das Tool gibt vor, für Reverse Engineers Debugging-Symbole von den Symbolservern von Microsoft, Google, Mozilla und Citrix herunterzuladen
  • Der Quellcode wurde erstmals am 30. September 2022 auf GitHub veröffentlicht, danach folgten mehrere Updates
  • Oberflächlich wirkt es wie ein Dienstprogramm, das Symbolinformationen aus mehreren Quellen schnell herunterladen kann
    • Symbols liefern zusätzliche Informationen über Binärdateien und können beim Debuggen von Softwareproblemen oder bei der Schwachstellenforschung hilfreich sein
  • Das Tool enthält jedoch auch eine Funktion zum Herunterladen und Ausführen beliebigen Codes von einer von den Angreifern kontrollierten Domain
  • TAG empfiehlt, nach einem Download oder der Ausführung dieses Tools zu prüfen, ob sich das System in einem bekannten sauberen Zustand befindet; eine Neuinstallation des Betriebssystems kann erforderlich sein

Schutzmaßnahmen von Google

  • TAG nutzt Forschungsergebnisse zu schwerwiegenden Bedrohungsakteuren, um Sicherheit und Schutz von Google-Produkten zu verbessern
  • Alle bestätigten Websites und Domains werden sofort nach ihrer Entdeckung zu Safe Browsing hinzugefügt, um Nutzer vor weiterer Ausnutzung zu schützen
  • Betroffene Gmail- und Workspace-Nutzer erhalten government-backed attacker alerts
  • Potenziellen Zielen wird empfohlen, Enhanced Safe Browsing in Chrome zu aktivieren und alle Geräte auf dem neuesten Stand zu halten
  • Je besser Taktiken und Techniken verstanden werden, desto stärker können Threat-Hunting-Fähigkeiten und der Schutz von Nutzern branchenweit verbessert werden

Von den Angreifern kontrollierte Websites und Konten

1 Kommentare

 
GN⁺ 2023-09-08
Hacker-News-Kommentare
  • Das getsymbol-Tool auf GitHub hat 214 Sterne, aber es ist nirgends ein Banner zu sehen, dass es ein bösartiges Tool ist.
    In einem kürzlich erstellten Issue gibt es zwar einen Link zum Google-Blogpost, aber das war’s auch schon.
    Falls jemand von GitHub mitliest: Ich würde dringend empfehlen, diesem Tool und anderer Software mit bekannten Backdoors (z. B. Forks) Backdoor-Warnbanner oder -Modals hinzuzufügen.

    • Es ist auch ein guter Reminder, dass Code auf GitHub ebenfalls bösartig sein kann und man ihm nicht blind vertrauen sollte, nur weil der Autor scheinbar ähnliche Interessen hat.
      Ich habe das selbst schon mehrfach gemacht :(
    • Der Quellcode selbst sieht relativ sauber aus, und die Auto-Update-Funktion scheint hinter einem Bestätigungsdialog zu hängen.
      Die Backdoor steckt viel eher in den Binary-Releases oder im Auto-Update-Binary.
      Wenn man selbst kompiliert und dann das Auto-Update akzeptiert, kann man infiziert werden; und da das Binary über 15 MB groß ist, ist mehr als genug Platz, um eine kleine Backdoor zu verstecken.
    • Es wäre interessant, die Accounts zu analysieren, die getsymbol vor der Veröffentlichung mit Sternen versehen haben.
      Wenn sie Gemeinsamkeiten mit anderen obskuren Projekten haben, könnte das ein Hinweis darauf sein, dass diese Accounts Sockenpuppen-Accounts sind.
    • Sieht so aus, als sei es gerade offline genommen worden.
    • Ich habe das Repository als Malware gemeldet; mal sehen, wie damit umgegangen wird.
  • Ich frage mich, wie vertrauenswürdig populäre Download-Seiten sind.
    Zum Beispiel werden die ffmpeg-Windows-Binaries[1] auf irgendeiner privaten Website gehostet.
    Man kann zwar Checksummen und Ähnliches prüfen, aber es gibt trotzdem keine Garantie, dass sie mit einem bestimmten Git-Commit verknüpft sind.
    Bei Downloads von Nicht-GitHub-/inoffiziellen Hostern ohne reproduzierbare oder nachgewiesene Builds gehe ich im Grunde von einem staatlichen Akteur aus.
    Bin ich paranoid? Wie lösen Linux-/Mac-Paketmanager das?
    [1] https://ffmpeg.org/download.html

    • Auch Binaries auf der offiziellen Website können einen erwischen, wenn die Website gehackt und sogar die Checksummen geändert werden.
      Genau das ist tatsächlich bei Linux Mint passiert.
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • Warum vertraust du GitHub? Das GetSymbol-Tool hat dort ebenfalls 215 Sterne bekommen.
      Wenn man nicht in die Issues schaut, wirkt es völlig normal.
      https://github.com/dbgsymbol/getsymbol
    • mpv hat dasselbe Problem: https://mpv.io/installation/
      Die Windows-Downloads werden von „shinchiro“ auf SourceForge bereitgestellt, die MacOS-Downloads von „stolendata“ auf stolendata.net.
    • Lösen Linux-/Mac-Paketmanager das nicht, indem sie Binaries aus dem Quellcode bauen und auf ihren eigenen Servern hosten?
    • Der Suchbegriff/das Buzzword in diesem Bereich ist Reproducible Builds.
      Das steckt noch eher in den Kinderschuhen.
  • Schockierend oder neu ist es nicht, aber interessant schon.
    Warum sollte man einen 0-day gegen Sicherheitsforscher einsetzen? Meine Vermutung: Es ist ein Test mit Vorteilen.
    Wenn er bei Sicherheitsforschern funktioniert, kann man ihn als gute Schwachstelle betrachten und in der Praxis einsetzen; langfristig haben sie vermutlich auch die Möglichkeit einkalkuliert, von diesem Forscher 1+x 0-days zu bekommen.
    Auch aus Sicht von Sicherheitsforschern ist das eine interessante Situation.
    Wenn man vorsichtig genug ist und sich dumm genug stellen kann, könnte man frische Angriffsvektoren oder 0-days „kostenlos“ ernten; wenn man sich aber überschätzt, wird man sofort kompromittiert.

    • Sicherheitsforscher haben im Allgemeinen mehr 0-days.
    • Oder sie waren einfach hinter den Zugriffsrechten des Ziels her.
    • Das liegt ganz sicher daran, dass Nordkorea nicht den Marktpreis für 0-days zahlen will.
  • Dieses Tool hat auch die Funktion, beliebigen Code von einer vom Angreifer kontrollierten Domain herunterzuladen und auszuführen.
    Mit anderen Worten: Auto-Update.
    Ironisch ist, dass Big Tech der Öffentlichkeit diese Abhängigkeit antrainiert oder Alternativen zwangsweise entfernt hat, und dass diese abhängige, vertrauensselige Haltung sich nun bis zu Sicherheitsforschern ausbreitet und zurückbeißt.
    Einige von uns wussten von Anfang an, wohin diese Haltung führen würde, und wir waren nicht alle Sicherheitsforscher.
    Wir hatten einfach andere negative Effekte gesehen, die entstehen, wenn man zulässt, dass jemand etwas auf unsere Maschinen schiebt und dort ausführt, und haben die Verbindung hergestellt.

  • Reine Spekulation, aber gerade ist ein neues macOS-Sicherheitsupdate erschienen, und darin steht Folgendes:
    „Auswirkung: Die Verarbeitung eines bösartig erstellten Bildes kann zur Ausführung beliebigen Codes führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv ausgenutzt wurde.“
    https://support.apple.com/en-us/HT213906
    Ich bin kein Wettmensch, aber ich vermute, dass die hier diskutierte Schwachstelle genau diese ist.

  • Was mich interessiert, ist Folgendes:
    Diese Nordkoreaner brauchen, um 0-days zu finden, faktisch wohl uneingeschränkten Internetzugang, und sie verstehen ganz sicher zumindest Englisch.
    Wie kann es dann sein, dass sie nicht zufällig auf Medien stoßen, die Dinge zeigen, die die Staatsmedien verbergen?

    • „Unsere Geheimagenten sind alle loyale Patrioten, und die Agenten der anderen Seite sind alle gehirngewaschene Geiseln!“
      Realistischerweise werden sie, wie Nachrichtendienste anderer Länder, natürlich nach Patriotismus ausgewählt.
      Diese Frage ist ungefähr so, als würde man fragen, warum US-Geheimdienstler, obwohl sie über Nordkorea mehr als nur Propaganda mitbekommen, nicht wegen Nordkoreas besserer Gesundheitsversorgung, Schulen ohne Amokläufe und besserer Müllentsorgung nach Nordkorea überlaufen.
      Sie messen den Aspekten der nordkoreanischen Gesellschaft, die besser aussehen könnten, vermutlich keinen Wert bei und glauben wahrscheinlich auch nicht, dass sie in konkreten Situationen tatsächlich besser sind.
      Ich sehe wenig Grund, warum nordkoreanische Nachrichtendienste da anders sein sollten.
    • Glaubt man wirklich, der nordkoreanische Nachrichtendienst kenne die Inhalte westlicher Medien nicht?
      Vermutlich kennen sie sie.
      Es gibt andere Mittel, sie zu kontrollieren: die Karotte sind Privilegien innerhalb Nordkoreas, die Peitsche sind die Folgen für sie selbst und ihre Familien, wenn sie eine Grenze überschreiten.
    • Viele Optionen scheint es nicht zu geben.
      In ein freieres Land zu gelangen ist für alle Nordkoreaner schwierig, und wegen Karotte und Peitsche können sie wohl auch nicht einfach mit dem Hacking aufhören.
      Wahrscheinlich werden sie eng überwacht.
      Manche glauben vielleicht wirklich an die Propaganda, und diese Leute dürften ziemlich gut behandelt werden.
    • Vielleicht beruhigt es sie sogar, wenn sie sehen, was die westliche Propagandamaschine an verrückten Dingen über Nordkorea ausspuckt.
      Das entschuldigt Nordkoreas Fehlverhalten aber nicht.
    • Der hervorragende BBC-Podcast The Lazarus Heist behandelt bis zu einem gewissen Grad das Leben nordkoreanischer Hacker: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      Sie werden an ihrem Arbeitsplatz genau überwacht und oft mit Drohungen gegen ihre Familien unter Druck gesetzt.
  • Ich frage mich, wie wahrscheinlich es ist, dass ein Security Researcher eine Windows-Binary ausführt, die er per Chat von einer unbekannten Person bekommen hat.
    Das ist inzwischen weniger Security-Grundlagenwissen als vielmehr gesunder Menschenverstand.
    Eher hätten die Researcher wohl die Gelegenheit bekommen, in einer sicheren Umgebung mit der Binary herumzuspielen.
    Da die Angreifer den Source Code veröffentlicht haben, hätte man ihn nicht einmal reverse-engineeren müssen.
    Nette Blackhats.
    Apropos: Findet jemand in dem verlinkten Repository den Exploit? Ich bin neugierig, was er macht, habe aber keine Lust, alle Dateien durchzugehen.
    Der Originalartikel hätte diesen Link auch setzen und erklären können, worauf die Einschätzung beruht, dass dieses Projekt mit nordkoreanischen Hackern verbunden ist.

    • Das passiert viel häufiger, als man denkt.
      Junge IT-Security-Praktiker werden ermutigt, Zertifizierungen wie OSCP oder eJPT zu machen, und in diesem Zertifikatsgeschäft muss man oft bekannte Boxen kompromittieren.
      Dadurch entsteht auf Discord-Servern eine Kultur des gegenseitigen „Helfens“, und ein Teil dieser Hilfe kommt in Form von Binaries oder obfuskiertem Source Code.
      Das wird dann auf dem Laptop ausgeführt, der für Pentesting-Aufträge genutzt wird.
      Auf diesem Laptop liegen SSH-Keys für den Server zum Schreiben von Berichten, und wenn er am Ende kompromittiert wird, bekommt Nordkorea Zugriff auf Daten und Schwachstellen privater US-Unternehmen.
      Vielleicht habe ich so etwas tatsächlich schon gesehen.
    • Die von ihnen beschriebene Bedrohung ist nicht das.
      Es ging darum, dass ein Dokument, das von irgendeinem Programm gelesen wird, einen 0-day ausgenutzt hat, und dass sie dieses Dokument erhalten haben.
    • Wenn du nach den Belegen fragst, dass dieses Projekt mit nordkoreanischen Hackern verbunden ist: Wenn jemand mit ausreichender Sicherheit eine Attribution vornimmt, aber die Methode nicht offenlegt, ist es ziemlich plausibel anzunehmen, dass man keine Quellen oder Indikatoren verbrennen will, die künftig noch nützlich sein könnten.
      Denn sobald man sie veröffentlicht, wären sie vermutlich nicht mehr brauchbar.
    • Die Aussage, dass „die Threat Actors schädliche Dateien geschickt haben, darunter mindestens einen 0-day in einem beliebten Softwarepaket“, bedeutet also, dass es keine ausführbare Datei war.
    • Der Kern von Security-Grundlagen ist, dass irgendwann jeder Fehler macht. Jeder.
      Wenn die Umgebung eines Security Researchers nicht gut konzipiert ist, sei es aus Budgetgründen oder aus Nachlässigkeit, passiert so etwas tatsächlich, und Angreifer können sehr schnell bis zum leckeren Inneren vordringen.
  • Mir macht Sorgen, wie gelassen Researcher solche Kampagnen attribuieren.
    Die Methodik der Attribution wird nie offengelegt, aber Nichttechniker achten immer zuerst auf genau diese Attribution.
    Schon in diesem Artikel sind die ersten beiden Wörter der attribuierte Akteur.
    Es gibt aber keinerlei Möglichkeit, das zu beweisen.
    Attribution im Internet ist wirklich, wirklich, wirklich schwierig.
    Weil wir nicht unabhängig beurteilen können, ob wir richtig oder falsch liegen, wissen wir nicht einmal, wie schwierig sie ist.
    Zu glauben, Attribution sei frei von politischen Motiven, wäre naiv.

    • Citlab arbeitet mit mehreren privaten Datenbrokern zusammen, um kommerzielle Security-Intelligence zu gewinnen, und verweist in seinen Berichten oft darauf.
      Auf dieser Grundlage nehme ich an, dass die Attribution im Großen und Ganzen korrekt ist.
      Tritt man jedoch einen Schritt zurück und betrachtet es objektiv, wirkt es ziemlich heuchlerisch, weil die Quelle dieser Intelligence privatsphärenverletzend ist.
  • Es ist erstaunlich, dass Nordkorea genug hochqualifizierte Hacker und Cybersecurity-Fachkräfte findet, um so etwas zu tun, obwohl das allgemeine Niveau der Informatikausbildung in der Bevölkerung so schwach ist.

    • Nach dem, was ich von Nordkorea-Experten gelesen habe, produziert Nordkorea Hacker bewusst und mit hoher Intensität.
      Wenn ein Kind in Nordkorea mathematisches Talent zeigt, gerät es unter Beobachtung; ist es gut genug, wird es auf eine Spezialschule für Mathematik geschickt, wo es faktisch kaum noch etwas anderes lernt.
      Danach kommt es an die einzige technische Universität und studiert dort jahrelang intensiv Computerprogrammierung.
      Wenn es die Anforderungen erfüllt, wird es nach China geschickt und nutzt den besseren Internetzugang für alles von MMORPG-Golddiebstahl über Phishing-Angriffe bis zur Suche nach 0-days.
      Klingt nach einem trostlosen Leben: 12 Stunden am Tag, ständiger Leistungsdruck, beengtes Wohnheimleben.
      Also ein bisschen wie Silicon Valley ;)
    • Wohlhabende oder gut vernetzte Nordkoreaner werden an mehreren Elite-Schulen im Westen und in China ausgebildet.
      Sogar der oberste Diktator besuchte in der Schweiz die Mittel- und Oberstufe.
    • Es ist fast sicher, dass sie auf den Talentpool eines der Nachbarländer zurückgreifen.
  • „Sobald sie entdeckt werden, werden alle bestätigten Websites und Domains zu Safe Browsing hinzugefügt, um Nutzer vor weiterer Ausnutzung zu schützen.“
    Im Brave-Browser zeigt dbgsymbol.com keine Safe-Browsing-Warnung an.
    Warnung: unbekannter Vektor.

    • Safe Browsing ist nicht zur Erkennung von Hacks gedacht, sondern dafür, dass Google Nutzer leichter überwachen kann.