Wie Nordkoreas Methode zum Diebstahl von Credentials durch den „Kim“-Dump offengelegt wurde

 (dti.domaintools.com)
2 Punkte von GN⁺ 2025-09-07 | 1 Kommentare | Auf WhatsApp teilen
  • Durch den jüngsten „Kim“-Dump wurde Nordkoreas Methode zum Diebstahl von Credentials offengelegt
  • Nordkoreanische Hacker nutzen aktiv Phishing-Websites und Social-Engineering-Techniken
  • Sie nehmen vor allem westliche Länder und IT-Unternehmen ins Visier
  • Die Angriffe stehen hauptsächlich mit dem Diebstahl von E-Mail-Kontoinformationen in Zusammenhang
  • Durch diese Enthüllung steigt in den USA und bei mehreren Unternehmen die Sicherheitsbereitschaft

Überblick über den „Kim“-Dump-Vorfall

  • Der jüngste „Kim“-Dump-Vorfall hat offengelegt, dass Nordkorea planmäßig groß angelegte Credential-Diebstahlkampagnen durchgeführt hat
  • Der Datendump wurde auf mehreren IT- und Community-Plattformen geteilt, wodurch die konkreten Angriffsmethoden öffentlich wurden

Wichtige Hacking-Methoden Nordkoreas

  • Nordkoreanische Hackergruppen sammeln über Phishing-E-Mails und nachgeahmte Websites die Login-Daten von Nutzern
  • Diese Phishing-Seiten sind echten Websites sehr ähnlich gestaltet, sodass die eigenen Kontodaten der Opfer beim Eingeben automatisch abgegriffen werden
  • Auch Social Engineering wird aktiv eingesetzt, um psychologische Schwachstellen der Nutzer auszunutzen

Angriffsziele und Absichten

  • Hauptziele sind vor allem IT-Unternehmen im Westen sowie sicherheitsbezogene Organisationen in den USA, Europa und anderen westlichen Regionen
  • Innerhalb der Organisationen werden insbesondere Mitarbeiter mit weitreichenden Zugriffsrechten wie Personalverantwortliche, Entwickler und Systemadministratoren angegriffen
  • Die gestohlenen Credentials dienen dem Zweck, auf interne Informationen zuzugreifen und zusätzliche Angriffswege zu erschließen

Sicherheitsrelevanz und Auswirkungen

  • Der „Kim“-Dump ermöglicht einen Einblick in Nordkoreas tatsächliche Angriffsmethoden und deren taktische Weiterentwicklung
  • In der globalen IT-Branche werden Diskussionen über eine Verschärfung der Sicherheitsmaßnahmen und die Überarbeitung von Credential-Management-Richtlinien intensiv geführt
  • Betroffene Unternehmen und Organisationen verstärken Echtzeit-Monitoring und Trainings zur Phishing-Abwehr

Fazit und künftige Aufgaben

  • Die Aktivitäten nordkoreanischer Hackergruppen entwickeln sich fortlaufend weiter, und es entstehen immer ausgefeiltere Methoden
  • Für Beschäftigte in der IT-Branche und für gesamte Organisationen sind ein höheres Sicherheitsbewusstsein und der Aufbau mehrschichtiger Abwehrstrukturen erforderlich

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-07
Hacker-News-Kommentare

  • Ich denke, dass genau diese Leute die Hacker sind, die für diesen Leak verantwortlich sind; siehe den betreffenden Artikel auf phrack.org

    • Darin sieht man die klassische elitäre Hacker-Perspektive: „Ich bin ein Hacker, und ich bin das genaue Gegenteil von euch. In meiner Welt sind alle gleich. Wir kennen weder Hautfarbe noch Nationalität noch politische Ziele und sind niemandes Sklaven.“ Aber ein solcher Raum, in dem „alle gleich sind“, ist eine Illusion, die nur für bestimmte Typen von Menschen wirklich funktioniert

  • Interessant an diesem Fall ist die Verbindung zwischen der DVRK (Nordkorea) und der VR China. Wie tief die Abstimmung zwischen beiden geht, ist schwer zu sagen, aber sie sind klar nicht völlig unabhängig voneinander. Ich frage mich, ob eine so offene Benennung es für die VR China schwieriger macht, eine Verwicklung mit der DVRK und den eigenen Aktivitäten abzustreiten

    • Selbst wenn Peking mit dem Verhalten Pjöngjangs unzufrieden wäre, ist Nordkorea für China strategisch zu wichtig, als dass Chinas Unterstützung ernsthaft ins Wanken geraten oder man große Anstrengungen unternehmen würde, sie zu verbergen
    • Im Moment scheint es keinen eindeutigen Beweis zu geben, der es der VR China unmöglich machen würde, eine eigene Beteiligung abzustreiten
    • Dass China Nordkorea unterstützt, ist längst kein Geheimnis mehr und liegt ungefähr auf einem ähnlichen Niveau wie die Unterstützung der USA für Südkorea. Betrachtet man die Geopolitik, hat China sogar den stärkeren Beweggrund. Um diesen Kontext zu verstehen, lohnt sich ein Blick auf die Monroe-Doktrin. Auch die Kubakrise lässt sich treffender als Türkei-Raketenkrise verstehen. Nachdem die USA Jupiter-Atomraketen in der Türkei stationiert hatten, reagierte die Sowjetunion mit einer entsprechenden Stationierung auf Kuba. Am Ende stand die Welt kurz vor einem Weltkrieg, doch die Sowjetunion zog sich zurück, und die Raketen in der Türkei wurden ebenfalls stillschweigend abgezogen. Siehe Monroe Doctrine und Informationen zu den Jupiter-Raketen
    • In der InfoSec-Community ist die China-Nordkorea-Verbindung weithin bekannt. China war das erste Land der Welt, das formell militärische Cyber-Einheiten aufstellte. Nordkorea zog später mit einem Geldverdienungsmodell nach und sicherte sich sogar Immobilien wie Hotels auf dem chinesischen Festland, die als operative Stützpunkte genutzt werden. China fungiert faktisch auch als eine Art „Waschsalon“, der im Nordkorea-Handel Dollar entgegennimmt und dafür Lieferungen bereitstellt

  • In den geleakten Daten sollen GitHub-Repositories für Angriffstools wie TitanLdr, minbeacon, Blacklotus und CobaltStrike-Auto-Keystore genutzt worden sein. Ich frage mich, warum GitHub die Entwicklung solcher Angriffstools zulässt. Ist das einfach eine Frage der Meinungsfreiheit, oder haben solche Tools auch akademischen Wert?

    • Solche Tools werden häufig bei Penetrationstests und Red-Teaming eingesetzt. Ein Verbot der öffentlichen Verfügbarkeit würde eher dazu führen, dass nur Verteidiger die Methoden der Angreifer nicht kennen, während es echten böswilligen Hackern kaum schaden würde. Zu diesem Schluss kam man schon mehrfach in den 90ern und 2000ern
    • Das sind Werkzeuge, die vor allem von Sicherheitsforschern und Pentestern genutzt werden
    • Ich frage mich dann allerdings, welche Alternative es gäbe
    • Sollte GitHub nicht Länder unter Sanktionen wie Iran oder Nordkorea blockieren? Siehe offizielle Richtlinie

  • Ich hatte gehört, dass es in Nordkorea für normale Menschen schwierig ist, den Umgang mit Computern zu lernen oder überhaupt einen zu besitzen. Man sagt, nur eine kleine Elite werde ausgewählt und ausgebildet; deshalb ist es ziemlich erstaunlich, dass sie modernste Technik beschaffen und für Hacking einsetzen können

    • Nordkoreanische Hacker gehören wahrscheinlich zur Weltspitze. Wenn der Staat Schüler früh auswählt und intensiv ausbildet, ist das durchaus möglich. Im Westen ist Bildung allgemeiner angelegt, und selbst die Hochschulausbildung unterscheidet sich von echter Hacker-Arbeit. Ein westlicher Hacker mit 22 hat vielleicht nur sechs Monate Praktikumserfahrung, während ein nordkoreanischer Hacker in diesem Alter schon mehrere Jahre Erfahrung gesammelt haben könnte
    • Nordkoreanische Teams erzielen auch bei verschiedenen Coding-Wettbewerben gute Ergebnisse, was darauf hindeutet, dass sie ziemlich gut darin sind, eine kleine Elite an IT-Talenten auszubilden
    • Manche reagieren mit „Es ist erstaunlich, dass sie mit modernster Technik hacken“, aber es ist gar nicht so schwer, Talente auszuwählen. Wenn man solchen Talenten dann die stärkste Motivation und die besten Bedingungen gibt, ist es eher selbstverständlich, dass dabei fähige Hacker herauskommen

  • Das mit dem Operator „Kim“ verknüpfte geleakte Datenset zeigt sehr konkret, wie nordkoreanische Cyber-Operationen aussehen. Trotzdem ist schwer zu verstehen, warum nordkoreanische Hacker ihre Spuren so deutlich hinterlassen haben. Es ist rätselhaft, warum sie statt raffinierterer Verschleierung am Ende Brotkrumenspuren hinterlassen haben, die bis nach Pjöngjang führen

  • An diesem Thema gibt es technisch viele interessante Aspekte. Teile der Infrastruktur verwenden Tools, die auch von Pentestern oder anderen Sicherheitsverantwortlichen genutzt werden; daran sieht man, dass es so etwas wie eine „rein defensive Waffe“ nicht gibt. Andererseits driftet die Diskussion leicht in pauschale Kritik an Nordkorea und China ab. Um auf diese Doppelmoral hinzuweisen, reichen die Worte „Stuxnet“ und „Pegasus“ völlig aus

  • Die China-Verbindung (Option A/B) wirkt etwas überzogen. Es könnte auch einfach sein, dass nordkoreanische Hacker in China operieren, weil sie dort Internetzugang haben. Nordkorea hat kein öffentliches Internet; also könnten sie in China sein, um überhaupt online zu gehen. Das ist eine andere Möglichkeit als sich als Chinesen auszugeben oder von chinesischer Seite gesteuert zu werden

  • Das ist eine sehr detaillierte Analyse von APT-Workflows. Auf diesem Niveau besteht auch das Risiko, dass gewöhnliche Angreifer versuchen, ähnliche Methoden zu kopieren, um aufzuschließen

    • Die Offenlegung von Informationen birgt das Risiko von Nachahmern, kann aber andererseits denen, die Abwehrstrategien gegen solche Angreifer entwickeln müssen, eine Grundlage für ihre Entscheidungen liefern. Zu verhindern, dass Informationen nur einer Seite zur Verfügung stehen, ist in der Praxis unmöglich