FallChill: US-Regierung warnt vor staatlicher Malware aus Nordkorea

News
Flagge von Nordkorea (Bild: Public Domain)

Es handelt sich um ein Remote Administration Tool (RAT). Damit lassen sich Dateien lesen, schreiben und löschen und auch Prozesse ausführen. FallChill ist allerdings nur ein Teil einer als Hidden Cobra bezeichneten größeren Kampagne von nordkoreanischen Hackern.

Das US-CERT hat eine Sicherheitswarnung für ein Remote Administration Tool (RAT) namens FallChill herausgegeben, das die nordkoreanische Regierung für Angriffe auf Einrichtungen in den USA einsetzen soll. Entdeckt wurde die Malware demnach vom Department of Homeland Security (DHS) und der Bundespolizei Federal Bureau of Investigation (FBI). Beide Behörden identifizierten demnach IP-Adressen und Hinweise auf eine Kompromittierung, die FallChill zugeordnet werden.

Flagge von Nordkorea (Bild: Public Domain)

An den Ermittlungen waren auch nicht näher genannte “vertrauenswürdige” Dritte beteiligt. Demnach soll Nordkorea FallChill schon seit 2016 nutzen, um Luftfahrtunternehmen, Telekommunikationsanbieter und den Finanzsektor anzugreifen. “Die Malware ist ein voll funktionsfähiges Remote Administration Tool mit mehreren Befehlen, die die Hintermänner von einem Befehlsserver aus an das System eines Opfer schicken”, heißt es in der Meldung.

FallChill ordnen die Ermittler einer Hidden Cobra genannten Kampagne zu, in deren Verlauf weitere Schadsoftware eingesetzt wurde, unter anderem, um FallChill in die Systeme der Ziele einzuschleusen. Von daher sei nicht ausgeschlossen, dass sich auf mit FallChill verseuchten Systemen weitere Malware befinde.

Die Kommunikation zwischen den infizierten Systemen der Opfer und den Befehlsservern sollen mehrere Proxy-Server verschleiern, die Daten per RC4 verschlüsselt austauschen. Unter anderem werden dabei grundlegende Systeminformationen ausgelesen und übermittelt wie Betriebssystem, Prozessor, lokale IP-Adresse und MAC-Adresse. Darüber hinaus ist FallChill in der Lage, Details zu allen installierten Festplatten auszulesen, neue Prozesse zu starten, Dateien zu lesen, zu schreiben und auszuführen, den Zeitstempel von Datein und Verzeichnissen zu verändern sowie Malware zu löschen.

Darüber hinaus enthält die Sicherheitswarnung Netzwerksignaturen und host-basierte Regeln, mit denen sich Aktivitäten der Hidden-Cobra-Kampagne erkennen lassen. Weder die Signaturen noch die Regeln seien jedoch als alleiniges Kriterium für die Erkennung gefährlicher Aktivitäten geeignet.

Das US-CERT weist auch darauf hin, dass eine Infektion mit der Schadsoftware zu einem vorübergehenden oder gar dauerhaften Verlust von vertraulichen und proprietären Informationen führen kann. Auch eine Unterbrechung des regulären Geschäftsbetriebs sei nicht ausgeschlossen. Daraus könnten für Unternehmen finanzielle Verluste sowie eine Rufschädigung resultieren.

[mit Material von Stephanie Condon, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.