Thought Leadership
Nach mehreren Berichten unter anderem bei Bleeping Computer machte das FBI bekannt, dass hinter dem Cyberangriff auf die Krypto-Bridge Horizon des Unternehmens Harmony im Juni 2022 die Gruppe APT38 steckt. Damals wurden Alt-Coins im Wert von 100 Millionen US-Dollar entwendet.
Die Lazarus-Gruppe bzw. APT38 ist dafür bekannt, Kryptowährungen zu stehlen, indem es Maschinenidentitäten ausnutzt, daher ist es keine Überraschung, dass der Angriff auf Harmony diesem Unternehmen zugeschrieben wird. Bei der Offenlegung der Sicherheitsverletzung lieferte Harmony Beweise dafür, dass seine privaten Schlüssel – eine Kernkomponente der Maschinenidentität – kompromittiert wurden, was Lazarus die Tür öffnete und es der Gruppe ermöglichte, Daten zu entschlüsseln und Gelder abzuschöpfen. Dies zeigt, welchen Einfluss Maschinenidentitäten haben, wenn sie in die falschen Hände geraten.
Die Untersuchungen von Venafi haben auch gezeigt, dass Angriffe von nordkoreanischen Bedrohungsgruppen – wie Lazarus – oft finanzieller Natur sind. Cyberkriminelle Aktivitäten sind zu einem wesentlichen Bestandteil der Finanzierung des nordkoreanischen Staates geworden und ermöglichen, internationale Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren. Nordkoreanische APT-Gruppen haben zahllose Cyberangriffe in über 30 Ländern durchgeführt, wobei das Volumen der Aktivitäten seit 2017 Berichten zufolge um 300 Prozent gestiegen ist. Die Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation. Seit Januar 2020 haben nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, dem Großbritannien, der Ukraine und den Vereinigten Staaten angegriffen.
Die Verwendung von Code-Signing-Maschinenidentitäten macht es besonders schwer die Attacken der APT abzuwehren. Durch den Diebstahl von Code-Signatur-Maschinenidentitäten sind nordkoreanische Cyberkriminelle in der Lage, ihre eigene Schadsoftware als legitime Software eines echten Entwicklers auszugeben. Außerdem können sie damit verheerende Angriffe auf die Lieferkette durchführen. Das Problem ist, dass es derzeit nicht genügend Bewusstsein und Sicherheit für die Bedeutung von Maschinenidentitäten gibt. Dieser Mangel an Aufmerksamkeit ermöglicht es nordkoreanischen Cyberkriminellen, einen ernsthaften blinden Fleck in der Software-Lieferkette auszunutzen.
Jedes Unternehmen, dass ein finanziell lohnendes Ziel bietet, wird deshalb auf kurz oder lang angegriffen werden. Ohne eine bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen, um die Taktiken nordkoreanischer Cyberkrimineller zu bekämpfen, werden diese Bedrohungen nur noch schlimmer werden, und andere globale Parias werden ihre eigenen Möglichkeiten erkennen. Da Gruppen wie Lazarus immer wieder Maschinenidentitäten ausnutzen, sollten Unternehmen eine Kontrollebene für die Verwaltung von Maschinenidentitäten einrichten. Dadurch erhalten sie den nötigen Einblick, die Konsistenz und die Belastbarkeit, die sie benötigen, um das Risiko von Sicherheitsverstößen zu reduzieren.
