News Thallium: Microsoft stoppt nord­koreanischen Hacker­angriff

Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.

Frank

Chefredakteur
Teammitglied
Dabei seit
März 2001
Beiträge
6.515
Durch die Abschaltung von 50 Domains hat Microsoft einen Hackerangriff gestoppt, der sich gegen Regierungsmitarbeiter, Menschenrechtsorganisationen und Bildungseinrichtungen in den USA, Japan und Südkorea gerichtet hat. Auch Personen, die sich beruflich mit der Verbreitung von Atomwaffen befassen, sollen Ziele gewesen sein.

Zur News: Thallium: Microsoft stoppt nord­koreanischen Hacker­angriff
 

Molokai

Cadet 4th Year
Dabei seit
März 2009
Beiträge
67
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
 

floTTes

Lieutenant
Dabei seit
Okt. 2006
Beiträge
641
@Molokai,
auf IP, Standort und Hacker trifft die mögliche Ungenauigkeit zu. Denke aber, dass die 50 Domains, die darauf laufenden Websites und Kommunikation von Schadsoftware mit eben diesen Domains leicht zu 100% nachgewiesen werden können.

Wäre natürlich schöner wenn Rechtstreits dieser Art international von einer NGO/NPO (z.B. ICANN) bestritten werden könnten. Internationale WWW-Blacklists würden dann ggf. auch die Gemüter gegen die Big Players nicht so erhitzen.
 

Saint81

Ensign
Dabei seit
Feb. 2017
Beiträge
231
Wie erfolgt die Zuordnung von Hacker/Gruppen zu Ländern eigentlich generell?

Ich gehe mal davon aus das "echte" Hacker ohne TOR oder VPN sich nicht über ihre Ziele hermachen, wenn selbst Otto-Normal-Computer-Fans wie wir das tun, nur um normal zu surfen. Für Grauzonenaktivitäten wie Netflix nicht aus Deutschland, sondern einem preiswerteren Land zu beziehen, lernen sogar ganz normale Leute wie das mit VPN so funktioniert.

Wie bekommt man also raus wo es wirklich her kam?
Das mit der Code-Analyse erschließt sich mir auch nicht ganz. Gerade Blackhat's werden doch auf Copyright pfeifen und alles was gut funktioniert kopieren, also nur weil vor einem Jahr ein ähnlicher Trojaner von Land X kam, wer sagt das der nächste mit gleicher Funktionsweise nicht aus Land Y stammt?
 

w33werner

Lt. Junior Grade
Dabei seit
Okt. 2007
Beiträge
448
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
jaein, die Leute dort machen auch mal Fehler
Und bei einem dieser konnten die Datenströme bis nach Nordkorea zurück verfolgt werden (gleiches gilt für Russland)
außerdem merkt man ja bei der Analyse von Programmen bestimmte Vorlieben sodass man den Code ganz gut Gruppen zu ordnen kann
Ungefähr so wie bei einer Handschrift Erkennung
 

Marflowah

Lieutenant
Dabei seit
März 2018
Beiträge
916
Dennoch sind Zweifel nicht unbegründet: Gerade wenn es sich um "staatlich geförderte" Hackergruppen handeln soll, darf man davon ausgehen, daß sich diese nicht derartige Fehler leisten, mit denen irgendwelche Datenströme bis ins Ursprungsland zurückverfolgbar sind. Das dürften keine Scriptkiddies sein. Fehler können natürlich dennoch passieren.

Interessant ist außerdem folgender Gedanke bzw Fragestellung: Wenn wir hier gar nichts über amerikanische staatlich geförderte Hackergruppen lesen, die andere Länder und Institutionen angreifen oder ausspionieren, bedeutet das, es gibt sie nicht? Oder daß sie derart professionell sind, daß der böse Feind gar nichts davon mitbekommt?
 

Red-John

Lt. Commander
Dabei seit
Sep. 2014
Beiträge
1.584
@ComputerBase Ich finde es sehr gut das Ihr das hier im Blick habt und somit einen sinnlosen Troll/Verschwörungs/Was auch immer Thread vermeidet! :daumen:

Aber mich würde es auch brennend interessieren woran Microsoft es fest macht, das der Datenstrom in Nordkorea endet?
Ich meine es würde ja zum derzeitigen (politischen) Bild passen, aber ist es auch richtig?
 

Sun_set_1

Captain
Dabei seit
Sep. 2008
Beiträge
3.436
Naja, Microsoft dürfte durch die Kombination aus Betriebssystemen, Servern und zentralen Serverfarmen am ehesten in der Lage sein, Angriffsmuster und Routen zu identifizieren.

Gegebenenfalls werden die Daten auch Behörden weitergeleitet, die dann noch die weiteren Daten der Internetknotenpunkte liefern. Microsoft kooperiert doch dahin gehend oft mit den lokalen Behörden aka FBI und BKA.

Ist ja in solchen Fällen auch durchaus richtig und vernünftig so.
 

nervenjere

Ensign
Dabei seit
Sep. 2016
Beiträge
163
Interessant wäre ob nordkorea bei einem gleichen angriff aus den usa die domänen stillegen / beanspruchen kann, egal ob Staatlich oder nicht...

Is doch mehr als behindert, zb. jeder politische gegner kann ja dann als hacker diffamiert werden und die domain ist weg
 

eXtra

Lt. Commander
Dabei seit
Nov. 2010
Beiträge
1.773
Also eines muss man sagen: KimJongRAT ist der mit Abstand geilste Name eines Trojaners der mir bisher untergekommen ist. Respekt an den Namensgeber!
 

Luffy

Lt. Junior Grade
Dabei seit
Mai 2010
Beiträge
480
Highly likely
 

Aphelon

Commodore
Dabei seit
Okt. 2017
Beiträge
4.149
Hat man 50 Domains nicht eigentlich recht schnell wieder erstellt? Also wie hoch ist jetzt überhaupt der Schaden für den Angreifer, bzw. wie wirksam die Schließung von 50 Domains?
 

Nizakh

Commodore
Dabei seit
Juni 2010
Beiträge
4.101
Ich gehe mal davon aus das "echte" Hacker ohne TOR oder VPN sich nicht über ihre Ziele hermachen, wenn selbst Otto-Normal-Computer-Fans wie wir das tun, nur um normal zu surfen. Für Grauzonenaktivitäten wie Netflix nicht aus Deutschland, sondern einem preiswerteren Land zu beziehen, lernen sogar ganz normale Leute wie das mit VPN so funktioniert.
Staatlich organisierte Angreifer nutzen in der Regel andere Wege, da Sie keine Strafrechtlichen Konsequenzen fürchten müssen und auf ein anderes Budget sowie Ziel zugreifen. Natürlich gehen die auch nicht direkt über Nordkoreanische IPs raus. Die werden vermutlich irgendwo über gemietete Infrastruktur starten und dann über kompromittierte Server/Hosts weiter gehen.
Sowas lässt sich zurückverfolgen. Natürlich ist das Aufwendig und es gibt auch durchaus eine gewisse Fehlerquote dabei.

Zum Thema Tor u. VPN: Das verspricht nur auf den ersten Blick absolute Sicherheit. Bei VPN Providern ist eine staatliche Überwachung auf Anfrage der Behörden jederzeit möglich. Zusätzlich sind auch solche Provider Angriffen auf Infrastruktur ausgesetzt. Gab es da nicht einen heftigen Fall bei NordVPN?
Bei Tor ist zum einen die Performance sehr schlecht und selbst da, gab es in der Vergangenheit immer wieder Fälle wo staatlichen Institutionen eine Überwachung gelungen ist.
 

gaym0r

Commander
Dabei seit
Juli 2010
Beiträge
2.375
@Sun_set_1
Das erklärt aber immer noch nicht, woher die wussten, dass die Datenströme aus Nordkorea kamen. (TOR, VPN, Server im Ausland etc.)
 

resterudi

Ensign
Dabei seit
Apr. 2017
Beiträge
246
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
Du kannst davon ausgehen, dass Microsoft sehr wohl gründlich bei der Recherche war.
 

Crowbar

Commander
Dabei seit
Apr. 2012
Beiträge
2.112
Das spielt für die Übernahme rechtswidrig und missbräuchlich genutzter Domains glücklicherweise keine Rolle. Microsoft ist ein Unternehmen und keine Strafverfolgungsbehörde.
Die Personen, die diese Domains ursprüngliche registrierten, können sich ja beim zuständigen Gericht oder bei Microsoft melden und ihre vermeintlichen Ansprüche geltend machen. Dann hättest du deine Verursacher.
 
Zuletzt von einem Moderator bearbeitet:

Crowbar

Commander
Dabei seit
Apr. 2012
Beiträge
2.112
Hast du den Artikel überhaupt gelesen? Hier bauten Unbekannte (vermutlich Nordkoreaner) urheberrechtlich geschützte Webseiteninhalte von Microsoft auf für Phishing-Zwecke eingerichtete Domains nach. Microsoft klagte auf Herausgabe der Domains und da Mindermaßnahmen (Abuse-Nachricht) wohl keinen Erfolg brachten, urteilte ein Richter in diesem Sinne.
 
Zuletzt von einem Moderator bearbeitet:

Julz2k

Lt. Commander
Dabei seit
Dez. 2010
Beiträge
1.057
Ich glaube derjenige der den "Staatstrojaner" für Korea KimJongRAT nennen würde, würde schneller umgebracht als ihm lieb ist. Ich bezweifle das hier Nordkorea hinter steht. Allgemein ist es quasi unmöglich nach einem Hack eine Hackergruppe zu benennen, das Land das dahinter steht. Das sind alles nur Mutmaßungen, die die Hacker selbst implementiert haben könnten um zu verschleiern oder die Aufmerksamkeit auf andere zu lenken.
Hier müsste man schon die Hacker vor Ort erwischen und festnehmen und verhören um Klarheit zu schaffen.
 
Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Top