Cyber-Angriff
Cyber-Angriff auf JumpCloud – Die Spur führt zu Bedrohungsakteuren aus Nordkorea
Der Cloud-basierte IT-Verwaltungsdienst JumpCloud hat kürzlich Details aus der Untersuchung der Kompromittierung in sein Netzwerk veröffentlicht. Zusammen mit den aktualisierten Details teilte das Unternehmen auch eine Liste der zugehörigen Kompromittierungsindikatoren (IOCs) mit, die auf einen ungenannten „hochentwickelten, vom Staat gesponserten Bedrohungsakteur" schließen lassen.
Die Überprüfung der neu veröffentlichten Kompromittierungsindikatoren durch SentinelLabs , die Forschungsabteilung von SentinelOne, hat ergeben, dass es sich bei der Gruppe um eine vom nordkoreanischen Staat gesponserte APT (Advance Persistent Threat) handelt. Die IOCs sind mit einer Vielzahl von Aktivitäten verknüpft, die wir der DVRK zuschreiben, die insgesamt auf die Lieferkette abzielen, wie sie in früheren Kampagnen beobachtet wurde.
Analyse der Infrastruktur
Auf der Grundlage der bereitgestellten IOCs konnten die Security-Forscher die Infrastruktur des Bedrohungsakteurs analysieren. Durch die Darstellung der Infrastruktur bestehend aus den Domänen und IP-Adressen, ist es möglich, die Verbindungen zwischen den verschiedenen IP-Adressen aufzuzeigen und verschiedene Muster zu erkennen.
Es ist nicht ratsam, Warnungen nur für eine bestimmte IP-Adresse auszulösen, da es sich um einen gemeinsam genutzten Hosting-Server für viele Domänen handelt und nicht um einen Indikator für böswillige Aktivitäten an sich. Der vom betroffenen Unternehmen freigegebene Indikator beherbergt keine der veröffentlichten Domänen, aber es wurde eine ähnliche entdeckt, die erst kürzlich von GitHub im Zusammenhang mit einer eigenen Warnung freigegeben wurde. Ausgehend von den öffentlichen Details, die zu diesem Zeitpunkt verfügbar sind, ist unklar, ob die GitHub-Warnung auf diesen aktuellen Vorfall zurückgeht oder ob es sich um separate Bemühungen desselben Angreifers handelt.
Auch wenn das allein kein starker Indikator für eine Zuordnung ist, ist es doch bemerkenswert, dass bestimmte Muster in der Art und Weise, wie die Domains aufgebaut und verwendet werden, anderen von SentinelLabs verfolgten Kampagnen mit Nordkorea-Bezug ähneln. Es gibt Indikatoren, bei denen eine Verbindung zu den Akteuren vermutet wird, die aber zum jetzigen Zeitpunkt noch nicht verifiziert wurden. Anhand des Profils der mit dieser Kompromittierung und der GitHub-Sicherheitswarnung verbundenen Infrastruktur können weitere mit der Bedrohung verbundene Aktivitäten ermitteln werden. So lassen sich beispielsweise eindeutige Verbindungen zu anderen NPM- und „Paket"-bezogenen Infrastrukturen erkennen, die wir mit hohem bis mittlerem Vertrauen in Verbindung bringen.
Ausblick
Es ist offensichtlich, dass nordkoreanische Bedrohungsakteure ständig neue Methoden zur Infiltration von Zielnetzwerken erforschen und entwickeln. Die Kompromittierung von JumpCloud ist ein klarer Beleg für ihre Vorliebe für gezielte Angriffe auf die Lieferkette, die eine Vielzahl potenzieller weiterer Angriffe nach sich ziehen. Die Bedrohungsakteure aus Nordkorea zeigen ein tiefes Verständnis für die Vorteile, die sich aus der sorgfältigen Auswahl hochwertiger Ziele als Dreh- und Angelpunkt für die Durchführung von Angriffen auf die Lieferkette kritischer Netzwerke ergeben. Es ist also auch in Zukunft mit einer steigenden Anzahl und Qualität dieser hochentwickelten Cyberattacken zu rechnen.