Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsThallium: Microsoft stoppt nordkoreanischen Hackerangriff
Durch die Abschaltung von 50 Domains hat Microsoft einen Hackerangriff gestoppt, der sich gegen Regierungsmitarbeiter, Menschenrechtsorganisationen und Bildungseinrichtungen in den USA, Japan und Südkorea gerichtet hat. Auch Personen, die sich beruflich mit der Verbreitung von Atomwaffen befassen, sollen Ziele gewesen sein.
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
@Molokai,
auf IP, Standort und Hacker trifft die mögliche Ungenauigkeit zu. Denke aber, dass die 50 Domains, die darauf laufenden Websites und Kommunikation von Schadsoftware mit eben diesen Domains leicht zu 100% nachgewiesen werden können.
Wäre natürlich schöner wenn Rechtstreits dieser Art international von einer NGO/NPO (z.B. ICANN) bestritten werden könnten. Internationale WWW-Blacklists würden dann ggf. auch die Gemüter gegen die Big Players nicht so erhitzen.
Wie erfolgt die Zuordnung von Hacker/Gruppen zu Ländern eigentlich generell?
Ich gehe mal davon aus das "echte" Hacker ohne TOR oder VPN sich nicht über ihre Ziele hermachen, wenn selbst Otto-Normal-Computer-Fans wie wir das tun, nur um normal zu surfen. Für Grauzonenaktivitäten wie Netflix nicht aus Deutschland, sondern einem preiswerteren Land zu beziehen, lernen sogar ganz normale Leute wie das mit VPN so funktioniert.
Wie bekommt man also raus wo es wirklich her kam?
Das mit der Code-Analyse erschließt sich mir auch nicht ganz. Gerade Blackhat's werden doch auf Copyright pfeifen und alles was gut funktioniert kopieren, also nur weil vor einem Jahr ein ähnlicher Trojaner von Land X kam, wer sagt das der nächste mit gleicher Funktionsweise nicht aus Land Y stammt?
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
jaein, die Leute dort machen auch mal Fehler
Und bei einem dieser konnten die Datenströme bis nach Nordkorea zurück verfolgt werden (gleiches gilt für Russland)
außerdem merkt man ja bei der Analyse von Programmen bestimmte Vorlieben sodass man den Code ganz gut Gruppen zu ordnen kann
Ungefähr so wie bei einer Handschrift Erkennung
Dennoch sind Zweifel nicht unbegründet: Gerade wenn es sich um "staatlich geförderte" Hackergruppen handeln soll, darf man davon ausgehen, daß sich diese nicht derartige Fehler leisten, mit denen irgendwelche Datenströme bis ins Ursprungsland zurückverfolgbar sind. Das dürften keine Scriptkiddies sein. Fehler können natürlich dennoch passieren.
Interessant ist außerdem folgender Gedanke bzw Fragestellung: Wenn wir hier gar nichts über amerikanische staatlich geförderte Hackergruppen lesen, die andere Länder und Institutionen angreifen oder ausspionieren, bedeutet das, es gibt sie nicht? Oder daß sie derart professionell sind, daß der böse Feind gar nichts davon mitbekommt?
jaein, die Leute dort machen auch mal Fehler
Und bei einem dieser konnten die Datenströme bis nach Nordkorea zurück verfolgt werden (gleiches gilt für Russland)
@ComputerBase Ich finde es sehr gut das Ihr das hier im Blick habt und somit einen sinnlosen Troll/Verschwörungs/Was auch immer Thread vermeidet!
Aber mich würde es auch brennend interessieren woran Microsoft es fest macht, das der Datenstrom in Nordkorea endet?
Ich meine es würde ja zum derzeitigen (politischen) Bild passen, aber ist es auch richtig?
Naja, Microsoft dürfte durch die Kombination aus Betriebssystemen, Servern und zentralen Serverfarmen am ehesten in der Lage sein, Angriffsmuster und Routen zu identifizieren.
Gegebenenfalls werden die Daten auch Behörden weitergeleitet, die dann noch die weiteren Daten der Internetknotenpunkte liefern. Microsoft kooperiert doch dahin gehend oft mit den lokalen Behörden aka FBI und BKA.
Ist ja in solchen Fällen auch durchaus richtig und vernünftig so.
Hat man 50 Domains nicht eigentlich recht schnell wieder erstellt? Also wie hoch ist jetzt überhaupt der Schaden für den Angreifer, bzw. wie wirksam die Schließung von 50 Domains?
Ich gehe mal davon aus das "echte" Hacker ohne TOR oder VPN sich nicht über ihre Ziele hermachen, wenn selbst Otto-Normal-Computer-Fans wie wir das tun, nur um normal zu surfen. Für Grauzonenaktivitäten wie Netflix nicht aus Deutschland, sondern einem preiswerteren Land zu beziehen, lernen sogar ganz normale Leute wie das mit VPN so funktioniert.
Staatlich organisierte Angreifer nutzen in der Regel andere Wege, da Sie keine Strafrechtlichen Konsequenzen fürchten müssen und auf ein anderes Budget sowie Ziel zugreifen. Natürlich gehen die auch nicht direkt über Nordkoreanische IPs raus. Die werden vermutlich irgendwo über gemietete Infrastruktur starten und dann über kompromittierte Server/Hosts weiter gehen.
Sowas lässt sich zurückverfolgen. Natürlich ist das Aufwendig und es gibt auch durchaus eine gewisse Fehlerquote dabei.
Zum Thema Tor u. VPN: Das verspricht nur auf den ersten Blick absolute Sicherheit. Bei VPN Providern ist eine staatliche Überwachung auf Anfrage der Behörden jederzeit möglich. Zusätzlich sind auch solche Provider Angriffen auf Infrastruktur ausgesetzt. Gab es da nicht einen heftigen Fall bei NordVPN?
Bei Tor ist zum einen die Performance sehr schlecht und selbst da, gab es in der Vergangenheit immer wieder Fälle wo staatlichen Institutionen eine Überwachung gelungen ist.
Im Hinterkopf sollte man aber auch haben das die Zuordnung solcher Angriffe schwierig ist, da IP Adressen und Code, wenn vorhanden nicht hunderprozentig zugeordnet werden können und es sich auch um Absicht handeln kann um ein Land oder Gruppe zu schmähen.
Das spielt für die Übernahme rechtswidrig und missbräuchlich genutzter Domains glücklicherweise keine Rolle. Microsoft ist ein Unternehmen und keine Strafverfolgungsbehörde.
Die Personen, die diese Domains ursprüngliche registrierten, können sich ja beim zuständigen Gericht oder bei Microsoft melden und ihre vermeintlichen Ansprüche geltend machen. Dann hättest du deine Verursacher.
Hast du den Artikel überhaupt gelesen? Hier bauten Unbekannte (vermutlich Nordkoreaner) urheberrechtlich geschützte Webseiteninhalte von Microsoft auf für Phishing-Zwecke eingerichtete Domains nach. Microsoft klagte auf Herausgabe der Domains und da Mindermaßnahmen (Abuse-Nachricht) wohl keinen Erfolg brachten, urteilte ein Richter in diesem Sinne.
Ich glaube derjenige der den "Staatstrojaner" für Korea KimJongRAT nennen würde, würde schneller umgebracht als ihm lieb ist. Ich bezweifle das hier Nordkorea hinter steht. Allgemein ist es quasi unmöglich nach einem Hack eine Hackergruppe zu benennen, das Land das dahinter steht. Das sind alles nur Mutmaßungen, die die Hacker selbst implementiert haben könnten um zu verschleiern oder die Aufmerksamkeit auf andere zu lenken.
Hier müsste man schon die Hacker vor Ort erwischen und festnehmen und verhören um Klarheit zu schaffen.
