Noch eine kurze Meldung, die mir gestern bereits unter die Augen gekommen ist. In einem indischen Atomkraftwerk hat man auf den Rechnern Malware gefunden, die Nordkorea zugeschrieben wird.
Anzeige
Bisher war es so, dass mutmaßliche Hacker aus Nordkorea keine Kraftwerke mit Malware infiltriert haben. Deren Interesse galt einmal Cyber-Spionage, mit der Diplomaten ausgeforscht werden sollen. Und es gab Hacks von Banken oder Crypto-Börsen, um dem Regime in Nordkorea Devisen zuzuschanzen. Jetzt berichtet Catalin Cimpanu in nachfolgendem Tweet von einem neuen Vorfall.
India confirms the discovery of North Korean malware on the network of one of its nuclear power plants
Took a while to confirm this, but here's what appears to have happened (thread)https://t.co/KEHRErH6Lc pic.twitter.com/NCUdZjRRK9
— Catalin Cimpanu (@campuscodi) October 30, 2019
Das Netzwerk eines der indischen Kernkraftwerke wurde mit Malware infiziert, die mutmaßlich von staatlich geförderten Hackern Nordkoreas entwickelt wurde. Die Infektion ist inzwischen von der Nuclear Power Corporation of India Ltd (NPCIL) bestätigt. Die ersten Informationen kamen vom ehemaligen indischen Sicherheitsforschers Pukhraj Singh.
So, it's public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. https://t.co/rFaTeOsZrw pic.twitter.com/OMVvMwizSi
— Pukhraj Singh (@RungRage) October 28, 2019
Anzeige
Pukhraj Singh, ehemaliger Sicherheitsanalyst der indischen National Technical Research Organization (NTRO), wies darauf hin, dass ein kürzlich erfolgter VirusTotal-Upload tatsächlich mit einer Malware-Infektion am KNPP verbunden war. Das Kürzel KNPP steht für das indische Kernkraftwerk Kudankulam.
Vor einigen Tagen gab es wohl schon einen Abschaltung des Kernkraftwerks, wobei der Betreiber dort einen Zusammenhang mit Malware dementierte. Inzwischen gibt es eine offizielle Bestätigung vom 30. Oktober 2019. Die Malware wurde am 4. September 2019 entdeckt.
Catalin Cimpanu hat die Details in diesem ZDNet-Artikel zusammen getragen. Die gefundene Malware enthielt fest kodierte Zugangsdaten für das interne Netzwerk von KNPP. Das deutet darauf hin, dass die Malware speziell für die Verbreitung und den Betrieb im IT-Netzwerk des Kraftwerks kompiliert wurde. Aktuell scheint die Malware aber eine Art Keylogger zu sein. Die DTrack-Malware sammelt, laut Kasperski folgende Daten:
- Keylogging,
- Abrufen des Browser-Verlaufs,
- Erfassen von Host-IP-Adressen, Informationen über verfügbare Netzwerke und aktive Verbindungen,
- listet alle laufenden Prozesse auf,
- listet alle Dateien auf allen verfügbaren Festplattenvolumes auf.
Die Malware soll also möglichst viele Informationen sammeln. Wie aus der Liste ersichtlich, wird Dtrack in der Regel zu Aufklärungszwecken und als Dropper für andere Malware-Nutzlasten eingesetzt. Frühere Dtrack-Versionen wurden in der Regel bei politisch motivierten Cyberspionage-Operationen und bei Angriffen auf Banken entdeckt. Es gibt wohl eine modifizierte Variante AMTDtrack, die ebenfalls letzten Monat entdeckt wurde. Der KNPP-Vorfall, schreibt ZDNet, sieht eher wie eine versehentliche Infektion aus, als wie eine gut geplante Operation. Kaspersky hatte letzten Monat eine Malware-Kampagne aus Nordkorea aufgedeckt, die vor allem auf indische Banken zielte (siehe diesen ZDNet-Artikel).
Anzeige
„Na bumm" (hoffentlich nicht!)
Wenn man sowas liest, wird einem ganz anders…
Das Sicherheitsbewusstsein scheint hier besonders hoch zu sein:
Ukraine: Mitarbeiter schürften Bitcoins im Atomkraftwerk
spiegel.de/netzwelt/netzpolitik/ukraine-mitarbeiter-schuerften-bitcoins-im-atomkraftwerk-a-1283488.html
Was kann da schon schief gehen…
Das Wort "Regime" wird gern von kapitalistischen Medien zur Diskriminierung freier Staaten genutzt. Es sollte in einem Premium (IT) Block unterlassen werden. Es stellt eine, noch dazu falsche, Wertung des freien Volkes von Nordkorea da. Da es nicht USA hörig ist, wird es als "Regime" bezeichnet. Wir sollten uns nicht anmaßen, unsere komischen Wertevorstellungen zu globalisieren!
"Es stellt eine, noch dazu falsche, Wertung des freien Volkes von Nordkorea da."
Ziemlich starker Tobak.
Regime steht für totalitäre, diktatorische Führung. Eure komischen Wertvorstellungen interessiert nur prism.
Schau dir die Definition von Regime auf Wikipedia und im Duden an. Der Begriff hat zwar eine negative Konnotation, trifft aber auf die gegenwärtige Regierungsform dieses Staates zu.
Deine Ausführungen zum 'freien Volk' empfinde ich persönlich als recht krude – so dass ich direkt nachgesehen habe, ob da eine politische Sockenpuppe hinter steckt. Scheint nicht dar Fall zu sein – daher bleibt der Kommentar als Meinungsäußerung stehen – wird von mir aber nicht gebilligt.
Ansonsten gleitet mir die Diskussion hier zu arg vom Thema ab. Ich hatte erwartet, dass die übliche Kritik 'woher weiß man, dass es NK ist' erwartet. Das es jetzt aber schon um Konnotationen geht, führt explizit zu weit vom Thema des Beitrags weg und hat imho hier im Blog auch nichts zu suchen.
schon.
Aber wenn etwas nicht so genau zuortenbar ist, ist es eigentlich immer NK – oder wahlweise Russland. Im Nachhinein wird dann gern sukzessive "erkannt", dass doch zB. mossad oder us-Orgas dahinterstecken – na sowas.
= Genauso krude. bzw. ein bequemer Sündenbock für die westl. Welt.
Bloß, glaubwürdiger wird dadurch nichts.
Das einzige, was wahrscheinlich zunächst wirklich stimmt, ist, dass "die Malware also möglichst viele Informationen sammeln soll " – quel surprise…
Eine wahrscheinlich wirklich wahre Geschichte.
Was war eigentlich nochmal der schlüssige Grund, warum die IT-Infrastruktur eines Atomkraftwerks ÜBERHAUPT am Internet hängt?
… fürs Home-Office, damit Mitarbeiter vom Sofa im Wohnzimmer das Atomkraftwerk steuern können … Es gibt sogar einen Schulungsfilm mit Homer Simpson, der zeigt, wie toll das ist: https://en.wikipedia.org/wiki/King-Size_Homer – Abgesehen davon, ziemlich verrückt, ein AKW ans Internet zu hängen …
Atomkraftwerke hängen zwar nicht am Internet, es gibt aber immer wieder Schlaumeier, die das versuchen.
wo soll ein akw denn sonst hängen wenn nicht am darpanet?! genau wie der folterknast in den usa, der us-präsident, die mittelklassehacker die ein akw als c&c server zweckentlehnen, lockheeds black budget waffenschmiede skunkworks, ich und du.
Vielleicht greifen die so auf einen NTP-Server zu? Ist halt bequem.