{"id":224486,"date":"2019-10-31T10:47:12","date_gmt":"2019-10-31T09:47:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224486"},"modified":"2019-10-31T10:47:12","modified_gmt":"2019-10-31T09:47:12","slug":"malware-aus-nordkorea-in-indischem-atomkraftwerk-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/31\/malware-aus-nordkorea-in-indischem-atomkraftwerk-gefunden\/","title":{"rendered":"Malware aus Nordkorea in indischem Atomkraftwerk gefunden"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch eine kurze Meldung, die mir gestern bereits unter die Augen gekommen ist. In einem indischen Atomkraftwerk hat man auf den Rechnern Malware gefunden, die Nordkorea zugeschrieben wird. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/6846978019844fd293f6e4dfe4a017df\" width=\"1\" height=\"1\"\/>Bisher war es so, dass mutma\u00dfliche Hacker aus Nordkorea keine Kraftwerke mit Malware infiltriert haben. Deren Interesse galt einmal Cyber-Spionage, mit der Diplomaten ausgeforscht werden sollen. Und es gab Hacks von Banken oder Crypto-B\u00f6rsen, um dem Regime in Nordkorea Devisen zuzuschanzen. Jetzt berichtet Catalin Cimpanu in nachfolgendem Tweet von einem neuen Vorfall. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">India confirms the discovery of North Korean malware on the network of one of its nuclear power plants<\/p>\n<p>Took a while to confirm this, but here's what appears to have happened (thread)<a href=\"https:\/\/t.co\/KEHRErH6Lc\">https:\/\/t.co\/KEHRErH6Lc<\/a> <a href=\"https:\/\/t.co\/NCUdZjRRK9\">pic.twitter.com\/NCUdZjRRK9<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1189514293085114368?ref_src=twsrc%5Etfw\">October 30, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Das Netzwerk eines der indischen Kernkraftwerke wurde mit Malware infiziert, die mutma\u00dflich von staatlich gef\u00f6rderten Hackern Nordkoreas entwickelt wurde. Die Infektion ist inzwischen von der Nuclear Power Corporation of India Ltd (NPCIL) best\u00e4tigt. Die ersten Informationen kamen vom ehemaligen indischen Sicherheitsforschers Pukhraj Singh. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">So, it's public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. <a href=\"https:\/\/t.co\/rFaTeOsZrw\">https:\/\/t.co\/rFaTeOsZrw<\/a> <a href=\"https:\/\/t.co\/OMVvMwizSi\">pic.twitter.com\/OMVvMwizSi<\/a><\/p>\n<p>\u2014 Pukhraj Singh (@RungRage) <a href=\"https:\/\/twitter.com\/RungRage\/status\/1188853620541775872?ref_src=twsrc%5Etfw\">October 28, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Pukhraj Singh, ehemaliger Sicherheitsanalyst der indischen National Technical Research Organization (NTRO), wies darauf hin, dass ein k\u00fcrzlich erfolgter VirusTotal-Upload tats\u00e4chlich mit einer Malware-Infektion am KNPP verbunden war. Das K\u00fcrzel KNPP steht f\u00fcr das indische Kernkraftwerk Kudankulam.<\/p>\n<p>Vor einigen Tagen gab es wohl schon einen Abschaltung des Kernkraftwerks, wobei der Betreiber dort einen Zusammenhang mit Malware dementierte. Inzwischen gibt es eine <a href=\"https:\/\/de.scribd.com\/document\/432687853\/NPCIL-statement\" target=\"_blank\" rel=\"noopener noreferrer\">offizielle Best\u00e4tigung<\/a> vom 30. Oktober 2019. Die Malware wurde am 4. September 2019 entdeckt. <\/p>\n<p>Catalin Cimpanu hat die Details in <a href=\"https:\/\/www.zdnet.com\/article\/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem ZDNet-Artikel<\/a> zusammen getragen. Die gefundene Malware enthielt fest kodierte Zugangsdaten f\u00fcr das interne Netzwerk von KNPP. Das deutet darauf hin, dass die Malware speziell f\u00fcr die Verbreitung und den Betrieb im IT-Netzwerk des Kraftwerks kompiliert wurde. Aktuell scheint die Malware aber eine Art Keylogger zu sein. Die DTrack-Malware sammelt, laut <a href=\"https:\/\/securelist.com\/my-name-is-dtrack\/93338\/\" target=\"_blank\" rel=\"noopener noreferrer\">Kasperski<\/a> folgende Daten:<\/p>\n<ul>\n<li>Keylogging,  <\/li>\n<li>Abrufen des Browser-Verlaufs,  <\/li>\n<li>Erfassen von Host-IP-Adressen, Informationen \u00fcber verf\u00fcgbare Netzwerke und aktive Verbindungen,  <\/li>\n<li>listet alle laufenden Prozesse auf,  <\/li>\n<li>listet alle Dateien auf allen verf\u00fcgbaren Festplattenvolumes auf.<\/li>\n<\/ul>\n<p>Die Malware soll also m\u00f6glichst viele Informationen sammeln. Wie aus der Liste ersichtlich, wird Dtrack in der Regel zu Aufkl\u00e4rungszwecken und als Dropper f\u00fcr andere Malware-Nutzlasten eingesetzt. Fr\u00fchere Dtrack-Versionen wurden in der Regel bei politisch motivierten Cyberspionage-Operationen und bei Angriffen auf Banken entdeckt. Es gibt wohl eine modifizierte Variante AMTDtrack, die ebenfalls letzten Monat entdeckt wurde. Der KNPP-Vorfall, schreibt ZDNet, sieht eher wie eine versehentliche Infektion aus, als wie eine gut geplante Operation. Kaspersky hatte letzten Monat eine Malware-Kampagne aus Nordkorea aufgedeckt, die vor allem auf indische Banken zielte (siehe <a href=\"https:\/\/www.zdnet.com\/article\/new-north-korean-malware-targeting-atms-spotted-in-india\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen ZDNet-Artikel<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kurze Meldung, die mir gestern bereits unter die Augen gekommen ist. In einem indischen Atomkraftwerk hat man auf den Rechnern Malware gefunden, die Nordkorea zugeschrieben wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-224486","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224486"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224486\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}