In einer besorgniserregenden Wendung der internationalen Cyber-Spionageaktivitäten hat die nordkoreanische Advanced Persistent Threat (APT) Gruppe Konni begonnen, gezielte Cyberangriffe auf ukrainische Regierungsinstitutionen auszuführen. Die Angriffe zielen darauf ab, präzise Informationen über den Verlauf der russischen Invasion in der Ukraine zu sammeln. Dies wurde durch Untersuchungen des renommierten Cybersicherheitsunternehmens Proofpoint bekannt, das die Hintergründe und Methoden der Kampagne detailliert analysierte und öffentlich machte. Die Aktivitäten der Gruppe zeigen, wie digitale Spionage und geopolitische Interessen ineinandergreifen und wie moderne Konflikte zunehmend durch das Mittel der Cybersicherheit beeinflusst werden. Die Zielsetzung der Kampagne geht über die üblichen staatlichen Rivalitäten hinaus und ist Ausdruck eines globalen Machtspiels, das neue Dimensionen erreicht hat.
Konni APT, auch bekannt unter Bezeichnungen wie Opal Sleet, Osmium oder TA406, ist seit mindestens 2014 aktiv und besitzt ein komplexes Portfolio an Cyber-Spionagewerkzeugen. Die Gruppe ist bekannt dafür, Regierungen und kritische Infrastrukturen in Ländern wie Südkorea, den Vereinigten Staaten und Russland anzugreifen, wobei das Hauptaugenmerk stets auf der Erlangung strategisch bedeutender Informationen liegt. Die jüngsten Aktivitäten gegen die Ukraine markieren eine Verschiebung innerhalb der Zielgruppen der Gruppe, da sie nun direkt von den Auswirkungen des bewaffneten Konflikts profitieren möchte. Der Angriff erfolgt hauptsächlich über eine ausgeklügelte Phishing-Kampagne, bei der gefälschte E-Mails verwendet werden, die angeblich von einem vermeintlichen Senior Fellow eines nicht existierenden Think Tanks, dem Royal Institute of Strategic Studies, stammen. Diese E-Mails beinhalten Links zu passwortgeschützten RAR-Archiven, die auf der Cloud-Plattform MEGA gehostet werden.
Die Zugangsdaten zum Entpacken der Archive sind direkt in den Nachrichten enthalten, was potenziellen Opfern initial eine gewisse Legitimität suggeriert und dazu verleitet, diese zu öffnen. Im Inneren des Archives befindet sich eine CHM-Datei (Compiled HTML Help-Datei), die für den Empfänger täuschend echte Inhalte zum ehemaligen ukrainischen Militärführer Valeriy Zaluzhnyi anzeigt. Diese Ablenkung dient dem Zweck, das Vertrauen des Opfers zu gewinnen und das Ausführen der bösartigen PowerShell-Befehle, die in der HTML-Datei eingebettet sind, auszulösen. Sobald ein Opfer irgendwo auf der Seite klickt, aktiviert ein versteckter PowerShell-Befehl eine Kommunikation mit einem externen Command-and-Control Server, von wo aus ein weiteres PowerShell-Skript heruntergeladen und ausgeführt wird. Dieses Skript führt umfangreiche Aufklärungsbefehle auf dem kompromittierten System aus, sammelt wertvolle Systeminformationen, kodiert sie mittels Base64 und sendet sie zurück an die Angreifer.
Die Kampagne zeichnet sich auch durch eine beharrliche Nachverfolgung der potenziellen Opfer aus. Wurde die in der erste Email enthaltene Schadsoftware nicht heruntergeladen oder geöffnet, wurden an den gleichen Empfänger an aufeinanderfolgenden Tagen Folge-E-Mails geschickt, die beharrlich an die Reaktion erinnern und eine Öffnung einfordern. Neben der durch das RAR-Archiv initiierten Angriffsmethode hat Proofpoint auch eine Variante mit direkt als Anhang versandten HTML-Dateien dokumentiert. Bei diesem Verfahren wird der Benutzer aufgefordert, auf einen Link innerhalb der HTML-Datei zu klicken, was zur Herunterladung eines ZIP-Archivs führt. Dieses enthält zum einen eine scheinbar harmlose PDF-Datei und zum anderen eine Windows-Verknüpfungsdatei (.
LNK), die bei Ausführung ein Base64-kodiertes PowerShell-Skript startet. Dieses Skript legt eine als Visual Basic Script verpackte JavaScript Encoded Datei namens "Themes.jse" ab, welche wiederum eine Verbindung zu einer vom Angreifer kontrollierten URL aufbaut und die erhaltenen Befehle über PowerShell ausführt. Über die genaue Funktionalität dieser zweiten Payload liegen zwar noch keine vollständigen Informationen vor, doch die Architektur deutet auf einen ausgeklügelten, mehrstufigen Infektionsprozess hin, der eine langfristige Kontrolle über das Zielsystem ermöglichen dürfte. Ein weiterer Aspekt der Kampagne ist die Verwendung von Phishing-Mails, die als vermeintliche Microsoft-Sicherheitswarnungen getarnt sind.
Diese E-Mails wurden von ProtonMail-Konten an ukrainische Regierungsstellen gesendet und warnten vor verdächtigen Anmeldeversuchen, insbesondere aus IP-Adressen aus den USA. Diese Dekoration zielt klar darauf ab, Opfer zur Eingabe ihrer Zugangsdaten auf gefälschten Anmeldeseiten zu verleiten, um so Zugang zu vertraulichen Informationen zu gewinnen. Obwohl Proofpoint die entsprechende Seite nicht zurückverfolgen konnte, ist bekannt, dass dieselbe kompromittierte Domain in der Vergangenheit verwendet wurde, um Login-Daten von Naver, einem großen südkoreanischen Internetportal, zu stehlen. Die chronologisch vorangestellten Phishing-Angriffe zur Abgreifung von Anmeldedaten sind wohl Teil einer umfassenderen Informationsbeschaffungskampagne, durch die TA406 das Lagebild über den Konflikt und die politischen Entwicklungen in der Region ergänzen will. Die Motivation hinter diesen gezielten Angriffen ist nach Einschätzung von Experten klar: Nordkorea will mittels Cyber-Spionage präzise Erkenntnisse über die Entwicklung des russischen Militäreinsatzes gewinnen und so frühzeitig einschätzen können, ob Russland zusätzlichen militärischen Rückhalt oder Nachschub fordern wird.
Diese Informationen sind für die strategische Planung und die Sicherheitsbewertung der eigenen Kräfte im Konfliktgebiet von hoher Bedeutung. Im Gegensatz zu russischen APT-Gruppen, die tendenziell taktische Informationen direkt vom Schlachtfeld sammeln, konzentrieren sich die nordkoreanischen Akteure typischerweise auf strategische und politische Informationen. Sie zielen also eher darauf ab, das größere Bild zu zeichnen und politische Entwicklungen besser einzuschätzen als unmittelbar militärische Operationen zu beeinflussen. Die Entdeckung der Konni-Angriffe auf die Ukraine reiht sich ein in eine breite Palette von Aktivitäten nordkoreanischer Cybergruppen, die seit Jahren Südkorea und andere relevante Staaten ins Visier nehmen. Neben Konni ist insbesondere die Gruppe Kimsuky bekannt, die wiederholt komplexe mehrstufige Malware-Infektionen orchestriert.
Hierbei kommen ZIP-Archive mit LNK-Dateien zum Einsatz, die über Powershell-Skripte zusätzliche Schadsoftware ausrollen, um sensible Daten auszuspähen und an Hacking-Server zu exfiltrieren. Kimsuky ist beispielsweise für den Einsatz der als PEBBLEDASH bekannten Trojanerfamilie bekannt, welche in einer mehrstufigen Infektionssequenz unterwegs ist. Die US-Regierung führt PEBBLEDASH auf die nordkoreanische Lazarus-Gruppe zurück, die zusammen mit ihren verschiedenen Ablegern seit Jahren für eine Reihe hochkarätiger Cyberangriffe verantwortlich ist. Während Kimsuky vor allem Südkorea und seine Regierungsstellen im Fokus hat, zeigt die jüngste Konni-Kampagne eine geografische Ausdehnung der nordkoreanischen Spionageaktivitäten, die nun auch die Ukraine erreicht hat. Darüber hinaus sind weitere nordkoreanische APT-Gruppen wie APT37 beziehungsweise ScarCruft aktiv, die ebenfalls komplexe Phishing-Angriffe gegen Südkorea fahren.
So etwa die Operation ToyBox Story, die aktivistischen Gruppen, welche sich mit Nordkorea beschäftigen, als Ziel auswählte. Die in diesem Kontext eingesetzten Schadprogramme nutzen modernste Techniken, darunter dateilose Angriffe, die Antivirus-Erkennung erschweren, und verwenden seriöse Cloud-Dienste wie Dropbox, Yandex oder pCloud als Kommando- und Kontrollinfrastruktur. Die Entwicklung zeigt, wie Cyberangriffe heute zunehmend als Teil hybrider Konflikte verstanden werden müssen, bei denen Kriegsschauplätze nicht nur physisch, sondern auch digital sind. Die Angriffe der nordkoreanischen Konni-Gruppe verdeutlichen die transnationale Reichweite von Cyberbedrohungen sowie die Bedeutung kontinuierlicher Wachsamkeit und Ausbau von Cybersicherheitsmaßnahmen innerhalb staatlicher Organisationen. Angesichts der sich zuspitzenden geopolitischen Lage im Raum Osteuropa erhöht sich auch die Wahrscheinlichkeit, dass solche aufwendigen Malware-Kampagnen sich weiter ausbreiten und verschärfen.
Unternehmen und Behörden weltweit müssen sich darauf einstellen, dass digitale Angriffe immer stärker mit realen militärischen und politischen Entwicklungen verknüpft sind und dadurch noch schwerer abzuwehren sind. Insgesamt zeigen die jüngsten Enthüllungen rund um Konni APT, wie die Kombination aus technisch ausgefeilter Malware, gezieltem Phishing und strategischer Informationsbeschaffung in der virtuellen Welt zu einem wichtigen Bestandteil moderner Konfliktführung geworden ist. Für die Bedrohten bedeutet dies eine ernsthafte Herausforderung, bei der präventive Cybersicherheitsstrategien, regelmäßige Schulungen und technologisch hochwertige Abwehrmechanismen essenziell sind, um Schäden durch solche Angriffe zu minimieren. Nur durch ein Verständnis der Vorgehensweisen und Motivationen der Angreifer können Sicherheitsverantwortliche angemessen reagieren und die digitale Souveränität ihrer Länder schützen.
