Dissecting Operation Troy: Südkorea war offenbar jahrelang in Hacker-Händen

Am 20. März 2013 hatte eine massive Cyberattacke Banken und Unternehmen in Südkorea getroffen und dabei rund 30.000 Rechner gelöscht. Der zunächst „Dark Seoul“ benannte Angriff verursachte erhebliche Schäden und legte weite Teile der Finanzabwicklung lahm. Das ist offenbar aber noch nicht alles. Ein aktuelles McAfee-Whitepaper nennt Indizien dafür, dass die Hacker schon zuvor Zugriff auf die Daten hatten.

Die spektakuläre Aktion sei daher nur als der bisherige Gipfel einer langjährigen Spionagekampagne zu sehen. Wie lange die Hacker – genannt ist vor allem ein sogenanntes NewRomanic Cyber Army Team – bereits Fernzugriff auf die Bankinformationen hatten, ist weiter unklar. Nahezu sicher ist wohl, dass die Angreifer mit gezieltem Spear Phishing in die Systeme gelangten. Deutlich ist auch, dass die mittlerweile als „Operation Troy“ bekannte Malware-Kampagne sich geradezu um die Ausbildung eines Drohpotenzials bemüht, indem sie den Schadcode mit „Markenzeichen“ versieht.

Insgesamt deute laut McAfee alles auf „fortlaufende geheimdienstliche Operationen“ hin, die das Sicherheitsunternehmen (mindestens) bis 2010 zurückverfolgt. Abgesehen hatten es die Angreifer dabei zunächst auf militärische Netze. Das komplette (englischsprachigen) Whitepaper von Ryan Sherstobitoff and Itai Liba („Dissecting Operation Troy: Cyberespionage in South Korea“) gibt es bei McAfee kostenfrei als PDF zum Herunterladen. (Quelle: McAfee/red)