Der Machthaber Kim Jong-un, hat hat ein neues Hacking Tool entwickeln lassen, das sich selbst vernichten kann, und nach Beendigung von Spionage Aktivitäten den Selbstzerstörungsmodus einleiten könnte. Das US Cert meint, das  FALLCHILL allerdings auf jeden Fall im Netzwerk verbleiben wird.

Die Technische Warnung zu FALLCHILL kommt direkt vom Department of Homeland Security (DHS) und (FBI).

Demnach hat Nord Koriea bereits einige Cyberaktivitäten mit dem Hacking Tool FALLCHILL, was ein Remote-Administration-Tool darstellt durchgeführt.

Die US-Regierung bezieht sich auf böswillige Cyber-Aktivitäten der nordkoreanischen Regierung als HIDDEN COBRA. Weitere Informationen zu HIDDEN COBRA-Aktivitäten finden Sie unter https://www.us-cert.gov/hiddencobra.

Das FBI schreibt auf der eigenen Website, das große Gewissheit darüber herrscht, dass entsprechende HIDDEN COBRA-Akteure, in den Netzwerken der Opfer präsent bleiben werden, und die Netzwerkausbeutung weiter auszubauen.

Ein erfolgreiches Eindringen in ein IT- Netzwerk, kann schwerwiegende Auswirkungen haben, insbesondere wenn eine Kompromittierung öffentlich wird, und sensible Informationen offen gelegt werden.

Mögliche Auswirkungen sind:

  • vorübergehender oder dauerhafter Verlust sensibler oder geschützter Informationen,
  • Störung des regulären Betriebs,
  • finanzielle Verluste zur Wiederherstellung von Systemen und Dateien und
    potenzieller Schaden für den Ruf einer Organisation.
  • Ausgespähte Informationen (Cyber-Spionage)

FALLCHILL Technische Details

FALLCHILL ist die primäre Komponente einer C2-Infrastruktur, die mehrere Proxys verwendet, um den Netzwerkverkehr zwischen HIDDEN COBRA-Akteuren und dem System eines Opfers zu verschleiern. Laut vertrauenswürdiger Berichterstattung durch Dritte fließt die Kommunikation vom System des Opfers zu HIDDEN COBRA-Akteuren über eine Reihe von Proxies.

FALLCHILL verwendet gefälschte TLS-Kommunikation (Transport Layer Security) und codiert die Daten mit RC4-Verschlüsselung mit folgendem Schlüssel: [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]. FALLCHILL sammelt grundlegende Systeminformationen und beacon die folgenden an die C2:

Was kann FALLCHILL auslesen?

FALLCHILL ist ein mächtiges Spionage Werkzeug. Unter anderem sind akutere von FALLCHILL in der Lage:

  • Das Abrufen von Informationen auf allen installierten Festplatten, LLCHILL LLCHILL verwendet gefälschte TLS-Telekommunikation sowie gefälschte TLS Pakete des Datenträgertyps und der Größe des freien Speicherplatzes auf der Festplatte;
  • Erstellen, Starten und Beenden eines neuen Prozesses und seines primären Threads;
  • Dateien suchen, lesen, schreiben, verschieben und ausführen;
  • Abrufen und Ändern von Datei- oder Verzeichniszeitstempeln;
    das aktuelle Verzeichnis für einen Prozess oder eine Datei ändern; und
  • Löschen von Malware und Artefakte, die mit der Malware FALLCHILL selbst des infizierten Systems in Zusammenhang stehen. Das heißt, FALLCHILL hat einen Selbstzerstörungsmodus.

Welche Maßnahmen können schützend wirken?

  • Verwenden Sie Whitelists für Anwendungen, um zu verhindern, dass schädliche Software und nicht genehmigte Programme ausgeführt werden. Application Whitelisting ist eine der besten Sicherheitsstrategien, da nur bestimmte Programme ausgeführt werden können, während alle anderen, einschließlich bösartiger Software, blockiert werden.
  • Halten Sie Betriebssysteme und Software immer auf dem neuesten Stand mit den neuesten Patches. Anfällige Anwendungen und Betriebssysteme sind das Ziel der meisten Angriffe. Durch das Patchen mit den neuesten Updates wird die Anzahl der für einen Angreifer verfügbaren Angriffspunkte deutlich reduziert.
  • Pflegen Sie aktuelle Antivirensoftware und scannen Sie alle aus dem Internet heruntergeladene Software, bevor Sie sie ausführen.
  • Beschränken Sie die Fähigkeiten (Berechtigungen) der Benutzer zur Installation und Ausführung unerwünschter Softwareanwendungen und wenden Sie das Prinzip der „geringsten Rechte“ auf alle Systeme und Dienste an. Wenn Sie diese Berechtigungen einschränken, kann dies dazu führen, dass Malware nicht ausgeführt wird oder sich nicht über das Netzwerk ausbreiten kann.
  • Vermeiden Sie das Aktivieren von Makros aus E-Mail-Anhängen. Wenn ein Benutzer den Anhang öffnet und Makros aktiviert, führt eingebetteter Code die Malware auf dem Computer aus. Für Unternehmen oder Organisationen ist es möglicherweise am besten, E-Mail-Nachrichten mit Anhängen aus verdächtigen Quellen zu blockieren. Informationen zum sicheren Umgang mit E-Mail-Anhängen finden Sie unter Erkennen und Vermeiden von E-Mail-Scams. Befolgen Sie beim Surfen im Internet sichere Vorgehensweisen. Weitere Informationen finden Sie unter Gute Sicherheitsgewohnheiten und Schützen Ihrer Daten.
  • Folgen Sie nicht unaufgeforderten Weblinks in E-Mails. Weitere Informationen finden Sie unter Vermeiden von Social Engineering- und Phishing-Angriffen.

 

Weitere technische Details finden Sie unter

https://www.us-cert.gov/ncas/alerts/TA17-318A

https://www.janotta-partner.de/2017/11/cyberangriff/