Share
Beitragsbild zu Hinter den Kulissen: Nordkoreas Fokus auf DMARC bei der E-Mail-Spionage

Hinter den Kulissen: Nordkoreas Fokus auf DMARC bei der E-Mail-Spionage

Wenn Sie unser jüngstes virtuelles Kamingespräch „Hinter den Kulissen: Nordkoreas Fokus auf DMARC bei der E-Mail-Spionage“ verpasst haben oder aufgrund geografischer Einschränkungen nicht teilnehmen konnten, haben wir die Lösung für Sie.

Gemeinsam mit Cybersicherheitsexperten des Federal Bureau of Investigation (FBI) und der Stanford University sowie Red Sift wurde in der Sitzung untersucht, wie die nordkoreanische Cyberspionagegruppe Kimsuky vorgeht. Kimsuky ist seit mindestens 2012 als Advanced Persistent Threat (APT)-Akteur aktiv und hat schlecht konfigurierte Richtlinien für Domain-based Message Authentication, Reporting, and Conformance (DMARC) ausgenutzt, um Spear-Phishing-Kampagnen zu starten.

An der Podiumsdiskussion nahmen Natalie Wilson, Spezialagentin beim FBI, Emily Tinao, Geheimdienstanalystin beim FBI, Dr. Herb Lin, leitender Forschungswissenschaftler an der Stanford University und am Hoover Institute, sowie Dr. Sean Costigan, Geschäftsführer von Resilience Strategy bei Red Sift, teil. Gemeinsam gaben sie wichtige Einblicke in die Stärkung der E-Mail-Sicherheit, um diesen Bedrohungen entgegenzuwirken.

Hier die wichtigsten Neuigkeiten in Kürze

Kimsuky verfolgt in erster Linie das Ziel, durch Cyberspionage-Aktivitäten Informationen zu sammeln, anstatt für Störungen zu sorgen oder Finanzdaten zu stehlen. Im Rahmen ihrer langjährigen Kampagnen zur Informationsbeschaffung hat die APT-Gruppe eine Reihe von US-amerikanischen und verbündeten Organisationen ins Visier genommen, darunter Universitäten, Denkfabriken und gemeinnützige Organisationen, um sensible geopolitische Informationen zur Unterstützung des nordkoreanischen Regimes zu sammeln.

In einem gemeinsamen Gutachten vom Mai 2024 erläuterten das FBI, die NSA und das Außenministerium, wie Kimsuky DMARC-Fehlkonfigurationen genutzt hat, um an wertvolle Informationen zu gelangen. Diese Verlagerung des Fokus auf die Beschaffung sensibler Informationen über Nuklearpolitik und Sanktionen zeigt, wie wichtig es für Organisationen – insbesondere Universitäten und Denkfabriken – ist, ihre digitalen Assets zu sichern.

Bei der speziellen Form des Phishing verwendet die nordkoreanische APT-Gruppe maßgeschneiderte und irreführende E-Mails, die vertrauenswürdige Quellen wie Regierungsbeamte, Journalisten oder hochrangige Beamte imitieren sollen. Diese Methode verleitet die Opfer dazu, auf Links zu klicken oder präparierte Anhänge zu öffnen, die schädliche Malware oder eine bösartige Webadresse enthalten.

Die Ausnutzung von DMARC

Das FBI betonte, dass Kimsukys Erfolg größtenteils darauf zurückzuführen ist, dass er schlecht konfigurierte oder verwaltete DMARC ausnutzt, die E-Mail-Sicherheit umgeht und illegitime Identitätswechsel ermöglicht. Dies hat es Kimsuky ermöglicht, immer ausgefeiltere nachrichtendienstliche Operationen durchzuführen, die sich von den traditionellen finanziellen Cyberverbrechen im Zusammenhang mit nordkoreanischen APT-Gruppen entfernen. Das FBI wies auf die Notwendigkeit einer verbesserten Cyberhygiene hin, da viele Organisationen immer noch nicht über die richtigen Konfigurationen verfügen, um diese Art von Angriffen zu verhindern.

Das FBI-Team erläuterte, dass Kimsuky häufig vertrauenswürdige Netzwerke infiltriert und E-Mails versendet, die scheinbar aus legitimen Quellen stammen. Diese Taktik hilft Kimsuky, das Vertrauen hochrangiger Ziele zu gewinnen, bevor schädliche Inhalte wie bösartige Links oder Anhänge übermittelt werden. Das FBI wies außerdem darauf hin, dass Organisationen ihre DMARC-Richtlinien im Auge behalten müssen, um Schwachstellen zu reduzieren und zu verhindern, dass diese Phishing-Kampagnen zu größeren Cyberangriffen eskalieren.

Eine über DMARC hinausgehende Herausforderung

Kimsukys Taktiken, Techniken und Verfahren werfen größere Bedenken hinsichtlich der Cybersicherheit auf, einschließlich der Auswirkungen auf die nationale Sicherheit und des Risikos offensiver Cyberoperationen. Dr. Lin wies darauf hin, dass Universitäten und Denkfabriken, die wertvolles geistiges Eigentum generieren und von Gegnern als maßgeblich für das Verständnis oder die Beeinflussung der US-Politik angesehen werden, besonders attraktive Ziele für Kimsuky und ähnliche nationalstaatliche Gruppen sind. Lin betonte, dass Organisationen der Cybersicherheit im Rahmen einer umfassenden Verteidigung gegen nationalstaatliche Cyberbedrohungen Priorität einräumen müssen.

Dr. Costigan gab praktische Ratschläge für Institutionen und wies darauf hin, dass Bedrohungsakteure wie Kimsuky aktiv nach falsch konfigurierten oder unvollständigen DMARC-Richtlinien suchen, um diese auszunutzen. Er ermutigte Organisationen, ihre DMARC-Einstellungen umgehend zu überprüfen und zu aktualisieren, und wies darauf hin, dass es effiziente und effektive Möglichkeiten zur Verbesserung der E-Mail-Sicherheit gibt.

Die ordnungsgemäße Konfiguration von DMARC trägt nicht nur dazu bei, Phishing-Angriffe zu verhindern, sondern stärkt auch die allgemeine Widerstandsfähigkeit der Organisation. Es gibt noch viel Spielraum für weitere Verbesserungen der Cybersicherheit. Die jüngste Umfrage „2025 Global Digital Trust Insights“ von PwC zeigt, dass nur 2 % eine unternehmensweite Cyber-Resilienz implementiert haben, obwohl 77 % eine Budgeterhöhung für das Management der Cybersicherheit erwarten. Positiv zu vermerken ist, dass die Einführung von DMARC sich verbessert, was zum Teil auf die jüngste Google- und Yahoo!-E-Mail-Anforderung für Massenversender und globale Mandate für die DMARC-Konformität zurückzuführen ist.

Tipps und wie Sie sich schützen können

Während der Sitzung wurden zahlreiche Informationen behandelt, und die wertvollen Erkenntnisse, die von allen Rednern geteilt wurden, werden von entscheidender Bedeutung sein, um einen stärkeren Schutz der Cybersicherheit zu gewährleisten, insbesondere gegen technisch versierte Akteure wie die APT-Gruppe. Dr. Costigan fasst die drei wichtigsten Erkenntnisse aus der Sitzung wie folgt zusammen:

  1. Universitäten und Denkfabriken erstellen sensible Informationen und verfügen über beträchtliches geistiges Eigentum. Daher sind sie Hauptziele für die Cyberausbeutung durch APT-Gruppen wie Kimsuky.
  2. Bedrohungsakteure sind auf der Suche nach Schwachstellen und Gelegenheiten. Die Ausnutzung unvollständiger oder schlecht konfigurierter DMARC-Richtlinien liegt genau in ihrem Interessensbereich, und wir können davon ausgehen, dass mehr Cyberkriminelle und APT-Gruppen dem Beispiel von Kimsuky folgen werden.
  3. Wenn Sie in Ihrer Institution dem Risiko- oder Cyberteam angehören oder einfach nur daran interessiert sind, die Cyberresilienz Ihrer Organisation zu verbessern, überprüfen Sie Ihre DMARC-Richtlinie. Wenn sie nicht vorhanden, unvollständig oder falsch konfiguriert ist, sollten Sie wissen, dass es schnelle und kostengünstige Mittel gibt, um Sicherheit zu erreichen.

Das Kamingespräch hob den dringenden Bedarf an vertrauenswürdigen öffentlich-privaten Partnerschaften hervor, um Organisationen dabei zu helfen, Maßnahmen gegen APT-Bedrohungen zu ergreifen. Das FBI bat Universitäten, Denkfabriken und gemeinnützige Organisationen, darüber zu berichten, wenn sie sich von nationalstaatlichen Gruppen unter Druck gesetzt fühlen, und ihre DMARC-Konfigurationen und Cyber-Hygienepraktiken zu verbessern.

Während sich Kimsukys Taktiken weiterentwickeln, stützen sie sich oft auf Schwachstellen, die leicht gestärkt werden können. Proaktive Maßnahmen zur Sicherung von E-Mail-Systemen wie DMARC können die von diesen fortgeschrittenen hartnäckigen Bedrohungsgruppen ausgehenden Risiken erheblich reduzieren und machen deutlich, dass robuste Cybersicherheitsprotokolle in der heutigen digitalen Landschaft nicht optional, sondern unerlässlich sind.


Natalie Wilson ist Spezialagentin in einer National Security Cyber Squad. Sie untersucht Fälle von Cyber-Einbrüchen, die mit APT-Gruppen aus der Volksrepublik China und Nordkorea in Zusammenhang stehen. Bevor sie sich mit Cyber-Angelegenheiten befasste, war Natalie Wilson lange Zeit in der Spionageabwehr tätig und verfügt über mehr als 10 Jahre Erfahrung in der Untersuchung von Diebstahl von Geschäftsgeheimnissen und Wirtschaftsspionage.

Emily Tinao ist Intelligence Analyst (IA) in der Außenstelle des Federal Bureau of Investigation in New York. Tinao kam 2015 zum FBI und hat an verschiedenen strafrechtlichen Ermittlungen und Cyber-Angelegenheiten im Bereich der nationalen Sicherheit mitgearbeitet.

Dr. Herb Lin ist leitender Forschungsstipendiat für Cyberpolitik und -sicherheit am Center for International Security and Cooperation und Hank J. Holland Fellow für Cyberpolitik und -sicherheit am Hoover Institution, beide an der Stanford University. Seine Forschungsinteressen beziehen sich im Wesentlichen auf politikbezogene Dimensionen der Cybersicherheit und des Cyberspace, und er interessiert sich insbesondere für den Einsatz offensiver Operationen im Cyberspace als Instrumente der nationalen Politik und für die sicherheitspolitischen Dimensionen des Informationskriegs und der Einflussnahme auf die nationale Sicherheit.

Dr. Sean Costigan ist Geschäftsführer von Resilience Strategy bei Red Sift, wo er die globalen Richtlinien und Strategien des Unternehmens überwacht und dazu berät. Sean ist ein Experte der Cybersicherheitsbranche und erhielt 2023 den Serge-Lazareff-Preis für seine Beiträge zur NATO.


 Source: Red Sift-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

Red Sift bei LinkedIn

 

Bild/Quelle: https://depositphotos.com/de/home.html

red sift

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden