Google: Nordkorea verwendet Blockchain zur Verbreitung von Malware

Google warnt vor Nordkorea, das Malware in öffentliche Blockchains einbettet

Die Fakten:

In einem am 16. Oktober herausgegebenen Bericht informierte die Google Threat Intelligence Group über die Nutzung öffentlicher Blockchains zur Verschleierung von Malware durch staatsgeführte Bedrohungsakteure, einschließlich Nordkorea.

Die Kampagne verwendet eine Methode namens “EtherHiding”, die es Angreifern ermöglicht, bösartigen Code als Teil eines Smart Contracts in öffentlichen Blockchains wie Ethereum und BNB Chain einzubetten. Die Methode gewann 2023 an Bedeutung, aber Google erklärt, dass es das erste Mal ist, dass ein Staat sie einsetzt.

EtherHiding umfasst auch die erwarteten Social-Engineering-Kampagnen, die das Erstellen von Fake-Firmen und das Anvisieren von Jobprofilen im Zusammenhang mit der Kryptowährungsindustrie oder bekannten Kryptowährungsprotokollen beinhalten.

Die Infektion tritt auf, wenn die interessierten Parteien Programmierungstests unterzogen werden, die das Herunterladen infizierter Tools oder das Herunterladen von Videokonferenzsoftware umfassen.

Google hebt hervor, dass JADESNOW, eine von Nordkorea genutzte Malware, die EtherHiding verwendet, die Vielseitigkeit dieser auf Blockchain basierenden Tools zeigt. Beim Untersuchen stellte die Gruppe fest, dass der bösartige Vertrag in den ersten vier Monaten mehr als 20 Mal aktualisiert wurde, was Kosten von 1,37 $ an Gasgebühren pro Update verursachte.

“Die niedrigen Kosten und die Häufigkeit dieser Updates zeigen die Fähigkeit des Angreifers, die Konfiguration der Kampagne leicht zu ändern.” erklärte Google.

Warum es relevant ist:

Die Nutzung dieser Art von Technik, bei der Blockchain als Verbreitungsmechanismus für Malware verwendet wird, könnte dazu führen, dass Regulierungsbehörden einen strengeren Ansatz für die Einführung dieser Technologien verfolgen.

Während Malware, die auf einem entfernten Server gehostet wird, gezielt und gelöscht werden kann, bedeutet die Unveränderlichkeit der Blockchain, dass Sicherheitsunternehmen andere Wege finden müssen, um die Verbreitung zu verhindern, indem sie API-Anbieter anvisieren, die es ermöglichen, diesen Code zu Opfern zu bewegen.

Die Google-Gruppe selbst erklärte, dass dieser neue Ansatz “neue Herausforderungen” impliziert, da “Smart Contracts autonom funktionieren und nicht abgeschaltet werden können.”

Zukunftsaussichten:

Analysten erwarten, dass die Einführung dieser Art von Technik in Zukunft weiter zunehmen wird und mit anderen innovativen Prozessen kombiniert wird, um sie noch gefährlicher zu machen, und Systeme anzugreifen, die Blockchains oder Wallets direkt verwalten.

FAQ 🧭

• Welche Bedrohung hat Google kürzlich in Bezug auf öffentliche Blockchains identifiziert?
  Google berichtete, dass staatliche Akteure, einschließlich Nordkorea, eine Methode namens “EtherHiding” verwenden, um Malware in Smart Contracts auf öffentlichen Blockchains wie Ethereum und BNB Chain einzubetten.

• Wie funktioniert die EtherHiding-Methode?
  EtherHiding ermöglicht Angreifern, bösartigen Code in Smart Contracts zu verstecken und verlässt sich auf taktische Täuschung, wie das Erstellen von Fake-Firmen, um Jobsuchende im Kryptowährungsbereich anzulocken.

• Welche spezifische Malware wurde mit dieser neuen Technik in Verbindung gebracht?
  Der Bericht hob JADESNOW hervor, eine nordkoreanische Malware, die EtherHiding verwendet, und zeigte häufige Updates und niedrige Betriebskosten zur Veränderung ihrer Angriffskonfiguration.

• Welche Auswirkungen hat diese Technik auf die Regulierung von Blockchains?
  Da die Unveränderlichkeit der Blockchain die Entfernung von Malware erschwert, könnten Regulierungsbehörden strengere Kontrollen über Blockchain-Technologien anstreben, um die sich entwickelnde Bedrohung durch Malware-Ausnutzung in Kryptowährungsumgebungen zu mildern.