FM4-Logo

jetzt live:

Aktueller Musiktitel:

Kim Jong-Un schaut durch ein Fernglas

STR / KCNA VIA KNS / AFP

Erich Möchel

Trend 2018: Cyberkriminalität finanziert Cyberspionage

Politische und wirtschaftliche Spionage kombiniert mit kriminellen Beutezügen - Nordkorea und andere Diktaturen aus Schwellenländern fahren offensichtlich solche neuen Doppelstrategien im Cyberspace.

Von Erich Möchel

Der globale Rüstungswettlauf im Cyberraum wird 2018 eine neue Dimension erreichen, das ist der Tenor in der Sicherheitsbranche zum Jahreswechsel. Im Schatten Russlands, der USA und Chinas sind immer mehr Mittelmächte herangewachsen, die Schadsoftware immer offener und brutaler als Waffen einsetzen. Keiner dieser Staaten ist demokratisch und ihre Cyberarmeen wurden allesamt entlang der Überwachung der eigenen Bevölkerung aufgebaut.

Mit den „WannaCry“-Attacken im Mai hat Nordkorea 2017 seinen Ruf als rücksichtsloseste globale Militärmacht auch im Cyberraum zementiert. Mit dem Iran und Vietnam verfügen weitere Schwellenländer schon über schlagkräftige Cyberarmeen, mindestens ein Dutzend weiterer Staaten verfolgt dieselben Ziele. Besonders beunruhigend dabei sind klare Anzeichen, dass einige Staaten diese Hochrüstung offenbar mit kriminellen Methoden gegenfinanzieren.

Die ominöse „Gruppe Lazarus“

Grafik

Arirang TV

Alleine 2016 hatte „Lazarus“ 160 Firmen und Behörden in Südkorea angegriffen, das zeigt die Schlagkraft dieser Cybertruppe. Der Screenshot stammt vom südkoreanischen Arirang TV, das via Eutelsat Hotbird 13° Ost auch in Europa zu empfangen ist.

Die Tarnkonten bei Facebook und LinkedIn wurden von der Gruppe zu gezielten Angriffen auf US-Rüstungsfirmen benützt

Erst Mitte Dezember hatte Facebook in einer konzertierten Aktion mit Microsoft gegen die sogenannte „Lazarus Group“ eine ganze Reihe falscher Konten stillgelegt. Diese von allen Sicherheitsfirmen Nordkorea zugeordnete Truppe hatte über falsche Facebook- und LindedIn-Profile Zielpersonen aus Wirtschaft und Technik kontaktiert, ausspioniert und dann mit Schadsoftware angegriffen. Laut Microsoft und Facebook wurden alle Angreiferaccounts auf beiden Plattformen neutralisiert. Noch unklar ist, ob diesmal eher finanzielle oder doch politische Ziele verfolgt wurden. An der „Lazarus Group“ zeigt sich nämlich dieser beunruhigende neue Mix aus kriminellen Beutezügen, Propaganda und politischer Spionage exemplarisch.

DDoS, Sony, WannaCry

Mit den verheerenden DDoS-Attacken auf das Bankensystem Südkoreas hatte sich „Lazarus“ (alias ZINC) 2009 erstmals in die Annalen der internationalen Sicherheitsfirmen eingetragen. Vier Tage lang brachen die Netze der führenden Breitbandnation in Asien periodisch unter der Last der Cyberattacken zusammen, der gesamte elektronische Zahlungsverkehr war tagelang vom Netz. Das DDoS-Botnet aus entführten Rechnern befand sich nämlich innerhalb Südkoreas und verfügte ob des sehr gut ausgebauten Netzes über enorme „Feuerkraft“.

Amerikanisches Militärpersonal und Ausrüstung

US Army

Die Gefechtsfeldzentrale der US-Army bei den gemeinsamen „Ulchi Freedom Guardian“-Manövern mit Südkorea im August 2016. Im Vorfeld wurden zwei massive Trojanerkampagnen gegen nordkoreanische Ziele in Marsch gesetzt.

2014 hatte man dann mit dem Zerstörungsangriff auf das Sony-Netz neue globale Maßstäbe bei Cyberangriffen kombiniert mit psychologischen Operationen (PsyOps) gesetzt. Zuletzt wurde Nordkorea von den USA und Großbritannien im Oktober für die brachialen „WannaCry“-Attacken offiziell verantwortlich gemacht. Diese Angriffe haben den bisher größten materiellen Schaden durch einen einzelnen Netzangriff angerichtet, der je bekanntgeworden ist.

Der neue finanzielle Arm

Dieselben Einbruchs-Spionagesoftwares benützt auch noch mindestens eine weitere Einheit der nordkoreanischen Volksarmee und dieser Cybertruppenteil beschäftigt sich nicht mit Strafexpeditionen, sondern mit deren Finanzierung. Diese Truppe dringt nämlich in die internen Netze vor allem von Banken und Online-Casinos ein, erst im Mai hatte die Sicherheitsfirma Symantec Angriffssoftware von Lazarus in polnischen Banknetzwerken entdeckt. Davor waren von Mexiko bis Indien ein Dutzend Banken und Casinos zum Teil erfolgreich angegriffen worden.

Grafik

Kaspersky

Fast zeitgleich zum Ausbrauch von WannaCry im Frühjahr 2017 fand der erste digitale Banküberfall durch „Lazarus“ in Europa statt.

Bei dem hochkomplexen Angriff auf die Zentralbank von Bangladesch 2016 konnte ein Transfer von 81 Millionen Dollar über einen gehackten Server des SWIFT-Systems gerade noch gestoppt werden. All das dient nur der Geldbeschaffung durch Überfälle auf beliebige Ziele, wo es viel zu holen aber nichts zu spionieren gibt. Die letzten, bis jetzt bekannten Untaten von „Lazarus“ sind Diebstähle hoher Summen bei Bitcoin-Börsen im Netz.

10.000 neue Cyberkrieger für Vietnam

Für 2018 ist eine Übernahme solcher Methoden durch andere, eher finanzschwache Schwellenstaaten zu erwarten. Dafür in Frage kommt das ebenfalls kommunistische Regime in Vietnam, dessen interne Repression ganz dem Beispiel Chinas folgt. Zu Weihnachten hatte die Führung der vietnamesischen Volksarmee laut Reuters eine Aufstockung der Cybertruppe um 10.000 Mann angekündigt. 63 Prozent der Bevölkerung online sei zwar eine gute Sache, befand ein Generalleutnant der Volksarmee, auf der negativen Seite aber bringe das Vorteile für jeden Feind, der in Vietnam Chaos stiften wolle. Vietnam stellt also eine große Truppe zur Überwachung der eigenen Bevölkerung auf.

Grafik

Kaspersky

Aus einem Dossier der russischen Firma Kaspersky zur „Gruppe Lazarus“ über den Coup bei der Nationalbank von Bangladesch. Die Angreifer waren beinahe ein Jahr unentdeckt im Netz, was typisch für staatliche Angreifer ist.

Auch auf der nächsten höheren Stufe, nämlich Wirtschaftsspionage, sind die Cybertruppen aus Ho-Chi-Minh-Stadt bereits so aktiv, dass sie vom einschlägig spezialisierten US-Unternehmen Fireeye bereits in den Rang eines „Advanced Persistent Threat“ (APT) erhoben wurde. Letzteres steht für professionelle staatliche Akteure der oberen Kategorie, die ausreichend finanziert sind, um eine dauernde Bedrohung darstellen. 2016 war diese vorher kaum bekannte Truppe, die nun als „APT 32“ gelistet ist, durch ein Stakkato von Angriffen aufgefallen. Ausspioniert wurden großteils Firmen auch aus Europa, die in Vietnam investierten oder fertigen ließen und zwar quer durch alle Branchen.

2018 nichts Gutes zu erwarten

Nach dieser Listung als permanente Bedrohung des Westens bei der US-Firma FireEye, die als Vorposten des US-Geheimdienstkomplexes gilt, dürfte Vietnams Regierung gedämmert haben, dass solche Angriffe womöglich Investoren abschrecken könnten. 2017 gingen die Meldungen darüber so abrupt zurück, dass die Annahme nahelegt, dass dieser militärische APT gerade ein neues „Wirkungsfeld“ erkundet, das jedenfalls nichts Gutes erwarten lässt. Dasselbe gilt auch für alle anderen Aspiranten auf einen solchen Status, das sind Akteure, deren Aktionen bereits in Auszügen von Sicherheitsfirmen dokumentiert wurden, die aber noch in keinem Staat verortet sind.

Aktuell: