FM4-Logo

jetzt live:

Aktueller Musiktitel:

Trump und Kim  Jong Un

APA/AFP/Saul LOEB

Erich Moechel

Sicherheitsbranche rechnet mit Cyberschlag aus Nordkorea

Noch herrscht Ruhe, aber die Hinweise darauf, dass ein Cyberangriff vorbereitet wird, mehren sich in kritischen Netzen des Westens. Die Branche rechnet damit, dass Nordkorea nach dem endgültigen Scheitern der Gipfelgespräche sofort zuschlagen wird.

Von Erich Moechel

Auf der politischen Ebene herrscht nach dem Scheitern des Gipfeltreffens von Donald Trump mit Kim Jong Un öffentliches Schweigen, die Auseinandersetzungen wurden in den Cyberraum verlegt. Dort läuft gerade eine psychologische Operation (PsyOp) gegen Nordkorea. Deren Cybertruppen wiederum nehmen in der neuen Phase ihres weltweiten Raubzugs Infrastrukturen und erneut Banken ins Visier.

Ein neuer Bericht der Vereinten Nationen zum Thema listet fünf ausgeraubte Bitcoin-Börsen in den letzten 20 Monaten auf. 570 Millionen Dollar Schaden werden dem Land allein in diesem Zusammenhang offiziell zur Last gelegt. Seit Ende Februar häufen sich bei US-Sicherheitsfirmen die Indizien dafür, dass nordkoreanische Cybertruppen in Netze der US-Infrastruktur eingedrungen sind. Noch herrscht Ruhe, aber die Branche rechnet mit einem Sturm.

Grafik

Fireeye

Auf den 380 Seiten des UN-Berichts wird auch diese Untersuchung der Sicherheitsfirma FireEye zitiert. „APT 38“, auch bekannt als „Bluenoroff Group“ ist für die Beschaffung von Devisen zuständig. Die Spionagetruppe „Temp.Hermit“ soll für die Infiltrationen weltweiter Netze im November verantwortlich sein. Der „Lazarus“ genannten Action-Truppe werden spektakuläre Angriffe wie jener auf das Sony-Netz (2014) und die WannaCry-Attacken (2017) zugeschrieben.

Cyber wahrscheinlicher als Raketen

Parallel zu den Bitcoin-Börsen wurden bis zum November 2018 Dutzende schlecht gesicherter Transaktionssysteme von Banken weltweit angegriffen.

Wenn die Verhandlungen endgültig scheitern, dann wird es mit großer Wahrscheinlichkeit eine heftige Reaktion aus Nordkorea geben. Derzeit wird eher mit einem Cyberschlag gerechnet, obwohl demonstrative Raketenstarts nie ausgeschlossen werden können. Diesen aktuellen Penetrationen von US-Netzen war im November eine massive Kampagne zur „Nachrichtenaufklärung“ - also Spionage - in dem seit Edward Snowden bekannten Stil der NSA vorausgegangen.

In den Zielnetzen wurden von Akteuren aus Nordkorea sogenannte „Implants“ versteckt deponiert, die sich so lange passiv verhalten, bis ein Befehl kommt. Dann wird die eigentliche Schadsoftware nachgeladen und der Angriff beginnt. Bei McAfee heißt diese Schadsoftware „Rising Sun“, bis jetzt konnte sie in 75 Netzen weltweit identifiziert werden. Sie enthält einen altbekannten Spionagetrojaner, der neu eingecodet wurde, sein Quellcode stammt nachweislich von der Lazarus Group.

Grafik: Weltkarte

McAfee

Karte der Staaten, die von den Spionageangriffen im November betroffen waren. Man sieht, dass in erster Linie militärische Netze im weiteren Sinne die Ziele waren. In Deutschland und Schweden wurden Rüstungsfirmen ausspioniert.

Allzu offensichtliche Spuren

Im Sommer 2017 hatte die „Lazarus Group“ die Rüstungsfirma Lockheed Martin angegriffen. Dabei ging es um das US-Raketenabwehrsystem THAAD.

McAfee hatte zuerst mit der Zuweisung gezögert, weil diese Direktverbindung zu einem Trojanerangriff der „Lazarus Group“ im Jahr 2015 so offensichtlich war, dass eine Operation unter falscher Flagge durch andere Akteure nicht auszuschließen war. Sobald dann mehr Fälle vorlagen, war es eindeutig, dass die Spur in Richtung Nordkorea und nirgendwo anders hin verwies. Wie diese Karte der Sicherheitsfirma McAfee zeigt, wurden militärische Netze, der Energiesektor, Rüstungsfirmen, vor allem im Westen, aber auch in Russland angegriffen.

Auch der Militärkomplex Indiens war betroffen, nur China und sein engster Verbündeter Pakistan waren dabei ausgenommen. Das ist die typische Zielauswahl der Lazarus Group, die auch vor Russland zurückschreckt. Die Moskauer Sicherheitsfirma Kaspersky ist deshalb seit Jahren hinter den Cyberangreifern aus Nordkorea her.

Grafik

Crowdstrike

Die US-Sicherheitsfirma Crowdstrike hat eine Statistik aus den Daten forensischer Analysen von Angriffen staatlicher Akteure erstellt. Die „Breakout-Time“ ist der Zeitabschnitt vom ersten Auftauchen des Angreifers bis zum Vordringen in das anvisierte Netzsegment. Wie man sieht, liegen die Akteure aus Russland weit vor ihrer Cyberkonkurrenz. Als unangefochtener Zweiter kommt allerdings schon Nordkorea. Dahinter liegen China und der Iran, abgeschlagenes Schlusslicht ist eine Vergleichsgruppe von Kriminellen.

Bereits Anfang 2018 war der Trend, dass Spionage mit kriminellen Beutezügen kombiniert wird, nicht mehr zu übersehen. Außer Nordkorea dürften noch andere Diktaturen solche neuen Doppelstrategien fahren.

„Die Befreiung von Joseon“

Auf der Gegenseite startet im Netz kommenden Sonntag eine Kampagne, die auf der Blockchain-Währung Ethereum (ETH) basiert. Für ein ETH, das sind rund 120 US-Dollar, werden tausend persönliche „Visa“ für das „befreite Joseon“ ausgestellt, so hieß die koreanische Halbinsel im Mittelalter. Als offizielle Landesbezeichnung war „Joseon“ erst unter der japanischen Besatzung im frühen 20. Jahrhundert in Gebrauch. In Nord- wie Südkorea gilt diese Zeit als Tiefpunkt nationaler Demütigung. Diese vermeintliche Trollaktion ist offenbar nur Teil einer größeren psychologischen Operation, die gegen Funktionäre des Regimes in Pjöngjang gerichtet ist.

Grafik

Public Domain

Auf diese Website wird absichtlich nicht verlinkt, zumal ihr TLS-Zertifikat auch auf Dutzende höchst obskurer Domains verweist. Zur allfälligen Überprüfung Zweitbrowser benützen, jedenfalls aber im Browser sämtliche Scripts blocken: visa.cheollimacivildefense.org. Hier die Berichte von „El Pais“ zum Überfall auf die nordkoreanische Botschaft in Madrid.

Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

PsyOp als militärische Aktion

Und diese PsyOp ist nicht auf das Netz beschränkt, denn dasselbe Motto - „Befreiung von Joseon“ - ist bereits Ende Februar aufgetaucht. Da waren zehn Vermummte in die Madrider Botschaft Nordkoreas eingedrungen, hatten das Botschaftspersonal überwältigt, gefesselt, verhört und stundenlang drangsaliert, das berichtete die spanische Tageszeitung „El Pais“. Beim Eintreffen der spanischen Polizei am Tatort gelang den Angreifern die Flucht, denn dafür hatten sie die Botschaftslimousinen akquiriert. Laut „El Pais“ konnten wenigstens zwei der Angreifer identifiziert werden. Nach Angaben der Ermittler handelte es sich um eine exakt geplante, militärische Aktion, die bisher Identifizierten hätten Verbindungen zur CIA.

Bilanz vor einem möglichen Sturm

Wie immer wenn Professionals am Werk sind, ist davon auszugehen, dass auch nach dem Auffliegen einer solchen Großaktion wie im November noch weitere, andersartige „Implants“ irgendwo in diesen Netzen existieren. Die können jederzeit geweckt werden und schon ist eine andere Gruppe von Angreifern mit anderer Malware wieder drin. Die Branche nennt diese Gruppen deshalb „Advanced Persistent Threats"(APT).

Der Überfall auf die nordkoreanische Botschaft in Madrid ist schon schwieriger zu beurteilen, vor allem der Zeitpunkt - zehn Tage vor dem Gipfeltreffen am dritten März - gibt Rätsel auf. An der Verprügelung und öffentlichen Demütigung von nordkoreanischem Botschaftspersonal konnte nämlich zumindest einer überhaupt kein Interesse haben: Donald Trump. Der wartet nun seit 18 Monaten auf seinen ersten außenpolitischen Erfolg.

Aktuell: