Nordkorea weltweit führend bei Cyberkriminalität
Von Erich Moechel
Die am Mittwoch veröffentlichte US-Anklageschrift gegen drei Mitglieder der nordkoreanischen Cybertruppe „Lazarus“ (alias APT 38) zeigt ein ziemlich klares Bild. Die Gruppe, die das FBI „Hidden Cobra“ nennt, ähnelt mittlerweile kaum noch einer staatlichen Cyberagentur, als vielmehr einer Bande organisierter Krimineller. Derzeit werden serienweise Bitcoin-Spekulanten mit derselben Masche ausgeplündert.
Die US-Cybersicherheitsagentur CISA warnte parallel vor sieben neuen Bitcoin-Softwares, allesamt mit Hintertüren aus Pjöngjang. Zuletzt wurde laut Klageschrift im Sommer ein US-Finanzdienstleister, der gerade in den Bitcoin-Handel einstieg, so um 12 Millionen Dollar erleichtert. Insgesamt soll die Truppe in nur vier Jahren 1,3 Milliarden Dollar eingespielt haben, sie ist der mithin größte Devisenbringer für Nordkoreas Staatshaushalt.
CISA
Eine Blockchain aus Nordkorea
Die erste Anklage von 2018 detailliert vor allem die Hacks der Bankomatsysteme und die Raubzüge über das SWIFT-Zahlungssystem
Die Anklage ergänzt die erste aus dem Jahr 2018, die Liste ist inzwischen sind auf mehr als 50 Einzeldelikte angewachsen, die allesamt der Lazarus-Group zugeschrieben werden. Neben gerade einmal zwei politischen Angriffen, die allerdings umso spektakulärer ausfielen (siehe unten), ist diese Truppe seit 2017 ausschließlich hinter Devisen bzw. Bitcoins her. Nun wurden zwei weitere Personen identifiziert, außer Namen und Fotos gibt es allerdings kaum weitere Details, als dass sie jeweils neben Koreanisch auch Englisch und Mandarin beherrschen.
Die drei Angeklagten gehören allesamt zum Planungsstab und zur operativen Leitung der Angriffe, die vielfach nicht von Nordkorea aus, sondern aus Singapur, Russland und China durchgeführt wurden. Dabei wurden nicht nur reihenweise betrügerische Programme für den Bitcoin-Handel und Wallets in Umlauf gebracht, sondern auch eine eigene Blockchain. Für diese „Marine Chain Platform“, auf der angeblich Anteile von Tankern und Containerschiffen erworben werden konnten, wurde sogar bei der Börsenaufsicht in Hongkong eine Lizenz beantragt, um sie auch offiziell in den Handel zu bringen.
FBI
Von den Banken in den Bitcoin-Sektor
Im Sommer 2020 wurden auch seitens der EU Sanktionen gegen die Cyberkrieger aus Nordkorea verhängt.
Letzteres dürfte zwar nicht gelungen sein, Anleger in den USA wurden dennoch massiv geschädigt. Über die Höhe der Schadenssumme schweigt die Anklageschrift, aber alleine die Tatsache, dass dieser Fischzug mindestens zwei Jahre lief, spricht für sich. Wie die Anklage nämlich zeigt, hat sich Lazarus ganz auf den Finanzsektor spezialisiert und da wechselt man regelmäßig in das gerade lukrativsten Segment. Begonnen hatte das bereits 2015, bis 2019 wurden dann von Vietnam bis Mexiko weltweit gut ein Dutzend Banken überfallen und über das SWIFT-Abrechnungssystem ausgeplündert.
Parallel dazu wurden Bankomatsysteme angegriffen und große Summen freigeschaltet, das Geld wurde dann aus den kompromittierten Automaten von lokalen Helfershelfern abgeholt. Der Organisator vor Ort, ein kanadischer Staatsbürger, ist in den USA in Haft. Von diesen Raubzügen im Bankensektor stammt auch der weitaus größte Anteil der erbeuteten Gelder. 2017 stieg Lazarus in den Bitcoin-Sektor ein und das mit einem Paukenschlag. Allein der Angriff auf eine slowenische Bitcoin-Börse Ende 2017 - die in Folge zahlungsunfähig war - schlug mit 75 Mio Dollar zu Buche. Auch die Plünderung zweier weiterer Börsen in Indonesien und Südkorea werden Lazarus zur Last gelegt.
Public Domain
Strafexpeditionen und Spionage
Zum Zeitpunkt des Sony-Hacks 2014 war noch nicht bekannt, wer dahinter steckte. Die Zuweisung an Nordkorea durch die britischen Behörden kam erst Monate danach.
Der jüngste bekannte Fischzug dieser Gruppe wurde über eine der neuen Bitcoin-Softwares durchgeführt, vor denen das Agentur für Infrastruktur- und Cybersicherheit gewarnt hatte. Ein Finanzdienstleister aus den USA, der sich mit Bitcoins eindecken wollte, hatte als Software den CryptoNeurotrader von Lazarus eingesetzt, die Beute belief sich auf 11,2 Mio Dollar. Wie man auch hier sieht, zielt Lazarus stets auf das obere Segment des jeweiligen Markts. Während all dieser kriminellen Akte verfügt die Gruppe noch über genügend Ressourcen, um den US-Verteidigungskomplex von den Ministerien bis zu den Lieferfirmen mit „Spearphishing“-Angriffen laufend auszuspionieren.
Mit solchen Aktivitäten war die Lazarus Group 2009 erstmals aufgefallen, sowie mit einem DDOS-Angriff auf Südkorea, der die Netze dort tagelang an den Rand des Ausfalls brachte. 2014 wurden Teile von Lazarus zu einer weiteren Strafexpedition abkommandiert, in deren Folge das weltumspannende Netz des Elektronik- und Unterhaltungskonzerns Sony mit „Wiper“-Software regelrecht verwüstet wurde. 2017 wurden EU-Sanktionen gegen Nordkorea mit einer als Ransomware zur Verschlüsselungserpressung getarnten Zerstörungssoftware namens „Wannacry“ beantwortet. „Wannacry“ zielte in erster Linie auf ältere Windows-Steuerungssysteme und verschlüsselte die Betriebssysteme. Renault, Nissan und eine Unzahl anderer Industriebetriebe standen in Europa deshalb tagelang still.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 21.02.2021