FM4-Logo

jetzt live:

Aktueller Musiktitel:

Kim Panzer

AFP / Radio FM4

Erich Moechel

Nordkorea weltweit führend bei Cyberkriminalität

Mit 1,3 Milliarden Dollar, die von Banken und Bitcoin-Börsen in vier Jahren gestohlen wurden, ist die staatliche Cybertruppe „Lazarus“ die weltweit erfolgreichste kriminelle Organisation im Cyberspace.

Von Erich Moechel

Die am Mittwoch veröffentlichte US-Anklageschrift gegen drei Mitglieder der nordkoreanischen Cybertruppe „Lazarus“ (alias APT 38) zeigt ein ziemlich klares Bild. Die Gruppe, die das FBI „Hidden Cobra“ nennt, ähnelt mittlerweile kaum noch einer staatlichen Cyberagentur, als vielmehr einer Bande organisierter Krimineller. Derzeit werden serienweise Bitcoin-Spekulanten mit derselben Masche ausgeplündert.

Die US-Cybersicherheitsagentur CISA warnte parallel vor sieben neuen Bitcoin-Softwares, allesamt mit Hintertüren aus Pjöngjang. Zuletzt wurde laut Klageschrift im Sommer ein US-Finanzdienstleister, der gerade in den Bitcoin-Handel einstieg, so um 12 Millionen Dollar erleichtert. Insgesamt soll die Truppe in nur vier Jahren 1,3 Milliarden Dollar eingespielt haben, sie ist der mithin größte Devisenbringer für Nordkoreas Staatshaushalt.

Nordkorea weltweit führend bei Cyberkriminalität Dokumente

CISA

Vor diesen Blockchain- Handelssystemen und Wallets haben die CISA, das FBI und das Finanzministerium aktuell gewarnt Die gesamte Liste der Warnungen vor „Hidden Cobra“ alias „Lazarus“ aka APT38 darunter ist schier endlos, aber längst nicht vollzählig.

Eine Blockchain aus Nordkorea

Die erste Anklage von 2018 detailliert vor allem die Hacks der Bankomatsysteme und die Raubzüge über das SWIFT-Zahlungssystem

Die Anklage ergänzt die erste aus dem Jahr 2018, die Liste ist inzwischen sind auf mehr als 50 Einzeldelikte angewachsen, die allesamt der Lazarus-Group zugeschrieben werden. Neben gerade einmal zwei politischen Angriffen, die allerdings umso spektakulärer ausfielen (siehe unten), ist diese Truppe seit 2017 ausschließlich hinter Devisen bzw. Bitcoins her. Nun wurden zwei weitere Personen identifiziert, außer Namen und Fotos gibt es allerdings kaum weitere Details, als dass sie jeweils neben Koreanisch auch Englisch und Mandarin beherrschen.

Die drei Angeklagten gehören allesamt zum Planungsstab und zur operativen Leitung der Angriffe, die vielfach nicht von Nordkorea aus, sondern aus Singapur, Russland und China durchgeführt wurden. Dabei wurden nicht nur reihenweise betrügerische Programme für den Bitcoin-Handel und Wallets in Umlauf gebracht, sondern auch eine eigene Blockchain. Für diese „Marine Chain Platform“, auf der angeblich Anteile von Tankern und Containerschiffen erworben werden konnten, wurde sogar bei der Börsenaufsicht in Hongkong eine Lizenz beantragt, um sie auch offiziell in den Handel zu bringen.

Nordkorea weltweit führend bei Cyberkriminalität Dokumente

FBI

Dieser Mann namens Kim Il ist neu auf der Liste, das Bild dürfte aus einem seiner Visumsanträge stammen, denn alle drei nunmehr namentlich bekannten Cyberakteure operierten vorwiegend aus Singapur, Russland oder China. Dazu die - ziemlich lange - Kurzfassung der Anklageschrift

Von den Banken in den Bitcoin-Sektor

Im Sommer 2020 wurden auch seitens der EU Sanktionen gegen die Cyberkrieger aus Nordkorea verhängt.

Letzteres dürfte zwar nicht gelungen sein, Anleger in den USA wurden dennoch massiv geschädigt. Über die Höhe der Schadenssumme schweigt die Anklageschrift, aber alleine die Tatsache, dass dieser Fischzug mindestens zwei Jahre lief, spricht für sich. Wie die Anklage nämlich zeigt, hat sich Lazarus ganz auf den Finanzsektor spezialisiert und da wechselt man regelmäßig in das gerade lukrativsten Segment. Begonnen hatte das bereits 2015, bis 2019 wurden dann von Vietnam bis Mexiko weltweit gut ein Dutzend Banken überfallen und über das SWIFT-Abrechnungssystem ausgeplündert.

Parallel dazu wurden Bankomatsysteme angegriffen und große Summen freigeschaltet, das Geld wurde dann aus den kompromittierten Automaten von lokalen Helfershelfern abgeholt. Der Organisator vor Ort, ein kanadischer Staatsbürger, ist in den USA in Haft. Von diesen Raubzügen im Bankensektor stammt auch der weitaus größte Anteil der erbeuteten Gelder. 2017 stieg Lazarus in den Bitcoin-Sektor ein und das mit einem Paukenschlag. Allein der Angriff auf eine slowenische Bitcoin-Börse Ende 2017 - die in Folge zahlungsunfähig war - schlug mit 75 Mio Dollar zu Buche. Auch die Plünderung zweier weiterer Börsen in Indonesien und Südkorea werden Lazarus zur Last gelegt.

Nordkorea weltweit führend bei Cyberkriminalität Dokumente

Public Domain

Beim bereits 2018 Angeklagten Jon Chang Hyok dürfte es sich um einen absoluten Bitcoin-Spezialisten handeln, der nicht nur an der Software-Entwicklung des Handelsystems maßgeblich beteiligt war, sondern auch wusste, wie man es den Zielgruppen unterjubelt. Für den Fischzug bei einem US-Finanzdienstleister- siehe unten - dürfte ihm ein Orden sicher sein. Die Anklageschrift zeigt die beeindruckende Bandbreite der Gruppe Lazarus.

Strafexpeditionen und Spionage

Zum Zeitpunkt des Sony-Hacks 2014 war noch nicht bekannt, wer dahinter steckte. Die Zuweisung an Nordkorea durch die britischen Behörden kam erst Monate danach.

Der jüngste bekannte Fischzug dieser Gruppe wurde über eine der neuen Bitcoin-Softwares durchgeführt, vor denen das Agentur für Infrastruktur- und Cybersicherheit gewarnt hatte. Ein Finanzdienstleister aus den USA, der sich mit Bitcoins eindecken wollte, hatte als Software den CryptoNeurotrader von Lazarus eingesetzt, die Beute belief sich auf 11,2 Mio Dollar. Wie man auch hier sieht, zielt Lazarus stets auf das obere Segment des jeweiligen Markts. Während all dieser kriminellen Akte verfügt die Gruppe noch über genügend Ressourcen, um den US-Verteidigungskomplex von den Ministerien bis zu den Lieferfirmen mit „Spearphishing“-Angriffen laufend auszuspionieren.

Mit solchen Aktivitäten war die Lazarus Group 2009 erstmals aufgefallen, sowie mit einem DDOS-Angriff auf Südkorea, der die Netze dort tagelang an den Rand des Ausfalls brachte. 2014 wurden Teile von Lazarus zu einer weiteren Strafexpedition abkommandiert, in deren Folge das weltumspannende Netz des Elektronik- und Unterhaltungskonzerns Sony mit „Wiper“-Software regelrecht verwüstet wurde. 2017 wurden EU-Sanktionen gegen Nordkorea mit einer als Ransomware zur Verschlüsselungserpressung getarnten Zerstörungssoftware namens „Wannacry“ beantwortet. „Wannacry“ zielte in erster Linie auf ältere Windows-Steuerungssysteme und verschlüsselte die Betriebssysteme. Renault, Nissan und eine Unzahl anderer Industriebetriebe standen in Europa deshalb tagelang still.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: