365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Das schnelle Geld lockt Cyber-Gangster am meisten. Sie meiden langwierige Angriffe mit unbekanntem Ausgang. Bevorzugt werden Attacken, die sich direkt in barer Münze auszahlen. Ransomware und der Diebstahl von Kryptowährungen stehen daher ganz oben auf der Beliebtheitsskala. Ein ziemlich bedeutungsloses Land wendet das zu seinen Gunsten an.
Mit ausgefeilten Techniken erbeuten Nordkoreas Staatshacker Kryptogeld und Ransomware zum Wohle des Staatsführers. Inzwischen ist das auch ins Blickfeld der Vereinten Nationen gerückt, wie ein interner Bericht offenbart.
Das ZDF meldete kürzlich: „Nordkorea hat den Vereinten Nationen zufolge im vergangenen Jahr mit Cyberkriminalität mehr Geld erbeutet als jemals zuvor“. Bis zu zwei Milliarden US-Dollar soll Nordkorea damit alleine im Jahr 2022 erzielt haben. Der Fokus liegt auf Kryptowährungen wie Bitcoin oder Ethereum. Im letzten Jahr wurden in etwa so viel Kryptowerte erzielt wie zusammengenommen in den Vorjahren. Dies zeige, "dass 2022 ein Rekordjahr für den Diebstahl virtueller Vermögenswerte in Nordkorea war", heißt es in einem bislang unveröffentlichten UN-Expertenbericht, den Presse- und Nachrichtenagenturen kürzlich einsehen konnten. Für das kleine Land ist Cybercrime eine Möglichkeit, dringend benötigte Devisen zu beschaffen.
Nordkorea „setzte zunehmend ausgefeilte Cybertechniken ein, um sich Zugang zu digitalen Netzwerken zu verschaffen, die an der Cyberfinanzierung beteiligt sind und um Informationen von potenziellem Wert zu stehlen, auch für seine Waffenprogramme", berichteten unabhängige Sanktionsbeobachter vor einem Ausschuss des UN-Sicherheitsrats.
Die Vereinigten Staaten beschuldigen nordkoreanische Hacker alleine im Zusammenhang mit dem Online-Spiel „Axie Infinity“ des Diebstahls von Kryptowährungen im Wert von über 600 Millionen US-Dollar. Dazu nutzten sie ein Blockchain-Netzwerk, das es Nutzern ermöglicht, Kryptogeld in und aus dem Spiel zu transferieren.
Das Online-Magazin ArsTechnica erklärt dazu: Gestohlenen Gelder werden „gewaschen“, indem sie über eine Reihe dezentraler Börsen und sogenannter „Krypto-Mixer“ geschleust werden. Krypto-Mixer sind Software-Tools, die die Krypto-Bestände verschiedener Nutzer mischen können und so deren Herkunft verschleiern. Um zu vermeiden, dass gebündelte große Einzahlungen Alarmmeldungen an Kryptobörsen auslösen, verwenden die Kriminellen eine sogenannte „Peel-Chain“. Vereinfacht gesagt ist das eine lange Kette von Adressen, aus der bei jeder Überweisung kleine Beträge der digitalen Währung herausgeschält werden. Laut einer Anklageschrift des US-Finanzministeriums aus dem Jahr 2020 haben zwei chinesische Staatsangehörige im Auftrag nordkoreanischer Hacker mit dieser Methode erfolgreich Bitcoin im Wert von 67 Millionen USD transferiert, wozu sie 146 separate Transaktionen durchführten. Kryptowährungen bieten also auch eine neue Gelegenheit für Geldwäsche.
Laut einem in Südkorea ansässigen Cybersicherheitsexperten zeigt der Axie-Infinity-Hack, wie nordkoreanische Hacker nun „neue Schwachstellen in den neuesten Blockchain-Technologien fast so schnell ausnutzen können, wie sie entstehen“.
Die meisten Cyberangriffe werden von Gruppen durchgeführt, die von Nordkoreas wichtigstem Nachrichtendienst, dem Reconnaissance General Bureau (RGB), kontrolliert werden. Zu diesen Gruppen gehören Teams wie die Lazarus Gruppe, Kimsuky, APT38 oder Andariel. Beispielsweise ist die sogenannte Einheit 180 für die „Durchführung von Cyberoperationen zum Diebstahl ausländischer Gelder außerhalb Nordkoreas“ zuständig. Als Cyber-Eliteeinheit gilt die als Büro-121 bezeichnete Gruppierung, deren Mitglieder zu den bestbezahlten Personen des Landes gehören. Das Kernteam soll aus über 1800 Personen bestehen. Die Zugehörigkeit zu den einzelnen Gruppen sowie die Anzahl Beteiligter wird streng geheim gehalten. Gemäß Analysen einer Harvard-Wissenschaftlerin im US-Magazin New Yorker operiert ein nennenswerter Teil der Personen außerhalb Nordkoreas, genauer aus anderen asiatischen Ländern. Die Akteure nutzen aber prinzipiell virtuelle private Netzwerke (VPN), um von außerhalb des Landes auf das Internet zuzugreifen und so ihren Standort zu verschleiern. Nordkoreanische Hacker greifen niemals Einrichtungen in China oder Russland an.
Der UN-Bericht hebt aber auch hervor, dass die Gruppen ebenso Malware über verschiedene Methoden, einschließlich Phishing, verbreiten. Eine dieser Kampagnen zielte auf Mitarbeiter von Organisationen und Finanzinstituten in verschiedenen Ländern ab. „Erste Kontakte mit Einzelpersonen wurden über LinkedIn hergestellt, und sobald ein Vertrauensverhältnis zu den Zielpersonen aufgebaut war, wurden bösartige Inhalte in der über WhatsApp fortgesetzten Kommunikation übermittelt", heißt es laut Presseberichten im UN-Bericht.
Die erwähnte Wissenschaftlerin für Cybersicherheit der Harvard Universität glaubt, dass die nordkoreanischen Cyberkriminellen inzwischen ein schnelleres Operationstempo entwickelt haben. Sie hätten es geschafft, Angriffe auf kleinere Finanzinstitute routiniert durchzuführen.
Autor: Uwe Sievers
