Geldwäsche mit Kryptogeld
Die Vereinigten Staaten beschuldigen nordkoreanische Hacker alleine im Zusammenhang mit dem Online-Spiel „Axie Infinity“ des Diebstahls von Kryptowährungen im Wert von über 600 Millionen US-Dollar. Dazu nutzten sie ein Blockchain-Netzwerk, das es Nutzern ermöglicht, Kryptogeld in und aus dem Spiel zu transferieren.
Das Online-Magazin ArsTechnica erklärt dazu: Gestohlenen Gelder werden „gewaschen“, indem sie über eine Reihe dezentraler Börsen und sogenannter „Krypto-Mixer“ geschleust werden. Krypto-Mixer sind Software-Tools, die die Krypto-Bestände verschiedener Nutzer mischen können und so deren Herkunft verschleiern. Um zu vermeiden, dass gebündelte große Einzahlungen Alarmmeldungen an Kryptobörsen auslösen, verwenden die Kriminellen eine sogenannte „Peel-Chain“. Vereinfacht gesagt ist das eine lange Kette von Adressen, aus der bei jeder Überweisung kleine Beträge der digitalen Währung herausgeschält werden. Laut einer Anklageschrift des US-Finanzministeriums aus dem Jahr 2020 haben zwei chinesische Staatsangehörige im Auftrag nordkoreanischer Hacker mit dieser Methode erfolgreich Bitcoin im Wert von 67 Millionen USD transferiert, wozu sie 146 separate Transaktionen durchführten. Kryptowährungen bieten also auch eine neue Gelegenheit für Geldwäsche.
Laut einem in Südkorea ansässigen Cybersicherheitsexperten zeigt der Axie-Infinity-Hack, wie nordkoreanische Hacker nun „neue Schwachstellen in den neuesten Blockchain-Technologien fast so schnell ausnutzen können, wie sie entstehen“.
Alte Bekannte
Die meisten Cyberangriffe werden von Gruppen durchgeführt, die von Nordkoreas wichtigstem Nachrichtendienst, dem Reconnaissance General Bureau (RGB), kontrolliert werden. Zu diesen Gruppen gehören Teams wie die Lazarus Gruppe, Kimsuky, APT38 oder Andariel. Beispielsweise ist die sogenannte Einheit 180 für die „Durchführung von Cyberoperationen zum Diebstahl ausländischer Gelder außerhalb Nordkoreas“ zuständig. Als Cyber-Eliteeinheit gilt die als Büro-121 bezeichnete Gruppierung, deren Mitglieder zu den bestbezahlten Personen des Landes gehören. Das Kernteam soll aus über 1800 Personen bestehen. Die Zugehörigkeit zu den einzelnen Gruppen sowie die Anzahl Beteiligter wird streng geheim gehalten. Gemäß Analysen einer Harvard-Wissenschaftlerin im US-Magazin New Yorker operiert ein nennenswerter Teil der Personen außerhalb Nordkoreas, genauer aus anderen asiatischen Ländern. Die Akteure nutzen aber prinzipiell virtuelle private Netzwerke (VPN), um von außerhalb des Landes auf das Internet zuzugreifen und so ihren Standort zu verschleiern. Nordkoreanische Hacker greifen niemals Einrichtungen in China oder Russland an.
Der UN-Bericht hebt aber auch hervor, dass die Gruppen ebenso Malware über verschiedene Methoden, einschließlich Phishing, verbreiten. Eine dieser Kampagnen zielte auf Mitarbeiter von Organisationen und Finanzinstituten in verschiedenen Ländern ab. „Erste Kontakte mit Einzelpersonen wurden über LinkedIn hergestellt, und sobald ein Vertrauensverhältnis zu den Zielpersonen aufgebaut war, wurden bösartige Inhalte in der über WhatsApp fortgesetzten Kommunikation übermittelt", heißt es laut Presseberichten im UN-Bericht.
Die erwähnte Wissenschaftlerin für Cybersicherheit der Harvard Universität glaubt, dass die nordkoreanischen Cyberkriminellen inzwischen ein schnelleres Operationstempo entwickelt haben. Sie hätten es geschafft, Angriffe auf kleinere Finanzinstitute routiniert durchzuführen.
Autor: Uwe Sievers