Staatlich unterstützte nordkoreanische Hacker haben in den vergangenen fünf Jahren im Rahmen von circa 30 Cyberangriffen mindestens zwei Milliarden Dollar gestohlen – in erster Linie, um das Atomwaffenprogramm der abgeschotteten Diktatur weiter zu finanzieren. Allein im Jahr 2023 liefen – nur im Bereich Kryptowährungen – circa 340 Millionen Dollar auf.
Ein Blick auf die jüngsten nordkoreanischen Cybercrime-Aktivitäten zeigt jedoch, dass das kommunistische Regime mit seinen Hacks Ziele verfolgt, die weit über den Diebstahl finanzieller Ressourcen hinausgehen. Zwar hat Nordkorea seine destruktiven Aktivitäten seit der globalen Verwüstung durch WannaCry weitgehend zurückgefahren. Experten sind jedoch davon überzeugt, dass das lediglich einer strategischen Veränderung geschuldet ist – und nicht etwa einem Mangel an Fähigkeiten. Im Gegenteil: Insidern zufolge verfügt Nordkorea über ein hochflexibles Cybercrime-Ökosystem, das auch dank hochqualifizierter, junger Hacker bestens funktioniert.
Die Nordkorea-Cybercrime-Timeline (ab 2022)
Neben den finanziell motivierten Bedrohungen wurden in den letzten zwei Jahren verschiedene bösartige Cyberaktivitäten nordkoreanischen Ursprungs bekannt:
-
Die unter dem Namen “Lazarus” bekannte nordkoreanische Hackergruppe fährt im April 2022 im Rahmen der Operation “Dream Job” eine Spionagekampagne, die auf Unternehmen im Chemiesektor abzielt.
-
Die mit Nordkorea in Verbindung stehende Hackergruppe “Stonefly” fährt seit April 2022 Spionageangriffe gegen hochspezialisierte Ingenieurbüros. Das Ziel ist es, an geistiges Eigentum aus kritischen Sektoren wie Energie, Luft- und Raumfahrt und Militär zu gelangen.
-
Die US-Behörden NSA, FBI und CISA veröffentlichen im Februar 2023 eine gemeinsame Cybersicherheitsempfehlung (PDF). Der Anlass sind die Ransomware-Aktivitäten der nordkoreanischen Hackerbande “Andariel”.
-
Archipelago, eine Untergruppe der nordkoreanischen Hackergruppe APT43 (auch als “Kimsuky” bekannt), adressiert im April 2023 mit Spear-Phishing-E-Mails gezielt Personen, die sich in Zusammenhang mit Nordkorea mit politischen Themen beschäftigen. Die Betroffenen werden dabei über eine Phishing-Seite mit vermeintlichen Interviewfragen geködert. Das Ziel: die Google-Passwörter der Betroffenen zu stehlen.
-
Im Rahmen eines Supply-Chain-Angriffs gelingt es dem nordkoreanischen Hacker-Kollektiv “UNC4736”, das Netzwerk des Softwareunternehmens 3CX mit Schadsoftware zu infizieren.
-
Nordkoreanische Hacker kompromittieren im August 2023 die IT-Infrastruktur des von den USA sanktionierten, russischen Raketentechnikunternehmens NPO Mashinostroyeniya.
-
Die nordkoreanische Lazarus-Gruppe startet im September 2023 eine Phishing-Kampagne, bei der sich die Cyberkriminellen als Recruiter im Dienste von Meta ausgeben. Mit den erbeuteten Zugangsdaten gelingt es ihnen, sich Zugang zum Netzwerk eines spanischen Luft- und Raumfahrtunternehmens zu verschaffen und dort mehrere Tools einzusetzen – inklusive einer bis dato unbekannten Backdoor.
-
Wie der südkoreanische Geheimdienst im Oktober 2023 vermeldet, haben es nordkoreanische Cyberkriminelle zunehmend auch auf die Schiffbauindustrie Südkoreas abgesehen. Das Ziel sei es, technische Daten zu stehlen, um die Marine des Regimes zu stärken.
-
Die nordkoreanische Bedrohungsakteure “Diamond Sleet” (auch bekannt als “ZINC”) und “Onyx Sleet” (auch bekannt als “Plutonium”) können im Oktober 2023 eine Remote-Code-Sicherheitslücke ausnutzen, um Server des Softwareanbieters JetBrains zu kompromittieren. Gleichzeitig setzen die Angreifer Tools und Malware ein, um sich dauerhaften Zugriff auf die IT-Umgebung zu sichern.
-
Ebenfalls im Oktober 2023 legte die US-Regierung 17 Website-Domains still, die von nordkoreanischen Hackern genutzt werden sollen, um Unternehmen in aller Welt zu betrügen, Sanktionen zu umgehen und das Atomwaffenprogramm des Regimes zu finanzieren.
“Das wird für uns zum Problem”
Angesichts dieser vielfältigen kriminellen Aktivitäten wird deutlich, wie komplex und anpassungsfähig Nordkoreas Cybercrime-Ökosystem ist. Die Cybersicherheitsexperten von Mandiant haben vor kurzem ein Assessment der nordkoreanischen Cybercrimestrukturen erarbeitet.
Die wesentliche Erkenntnis: “Die Cyberlandschaft Nordkoreas hat sich seit 2009 erheblich verändert. Die Überschneidungen, wenn es um Ziele geht, die schnelle Anpassungsfähigkeit sowie gemeinschaftlich genutzte Hacking-Tools deuten darauf hin, dass die einzelnen Bedrohungsakteure sich zunehmend vernetzen und miteinander kollaborieren, was auch die Zuordnung zu einer bestimmten nordkoreanischen Hackergruppe erschwert”, schreiben die Security-Forscher.
Michael Barnhart, Experte bei Mandiant für Nordkorea-Themen, fordert deshalb einen Paradigmenwechsel in Sachen Cyberangriffsattribution: “In der Öffentlichkeit und im privaten Sektor konzentrieren sich zu viele Menschen auf die Frage, wer genau denn jetzt verantwortlich ist. Das nutzt das Regime um Kim Jong Un aus und streut gezielt Verwirrung. Attribution ist wichtig, aber wir brauchen vielleicht ein anderes Vorgehen.”
Laut Mandiant hat sich die Strategie der gezielten Verwirrung seit der COVID-Pandemie spürbar manifestiert. “Das Regime war gezwungen, seine Strategie zu ändern, als die Grenzen weltweit geschlossen und streng überwacht wurden – insbesondere in China und auf der koreanischen Halbinsel. Es ist inzwischen deutlich zu erkennen, dass die diversen verschiedenen nordkoreanischen Hackergruppen wesentlich mehr miteinander kommunizieren und kollaborieren. Das wird für uns zum Problem”, konstatiert Barnhart.
Cybercrime-Tausendsassas
Im Vergleich zu den Cyber-Units, die andere Länder beschäftigen, ist die nordkoreanische laut Barnhart eher klein – aber “oho”: “Dafür verfügt sie über hochqualifizierte, universell einsetzbare Mitglieder, die nahtlos von einem Auftrag zum nächsten übergehen können. Ihre Fähigkeiten sind zum Teil unglaublich.”
Mandiant hebt dabei insbesondere Park Jin Hyok hervor, der derzeit zu den vom FBI meistgesuchten Hackern gehört: “Er führt seine Missionen mit einem hohen Maß an Raffinesse aus und kann anschließend direkt zu völlig anderen Aufgaben wechseln. Dabei bleibt das Ausführungsniveau allerdings auf konstant hohem Level – von Blockchain- und Kryptowährungs-Hacks über Supply-Chain- bis hin zu Spionageangriffen und mehr. Die Nordkoreaner haben Menschen in ihren Reihen, die sich ohne Probleme auf höchstem Skill-Niveau bewegen”, meint Barnhart.
Auch Dick O’Brien, Principal Intelligence Analyst bei Symantec, schreibt den Nordkoreanern hohes Cybercrime-Potenzial zu: “Nordkorea gehört zu den Staaten, die auf dem Weg sind, im Cyberspace über sich hinauszuwachsen. Gemessen an der Größe des Landes verfügen sie über enorme Cyberspionagekapazitäten und treten zudem besonders aktiv in Erscheinung.”
Obwohl Nordkorea nicht über die gleichen Fähigkeiten und Ressourcen wie etwa Russland verfüge, stelle das abgeschottete Land eine ungewöhnliche Macht im Cyberspace dar, so O’Brien: “Ein Großteil der von Nationalstaaten gesponserten Aktivitäten spielen sich im Bereich Spionage und Informationsbeschaffung ab, sei es für politische Zwecke oder um an geistiges Eigentum zu gelangen. Das tut Nordkorea zwar auch, aber eben noch viel mehr als das.”
Angesichts des Levels an Abschottung, mit dem sich das Regime von Kim Jong Un umgibt, ist es schwierig, einen konkreten Überblick über die echte “Cyberkraft” des Landes zu erhalten. Tom Hegel, leitender Bedrohungsforscher bei Sentinel One, weiß mehr: “Ich bin der Meinung, dass eine kreative, junge und technisch versierte Gruppe von Hackern zum Einsatz kommt, die – auch getrieben durch die Not, Ergebnisse liefern zu müssen – mitunter unkonventionelle Methoden zum Einsatz bringt. Das führt zu Abläufen, die man bei einer professionellen, staatlich gelenkten Cyberoperation nie sehen würde. Für mich deutet das auf ein sehr kreatives, von den Betreibern gesteuertes Umfeld hin und nicht auf eine von oben nach unten durchorchestrierte Welt, wie man sie in China oder westlichen Ländern vorfindet.”
Die Ruhe vor dem Sturm?
Die oben aufgeführten nordkoreanischen Hacking-Aktivitäten sind zwar vielfältig und ausgeklügelt, fallen aber nicht in die Kategorie der Kampagnen, die wie WannaCry oder dem Sony-Hack vor allem auf Zerstörung abzielen. Dennoch gibt es keinen Grund zu Entwarnung, denn das Cybercrime-Ökosystem Nordkoreas ist den Experten von Mandiant zufolge weiterhin jederzeit in der Lage, solche Operationen durchzuführen, sobald ein entsprechender Auftrag erteilt wird.
Auch Symantec-Experte O’Brien warnt, dass Nordkorea heutzutage zwar hauptsächlich in den Bereichen Cyberkriminalität und Spionage operiere, allerdings nicht ausschließlich: “Das Element der Zerstörung taucht von Zeit zu Zeit immer wieder einmal auf. Insbesondere, wenn es um Ziele geht, die das Regime auf irgendeine Weise gegen sich aufgebracht haben.”
Threat Researcher Hegel vermutet hingegen einen eher banalen Grund hinter der aktuellen Zurückhaltung Nordkoreas, wenn es um zerstörerische Operationen geht: “Nordkoreas Führung wurde durch die globale Aufmerksamkeit, den der WannaCry-Angriff verursacht hat, erschreckt – vor allem, weil es relativ simpel war, die Attacke zuzuordnen. Jetzt konzentrieren sich die Cyberaktivitäten auf monetäre Gewinnerzielung und Spionage. Das lässt sich auch deutlich diskreter realisieren, weil der Scope begrenzt ist und die Ziele meist sehr exklusiv.” (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Jetzt CSO-Newsletter sichern
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.