|
|
Wer
gewerbsmäßig
die meisten Kryptocoins stiehlt
Für westliche und
fernöstliche Geheimdienste ist es inzwischen klar und erhärtet: Die
großen Raubzüge auf Kryptowährungen
– Milliarden an Dollars wurden so in den letzten Monaten entwendet –
sind auf Nordkorea zurückzuführen.
Alle brauchbaren Spuren führen dorthin!
Die dortigen Armee- und Regierungshacker haben inzwischen einen hohen
Grad an Wissen und Perfektion im Eindringen in geschützte Zentren
erreicht. „Die sogar analoge westliche Dienste und die Koryphäen im
Silicon Valley vor Neid, aber auch vor Bewunderung erblassen lassen“…
Schätzungen gehen dahin, dass es sich direkt und indirekt um eine Beute
in zweistelliger Milliardenhöhe
handelt! Genug, um Nordkorea für einige Zeit finanziell über Wasser zu
halten, allen Sanktionen zum
Trotz. Das größte Manko ist die Absenz von Öllieferungen nach
Nordkorea. Darum wird hier mit allen
Tricks und Mitteln versucht, genügend Erdöl zu ergattern, um die
nordkoreanische Wirtschaft auf Trab zu
halten. Es ist für westliche Geheimdienste, die wohl alle Tricks
gewohnt sind, erstaunlich, mit welch
krimineller Energie die Nordkoreaner auf allen Gebieten der Mittel- und
Materialbeschaffung „kreative“
Wege laufend erfinden und auch nutzen…
Das Vorgehen und die
Hackertechnik der Nordkoreaner sind an Perfidie nicht zu überbieten!
Hier die gängigste Vorgehensweise:
So bekamen Spekulanten, die mit Digitalwährungen handeln, eine Mail der
amerikanischen
Bundessteuerbehörde. Im Anhang befand sich ein Dokument, das vor
Internetbetrug (!) warnte.
„Falls Sie eine Mail der Bundessteuerbehörde erhalten, die ihnen
verdächtig vorkommt, dann öffnen Sie
keinesfalls den Anhang.“ Zu spät! Wer das las, für den war es schon zu
spät. Er war soeben selbst Opfer
eines Cyberangriffs geworden…
Die Mail kam nämlich gar nicht von der amerikanischen
Bundessteuerbehörde, sondern aus den Klassenzimmern
der „Mangyŏngdae“-Revolutionsschule, die ihren geheimen Stützpunkt in
der Nähe von Pjöngjang hat. Die
dort stationierten Hacker schauten sich ihr Opfer genau an. Besitzt es
Kryptowährung von Wert, werden flugs
weitere Programme auf dessen Rechner geladen. So ein „Keylogger“, der
alle Tastaturenanschläge aufzeichnet
und auch Passwörter ausspähen kann. Sobald der Zeitpunkt günstig ist,
raubt der Hacker das Konto aus..!
Analysen zeigen: Das war nicht der einzige Angriff mit dieser Masche.
Schon im vergangenen Jahr unternahm
die nordkoreanische Spezialtruppe eine Vielzahl von Raubzügen, und fast
alle zielten auf Kryptowährungen. Das Motiv ist klar: Die Kurse von
Bitcoin und anderen Zahlungsmitteln schossen seit 2017 in die Höhe,
vervielfachten sich.
Die Sanktionen gegen Nordkorea haben viele, ja die meisten
Einnahmequellen versiegen lassen. Der Handel mit Kohle stockt, bisher
der große Devisenbringer. Nordkoreanische Schiffe müssen nun ihre
Ladung auf Schleichwegen nach Russland oder Vietnam bringen. Sie werden
auf hoher See meist nachts betankt. Diktator Kim Jong-un steckt arg in
der Klemme, sein Atomprogramm kostet alleine schon Milliarden. Ebenso
sein Raketenprogramm. Und dazu muss er noch seine engsten Vertrauten
ständig bei Laune halten. Mit Gewalt alleine lässt sich kein Staat
beherrschen. Es braucht Zuckerbrot und Peitsche…
Die jetzigen
Beutezüge der Nordkoreaner lohnen sich!
Der ehemalige Chef des britischen Geheimdienstes GCHQ, Robert Peter
Hannigan, geht sogar davon aus, dass es bis zu einer Milliarde Dollar
sein könnte. Für ein Land, das gerade einmal zwanzig Milliarden im Jahr
erwirtschaftet, ist das eine ungeheure Summe!
Und die Hacker nutzen alle Möglichkeiten, die Kryptowährungen bieten.
So verschickten sie 2017 eine Flut von Betrugsmails mit
maßgeschneiderten Ködern und fälschten sogar Websites von
Tauschbörsen. Dort sollten
Nutzer ihre Programme für den Handel mit Digitalwährungen
aktualisieren. Bis ins kleinste Detail waren
die Seiten dem Original nachempfunden. Firmenlogo, Grafiken, die
Ansprache an den Leser. Nur einen
einzigen Buchstaben in der Adresszeile der Website hatten die Hacker
ausgetauscht. So musste vielen
Opfern entgehen, dass sie im Begriff waren, betrogen zu werden. Sie
klickten auf den Link für das Update
und luden stattdessen ein nordkoreanisches Schadprogramm herunter…
Aber Pjöngjang beschränkt sich nicht auf Betrug. Seine Cyber-Leute
brachen wiederholt in die virtuellen
Tauschbörsen selbst ein und stahlen dabei über Nacht Millionenbeträge.
Zuletzt wandelten sie in großem
Stil Rechenleistung von Computern um in Geld. Sie spielten
Schadprogramme auf die Rechner ihrer Opfer,
zwackten unbemerkt Leistung ab und schürften damit neues digitales
Geld. Der gigantische Stromverbrauch
schuf binnen kürzester Zeit einen Gegenwert Tausender von Dollars. Eine
wahre Geldmaschine…
Aber bei einer dieser Aktionen waren sie unvorsichtig und hinterließen
eine direkte Spur nach Nordkorea.
Sie hatten einen Server infiltriert, von dem aus sie ihre Raubzüge
starteten. Dabei achteten sie darauf, stets
eine gesicherte Verbindung zu diesem Computer herzustellen, also eine,
die nicht erkennen lässt, in welchem
Land die Hintermänner sitzen. Doch unterlief ihnen ein kritischer
Fehler! Auch auf diesem Rechner
starteten sie ein Programm, das Kryptowährungen schürfen sollte – es
nahm allerdings so viel Leistung in
Anspruch, dass der gekaperte Server „einfror“. Die gesicherte
Verbindung brach zusammen. Für den
Bruchteil einer Sekunde verlor einer der Hacker seine Tarnung: Seine
Verbindungsdaten wiesen klar auf
die Mangyŏngdae-Revolutionsschule in Nordkorea…
Westliche Experten schätzen die Gruppe von Hackern, zusammen mit ihren
Trainern und Logistikern,
auf über 5.000 Fachleute. Sie wurden zusammengelegt mit der Elitegruppe
„Lazarus“, die schon lange im
Geheimen trainierte und operierte. Die neue Einheit wird unter „Büro
121“ geführt. Sie wurde schon 2009
der Spionageabteilung des nordkoreanischen Heeres unterstellt, dem „Amt
für allgemeine Aufklärung“.
Dessen Befehlshaber, General Kim Jong-chol, soll beste Beziehungen zu
Diktator Kim Jong-un (er ist sein
Bruder!) pflegen und die Cyberangriffe persönlich befehlen…
Überläufer haben beschrieben, dass es das Regime ernst meint mit seinen
Hackern; schon in der Schule
werden Talente rausgefischt. Sie messen sich in Wettbewerben. Nur die
Besten schaffen es in die
Cybereinheiten des Landes. Nicht alle ihre Mitglieder sollen dabei von
Nordkorea aus operieren. Einige
dürften in Zellen in China oder sogar in Europa (!) sitzen, umgeben von
Geheimdienstlern, die jeden ihrer
Schritte überwachen. So hat das Regime ein weltumspannendes
Hackernetzwerk geschafft.
Nordkorea kann so mit vergleichsweise wenigen Ressourcen vernichtende
Cyberangriffe befehlen. Und während im Westen Computerexperten zu den
teuersten Mitarbeitern gehören dürften, kann sich die Diktatur
unzählige davon leisten, solange sie nur für ihre Ausbildung sorgt.
Virtuelle Vergeltungsmaßnahmen, einen sogenannten
Hackback, muss sie außerdem kaum fürchten. Was sollten Hacker dort
schon anrichten? Nordkorea hat
kaum Computer mit Internetanschluss, seine Cybersoldaten haben den
Status von Guerillakämpfern…
Wir haben in dieser Ausgabe des Vertraulichen uns vertieft der
nordkoreanischen Hackertätigkeit gewidmet.
Weil die Gefahren weiterer „Diebstähle“ auf allen Gebieten sehr gut
möglich sind. Ein englischer Fachmann: „Sie haben Appetit bekommen,
wissen, dass sie dem Westen immer einen Schritt voraus sind und so
weiterhin für ihr Land Milliarden scheffeln werden. Der Westen sei
gewarnt, die Jungs von Büro 121 werden immer schlauer und raffinierter:
learning by doing…
Quelle: Vertraulicher Schweizer Brief
Update Januar 2022:
Auch in 2021 erbeuteten Nordkoreas Hacker hunderte Millionen Dollar in
Kryptos. Ethereum erfreut sich zusehends größerer Beliebtheit, wie ein
aktueller Report von Chainanalysis zeigt. >> zum Bericht
Update April 2022:
Am
23. März wurde die Ronin Bridge, eine Ethereum-Sidechain für das
NFT-Game Axie Infinity, gehackt und dabei Assets im Wert von 625
Millionen US-Dollar gestohlen. BTC-ECHO berichtete. Es war der bislang
größte DeFi-Hack aller Zeiten. Hinter
dem Angriff steckt offenbar die nordkoreanische Hackergruppe Lazarus,
wie Chainalysis in einem Tweet vom 14. April bekannt gab. Im September
wurden von Strafverfolgungsbehörden und führenden Organisationen in der
Kryptowährungsbranche davon Kryptowährungen im Wert über 30 Millionen US-Dollar beschlagnahmt. Nicht viel, aber immerhin. Es wird zunehmend schwieriger für Lazarus.
Update August 2022:
Die neueste Masche ist, dass Nordkoreas Spione Krypto-Firmen infiltrieren. Zu diesem Zweck imitieren
sie echte LinkedIn-Profile und arbeiten remote bei Krypto-Firmen. Das
Ziel der Spione: Geld, Informationen und Einfluss. >>zum Bericht
Der Krypto-Mixer
“Tornado Cash” wurde vom US-Finanzministerium auf die schwarze Liste gesetzt, weil Nordkoreas Hackergruppe
Lazarus darüber mehrere hundert Millionen US-Dollar gewaschen haben soll.
Auch interessant: Die berüchtigsten Hacker-Angriffe von Lazarus.
WEITERE
INTERESSANTE THEMEN AUS DEN VSB:
Die 50 gefährlichsten Städte der Welt
Kann einem Angst und Bange machen
Schwächliche Rekruten
|
|
|
