Sicherheitsforscher von Withsecure konnten im Februar 2023 die berüchtigte nordkoreanische Hackergruppe Lazarus als Urheberin einer Welle von Cyberangriffen enttarnen. Eine solche direkte Zuordnung gelingt nur selten, weil Cyberkriminelle ihre Spuren in der Regel geschickt verschleiern.
In diesem Fall hatten die Angreifer jedoch einen kleinen, aber entscheidenden Fehler gemacht: Sie hatten kurzfristig eine von weniger als 1.000 IP-Adressen genutzt, die zu Nordkorea gehören – wahrscheinlich ein Versehen eines beteiligten Hackers. Ziel der Attacken waren Unternehmen aus dem Energiesektor und der medizinischen Forschung, die im Rahmen einer größeren Aktion ausspioniert werden sollten.
Der peinliche Fehler bei dieser Kampagne sollte nicht darüber hinwegtäuschen, dass Lazarus eine höchst professionelle und äußerst gefährliche Gruppe ist. Sie gilt als Teil des nordkoreanischen Geheimdienstes. Nordkorea wurde in den vergangenen Jahren für eine Reihe von Cyberangriffen verantwortlich gemacht und hat sich damit zu einer der größten Bedrohungen im Bereich der Cybersicherheit entwickelt.
Das Handwerkszeug: Cyberspionage, Cyberkriminalität und Cybersabotage
Das nordkoreanische Regime hat es mit groß angelegter Cyberspionage auf geheime Informationen von ausländischen Regierungen, Unternehmen und anderen Organisationen abgesehen. 2016 erbeuteten nordkoreanische Hacker interne Dokumente der südkoreanischen Regierung im Umfang von mehreren Gigabyte. In einem anderen Fall fingen sie 2018 Tausende E-Mails von südkoreanischen Regierungsbeamten und Journalisten ab.
Ganz aktuell warnen im März 2023 der deutsche Verfassungsschutz und Südkoreas Nachrichtendienst NIS gemeinsam vor der Spionagegruppe Kimsuky (Tagesspiegel Background berichtete), auch als Velvet Chollima oder Thallium bekannt. Sie soll weltweit Regierungsbehörden und Forschungseinrichtungen ins Visier genommen und die Strategiepapiere von Außenministerien in ihren Besitz gebracht haben. Die Gruppe wird aus IT-Sicherheitskreisen regelmäßig mit dem nordkoreanischen Geheimdienst RGB in Verbindung gebracht.
Auch Unternehmen sind Angriffsziele. 2014 wurde etwa Sony Pictures medienwirksam attackiert: Die nordkoreanischen Hacker stahlen nicht nur große Mengen an geistigem Eigentum, sondern verursachten auch einen erheblichen Imageschaden für das Unternehmen. Nordkoreanische Hacker sind außerdem in groß angelegte Ransomware-Attacken und den Diebstahl von Kryptowährungen verwickelt. WannaCry ist eine der bekanntesten Ransomware-Attacken, die Nordkorea zugeschrieben wird. Die Kampagne verursachte 2017 weltweit Schäden in Milliardenhöhe.
Sabotage gehört ebenfalls zum Standardrepertoire der staatlichen Hacker. Die Angriffe sollen in anderen Ländern Infrastruktur zerstören und Netzwerke lahmlegen. 2014 versuchten nordkoreanische Cyberkriminelle, das Steuerungssystem eines südkoreanischen Atomkraftwerks lahmzulegen. Obwohl die Attacke nicht erfolgreich war, zeigt sie trotzdem das enorme Gefährdungspotenzial solcher staatlich gelenkten Cybergangs. Das diktatorische Regime arbeitet beständig am Ausbau der eigenen technologischen Fähigkeiten für den Cyberwar. Es gibt Berichte über die Entwicklung von speziellen Cyberwaffen und anderen zerstörerischen Tools für zukünftige Angriffe.
Die Motivation hinter den nordkoreanischen Cyberangriffen
Die größte Motivation hinter den nordkoreanischen Hackerangriffen ist sicher die Beschaffung von Geld. Das politisch weitgehend isolierte Nordkorea ist eines der ärmsten Länder der Welt und hat seit langem mit wirtschaftlichen Schwierigkeiten zu kämpfen.
Die Beutezüge dienen mutmaßlich vor allem der Finanzierung der nordkoreanischen Atom- und Raketenprogramme. Laut einem internen Bericht der Vereinten Nationen haben die Angreifer 2022 eine neue Rekordsumme an virtuellen Vermögenswerten erbeutet: Die UN-Beobachter gehen von 630 Millionen US-Dollar aus, eine Cybersecurityfirma sogar von über einer Milliarde US-Dollar.
Eine weitere Zielsetzung ist die Beschaffung von Informationen. Nordkorea befindet sich in einem permanenten Konflikt mit den USA und Südkorea. Sensible Daten von Regierungen und Unternehmen sollen die Chancen des Landes erhöhen, in diesen Auseinandersetzungen zu bestehen. Die ausspionierten Erkenntnisse können zur Planung neuer Angriffe eingesetzt werden, um den Gegnern gezielt weiteren Schaden zuzufügen.
Nicht zuletzt nutzt Nordkorea Cyberangriffe, um politischen Druck auf andere Staaten auszuüben. Dahinter vermuten einige Beobachter auch das zutiefst menschliche Motiv der Rache für Repressalien und Sanktionen.
Wie können Regierungen und Unternehmen sich schützen?
Regierungen und Unternehmen müssen weltweit wachsam bleiben und geeignete Schutzmaßnahmen ergreifen, um sich gegen Cyberangriffe aus Nordkorea und anderen Ländern zu verteidigen.
Das Augenmerk sollte dabei vor allem auf der Verbesserung der eigenen Sicherheitsinfrastruktur liegen. Dazu gehört die flächendeckende Implementierung von Detection-and-Response-Lösungen. Diese können dafür sorgen, dass Cyberangriffe erkannt werden, bevor sie Schaden anrichten. Alle Angreifer direkt an der Firewall abzuwehren ist de facto nicht möglich – daher ist die frühzeitige Erkennung von erfolgreichen Angriffen und die damit verbundene Stärkung der eigenen Cyber-Resilienz nötig.
Auch der menschliche Faktor ist entscheidend: Mitarbeiter sollten regelmäßig geschult werden, um sie über die neuesten Bedrohungen zu informieren und ihnen das nötige Wissen zur Verteidigung gegen Cyberangriffe an die Hand zu geben.
Fazit
Nordkorea ist eine ernsthafte Bedrohung für die Cybersicherheit weltweit. Nordkoreanische Hacker verfügen über umfangreiche Fähigkeiten und Erfahrungen in den Bereichen Cyberkriminalität, Cyberspionage und Cybersabotage. Sie haben bereits zahlreiche erfolgreiche Angriffe auf Regierungen, Unternehmen und Organisationen weltweit durchgeführt. Verstärkte individuelle Schutzmaßnahmen gegen diese Attacken auf breiter Front sind unerlässlich.
Die Verteidigung gegen diese Bedrohung kann aber wohl letztlich nur durch international koordinierte Zusammenarbeit gelingen. Die gemeinsamen Ermittlungen der USA und Südkorea waren der Schlüssel zur Aufdeckung des WannaCry-Angriffs im Jahr 2017. Diese Ansätze gilt es weiter zu verfolgen und zu intensivieren, um der wachsenden Cyberbedrohung in einer komplexer werdenden geopolitischen Lage Herr zu werden, in der etwa auch China, Iran und nicht zuletzt Russland ihre Angriffe massiv verstärken.
Rüdiger Trost ist Head of Cyber Security Solutions bei Withsecure DACH.
