Auf der Jagd nach Bitcoin & Co: Nordkoreas Hacker erbeuten Millionen in Kryptowährungen

• Finanziell erfolgreiches Jahr für Nordkoreas Krypto-Hacker
• Nordkorea wird zu Hacker-Großmacht und finanziert damit sein Waffenprogramm
• Bislang größter Coup: Das Ronin-Netzwerk von Axie Infinity

2022 scheint das Jahr der Krypto-Pleiten und der Cyberdiebstähle gewesen zu sein: Nach dem Terra/LUNA-Debakel im Frühjahr folgte die Insolvenz des Krypto-Lenders Celsius und der missglückte Rettungsversuch der Kryptobörse Voyager Digital im Sommer und dann die, im Nachhinein betrachtet, wohl doch nicht für alle so überraschende Pleite der weltweit zweitgrößten Kryptobörse FTX. Nicht nur bei den Unternehmenspleiten gab es Verdachtsmomente, dass Millionenbeträge in Bitcoin, Ethereum und Co. beiseite geschafft wurden, zuletzt bei Sam Bankman-Fried, der wegen Betrugsvorwürfen angeklagt wurde. Auch machten immer wieder Hacker mit spektakulären Cyberdiebstählen auf sich aufmerksam. Führend sollen hier, wie Chainalysis berichtet, staatlich beauftragte Krypto-Hacker aus Nordkorea sein.

Nicht nur Axie Infinity: Nordkoreanische Hackergruppen erbeuten 2022 eine Milliarde US-Dollar

So schätzt der Blockchain-Tracker Chainalysis, dass 2022 mit Nordkorea in Verbindung stehende Gruppen rund eine Milliarde US-Dollar in Kryptowährungen erbeutet haben. Hacker-Gruppen mit Verbindungen nach Nordkorea sollen für den enormen Anstieg der Diebstähle aus DeFi-Protokollen und Cross-Chain-Bridges verantwortlich sein. So auch bei dem Cyberangriff auf die Ronin-Bridge von Axie Infinity im März letzten Jahres. Hier haben die Betrüger Kontakt zu einem Mitarbeiter der Firma Sky Davis über das Business-Netzwerk LinkedIn aufgenommen und konnten so ein als Lebenslauf getarntes Dokument in die interne IT einschleusen. Im September wurden dann laut Bericht Kryptowährungen im Wert von mehr als 30 Millionen US-Dollar (etwa 10 Prozent der gestohlenen Gesamtsumme) beschlagnahmt, die mit nordkoreanischen Hackern in Verbindung gebracht werden können.

Nicht nur die schwindelerregende Höhe der gestohlenen Cyberdevisen bereitet Sicherheitsexperten Sorge, sondern auch die Programme, die mit den Cyberdiebstählen finanziert werden sollen. Im Juli äußerte sich die stellvertretende Sicherheitsberaterin des Weißen Hauses, Anne Neuberger, laut NZZ besorgt, Nordkorea beschaffe "schätzungsweise bis zu einem Drittel der Mittel für sein Raketenprogramm über das Internet". Da der Kryptomarkt nicht voll ausgereift sei, hätten die Betrüger hier leichtes Spiel, konstatiert auch die Nordkorea-Expertin Kom Soo gegenüber der NZZ: "Besorgniserregend an diesen Aktivitäten ist, dass sie in erster Linie zur Finanzierung des nordkoreanischen Atomwaffen- und Raketenprogramms verwendet werden". Zudem sollen die erbeuteten Gelder in die Spionageaktivitäten des Landes fließen.

"Nordkoreas Grossmachtstatus im Reich der Diebe ist dabei kein Zufall, sondern das Ergebnis einer langen Tradition illegaler Devisenbeschaffung", schreibt die NZZ. Mit der Digitalisierung der Finanzwelt verlagere sich auch die Devisenbeschaffung ins Internet resp. auf die Blockchain. Berichten des US-Finanzministeriums zufolge, die die NZZ zitiert, rekrutiere der Nordkoreanische Staat gezielt Hacker und bilde sie im In- und (politisch nahen) Ausland aus. Des Weiteren warnt das US-Finanzministerium vor Programmierern, die sich gezielt bei westlichen Firmen bewerben oder mit Mitarbeitern in Austausch treten, um an die Daten der Unternehmen zu kommen. Hierdurch erhielten die Angreifer direkten Zugriff auf die gewünschten Originaldaten, die keiner weiteren Interpretation bedürfen. Solche Mail-Kommunikationen seien nämlich für die "Verteidiger" kaum zu stoppen, sagte Cybercrime-Experte James Elliot vom Microsoft Threat Intelligece Center (MSTIC) gegenüber Reuters.

´

Lazarus, Kimsuky und BeagleBoyz: Bekannte Hacker auf internationalen Fahndungslisten

Lazarus, eine der bekanntesten Hackergruppen mit Verbindungen nach Nordkorea, führte 2016 einen historischen Bankraub durch, und zwar bei der Zentralbank von Bangladesch, bei der sie letztendlich über 80 Millionen US-Dollar erbeuteten. Der Großteil der Gelder konnte zwar wegen eines Tippfehlers aufgehalten werden, den Hackern war es jedoch gelungen, über ein infiziertes Dokument das IT-System der Bank zu infiltrieren und Auslandsüberweisungen auszulösen.

Die als BeagleBoyz bekannten Hacker hingegen haben sich laut NZZ seit 2018 auf die sogenannte "FastCash"-Methode spezialisiert, bei der infizierte Server verwendet werden, um Kennnummern von Kreditkarten zu verifizieren und so über Geldautomaten weltweit insgesamt Millionenbeträge auszuzahlen. Während die Gruppe Kimsuky sich laut Reuters auf das sogenannte "Spear Phishing" (Preisgabe von Passwörtern über Fake-Mails oder Schadsoftware) versteht oder über getarnte Mailanfragen direkt Berichte und Daten anfragt.

Der Krypto-Crash mit Folgen für das nordkoreanische Atomwaffenprogramm

Wie The Verge schreibt, zählt auch die nordkoreanische Regierung und vor allem deren Atomwaffenprogramm zu den Verlierern des jüngsten Krypto-Crashs: Die von nordkoreanischen Hackern zwischen 2017 und 2021 erbeuteten Kryptowährungen sollen laut Berechnungen inzwischen über 61 Prozent ihres Wertes eingebüßt haben. Auch bereite die Umwandlung der Cyberdevisen in Fiat-Währungen dem nordkoreanischen Regime Probleme und Wertverluste. Nichtsdestotrotz erbeuteten die nordkoreanischen Hacker in den letzten Jahren mehrere Milliarden für ihr Waffenprogramm.

Redaktion finanzen.net