Nordkoreanische Hacker-Gruppen
ⓒ Getty Images BankNordkorea setzt seine Raketenstarts trotz Sanktionen unbeirrt fort. Bislang in diesem Jahr feuerte das Land an mehr als 20 Tagen Raketen ab. Es gibt noch andere Bedrohungen, mit denen das Land auf sich aufmerksam macht. So unternimmt es oft Hackerattacken. Im vergangenen Monat richtete sich der Versuch einer solchen Attacke auf die gemeinsamen Militärübungen Südkoreas mit den USA. Welche Gruppen stecken hinter den Cyberaktivitäten? Die südkoreanische Regierung verhängte am 2. Juni einseitig Sanktionen gegen die nordkoreanische Hackergruppe „Kimsuky“. Das war zwei Tage nach dem Versuch Nordkoreas, einen militärischen Aufklärungssatelliten ins All zu bringen. Es waren die weltweit ersten Sanktionen gegen eine Hackergruppe aus Nordkorea, die nur ein Staat beschlossen hatte. Zum Thema sagt Jeong Eun Chan vom Nationalinstitut für Vereinigungserziehung:
Kimsuky steckt seit mehr als zehn Jahren hinter Cyberattacken in Südkorea und westlichen Ländern einschließlich der USA. Die Hackergruppe versteckt sich oft hinter berühmten Namen, um Informationen von öffentlichen südkoreanischen Institutionen wie auch von Experten in den Bereichen Kryptowährung, Diplomatie und Sicherheit zu stehlen. Das nordkoreanische Generalbüro für Aufklärung hat Spezialisten für Cyberaktivitäten. Unter der Geheimdienstbehörde sind es das 3. Büro, das auch als Büro für technische Aufklärung bekannt ist, und das Lab 110, von denen angenommen wird, dass sie die Hackergruppen anleiten. Kimsuky gehört zum Generalbüro für Aufklärung.
Seit 2010 startete Kimsuky Hackerattacken gegen südkoreanische Behörden und andere Einrichtungen, darunter das Verteidigungsministerium und das Ministerium für Vereinigung. Der Name “Kimsuky” stammt von einer russischen Sicherheitsfirma, die einer Cyberattacke auf der Spur war, die offensichtlich von Nordkorea ausging. Zum Ziel wurde 2014 auch die Gesellschaft Korea Hydro & Nuclear Power in Südkorea. Im vergangenen Jahr wurden unter Verwendung des Namens eines südkoreanischen Abgeordneten Phishing-Mails versendet:
Ich war überrascht von der ausgefeilten Natur dieses Vorgangs. Zunächst dachte ich, dass mein Büro diese Emails versandt hat, so dass ich meine Mitarbeiter fragte, diese Nachrichten zu prüfen.
Kimsuky sandte die Emails unter dem Namen Thae Yong-ho, einem ehemaligen nordkoreanischen Diplomaten, der nach Südkorea geflüchtet war und dort Abgeordneter wurde, an Experten für die nationale Sicherheit und Außenpolitik. Die Gruppe konnte so Informationen an die nordkoreanische Regierung weiterleiten. Es gibt noch mehr nordkoreanische Hackergruppen:
Es scheint, als ob zahlreiche Hackergruppen eine Verbindung mit Nordkorea haben. Dazu gehören APT 38, Temp.Hermit, Hidden Cobra, Reaper, die auch als APT 37 bekannt sind, Group 123, Nickel Academy sowie Lazarus. Insbesondere Lazarus ist berüchtigt, weil es sich in Finanzinstitute in aller Welt reingehackt hat. Die Gruppe stahl von der Zentralbank Bangladeshs 81 Millionen Dollar.
Nordkoreas Hackergruppen stehen in der Regel entweder unter dem Militär oder der Partei. 15 bis 20 Gruppen arbeiten für das technische Aufklärungsbüro. Lazarus wurde auch dadurch bekannt, dass es sich 2014 in Sony Pictures Entertainment reingehackt hatte. Das war eine Reaktion auf einen satirischen Film des amerikanischen Unternehmens, in dem es um einen fiktiven Anschlag auf den nordkoreanischen Machthaber Kim Jong-un ging. Zusammen mit der Attacke von 2016 auf ein Konto der Zentralbank Bangladeshs bei der amerikanischen Notenbank Federal Reserve zeigt der Vorfall, dass die Hackerfähigkeiten Nordkoreas ein bedeutsames Niveau erreicht haben:
Nordkoreanische Hacker richten ihre Operationen auf spezifische Personen oder Institutionen in einer bestimmten Zeitspanne. Wenn ihre Aufgabe erfüllt ist, werden sie anderen Teams für neue Einsätze zugeteilt. Es wurden Cyber-Operationsbasen eingerichtet, die sich in chinesischen Städten wie Shenyang, Guangzhou und Dalian, aber auch in der Mongolei und Indonesien als Handelsfirmen ausgeben. Durch diese Hackerversuche sicherte sich Kimsuky den Zugriff auf 326 Server in 26 Ländern. Die Gruppe nutzt die gewaschenen Internet-Protokoll-Adressen, um Phishing-Emails unter dem Namen eines Abgeornetenbüros, von Regierungsbehörden oder Reportern auszusenden. Den Emails sind bösartige Programme beigefügt, oder sie weisen die Leser zu einer Phishing-Website, die mit der Botschaft verbunden ist. Sobald der Leser auf die Programme oder den Link klickt, beginnt der Hackervorgang.
Was die Hackerfähigkeiten betrifft, so denken Experten, dass Nordkorea hinter den USA und Russland auf dem weltweit dritten Platz steht. Es wird angenommen, dass nordkoreanische Hackergruppen in den vergangenen 14 Jahren Attacken in mindestens 29 Ländern unternommen haben. Die Hackermuster breiten sich auf zahlreiche Bereiche wie etwa U-Bahnen, die Luftfahrt, Atomenergie sowie biotechnische Firmen aus. Der Zweck ist es, Informationen zu erbeuten und das gesellschaftliche Leben zu stören. Die Nachrichtenagentur Reuters berichtete 2021, dass nordkoreanische Hacker in die Computernetze eines Raketenentwicklers in Russland, eines traditionellen Verbündeten, eingedrungen seien. Wie kann die kommunistische Diktatur, die weitgehend isoliert ist, solche Angriffe starten?
Es wird gesagt, dass Nordkorea seine Cyber-Kräfte Mitte der 1980er Jahre verstärkt hat. Es fördert sie, um die militärische und wirtschaftliche Unterlegenheit auszugleichen. Das Land gründete 1986 das Mirim College als einen Ort, an dem Cyber-Spezialisten trainiert werden. In den 90er Jahren begann Nordkorea damit, talentierte Kinder in Informationstechnologie zu schulen. Die Wissenschaftstalente werden an der Pjöngjang-Mittelschule Nummer 1, oder Kumsong-Schule, ausgebildet. Sie werden dann zu Cyberkriegern am Mirim College, der Kim-Il-sung-Universität oder der Kim-Chaek-Universität für Technologie weitergebildet.
Seit der Herrschaft von Kim Jong-uns Vater, Kim Jong-il, wurden intensiv Hacker für einen Angriff ausgebildet. Das wurde als effektivste Methode im Verhältnis zu den Anfangsinvestitionen gesehen. Kim Jong-il wies die Beamten zur IT-Erziehung für Kinder auf nationaler Ebene an. Talentierte Schüler, die an Grundschulen ausgewählt wurden, erhielten eine weitreichende Computer-Ausbildung einschließlich der Programmierung. Die herausragendsten unter ihnen werden zur Universität geschickt. Nordkoreanische Studenten haben ihre Programmierfähigkeiten schon bei internationalen Wettbewerben unter Beweis gestellt:
Nordkoreanische Studenten, die als Cyber-Krieger trainiert werden, nehmen oft an internationalen Veranstaltungen teil. In diesem Jahr belegten nordkoreanische Stutenden die ersten vier Plätze bei einem Hacker-Wettkampf von HackerEarth, einem Unternehmen in San Francisco. Die Studenten der Kim-Chaek-Universität für Technologie wurden Erste, Dritte und Vierte, während Studenten der Kim-Il-sung-Universtität Zweite wurden. Auf der Homepage der Kim-Chaek-Universität für Technologie hieß es, dass ihre Studenten mit einem perfekten Punktestand von 800 gewonnen hätten. Etwa 1700 Menschen hatten teilgenommen.
Nordkoreanische Studenten, die zu Cyber-Kriegern ausgebildet wurden, können sich zudem in China oder Russland weiterbilden. Wenn das Training vorbei ist, werden sie bestimmten Hacking-Einheiten innerhalb der globalen Cyber-Operationen zugeteilt:
In Nordkorea werden die Hacker-Operationen durch den Staat geleitet. Der Zweck ist es, die Spionageaktivitäten fortzusetzen und Devisen einzunehmen. Mit dem erbeuteten Geld verbessert das Land seine Cyberkriegskapazitäten, entwickelt Raketen und trainiert professionelle Hacker. Die nordkoreanische Militärstrategie beruht auf den drei Säulen eines Erst- oder Überraschungschlags, eines schnellen, entscheidenden Kriegs sowie gemischter Taktiken. Bei den gemischen Taktiken will Nordkorea Angriffe sowohl an der Front als auch im hinteren Teil starten. Während die regulären Truppen an der Front angreifen, ist es die Aufgabe der anderen, die Nachhut der Feinde aufzuscheuchen, indem sie unterirdische Tunnel graben. Doch Nordkorea bereitet sich jetzt auf den Cyber-Krieg vor, so dass es den Rückraum durch bloßen Knopfdruck stören kann. Für diesen Zweck nutzt es das Hacken.
Nordkorea betreibt Hacker-Einheiten, um Geldquellen aufzuschließen und Informationen für die Erhaltung des Regimes zu sammeln. Es hat 2015 die Wendung “Cyber-Deviseneinnnahmen” geschaffen und somit angedeutet, wie wichtig dieses Ziel für das Land ist. Das Problem des Kryptowährungsdiebstahls wurde zuletzt auch bei einer Anhörung des US-Kongresses angesprochen. Elizabeth Warren, eine Politikerin der Demokraten, sagte, nordkoreanische Hacker hätten in den vergangenen fünf Jahren mehr als drei Milliarden Dollar aus Cyber-Diebstählen erbeutet. Etwa 50 Prozent wurden demnach offenbar für die Beschaffung von Teilen für die Entwicklung von Atomwaffen und Raketen verwendet. Angesichts der internationalen Sanktionen gegen das Land und seiner wirtschaftlichen Schwierigkeiten dürfte Nordkorea seine Hacker-Kapazitäten weiter ausbauen:
Unter Kim Jong-un hat Nordkorea den Fokus auf die Entwicklung von Cyber-Kriegsfähigkeiten gerichtet. Zusätzlich zu den wirtschaftlichen Vorteilen durch seine Hacker-Operationen dehnt das Land seine Cyberattacken auf Regierungen, militärische Organisationen, die Rüstungsindustrie sowie Energieforschungsinstitute im Ausland aus, um an mehr militärische und diplomatische Informationen zu gelangen. Das ist der Grund, warum die USA, die EU und die UN weiter Sanktionen gegen nordkoreanische Hacker-Gruppen und bösartige Cyber-Akteure verhängen. Die südkoreanische Regierung bereitet sich auf die Ausbildung von Fähigkeiten gegen den Cyber-Terrorismus vor. Südkorea und die USA diskutierten bilateral über Wege, um mit Nordkoreas Cyberattacken umzugehen. Diese Bemühungen wird zu einer stärkeren, strategischen Zusammenarbeit zwischen den beiden Verbündeten bei der Cybersicherheit führen, und Südkorea wird seine Cyber-Reaktionskapazitäten verbessern.
Kim Jong-un betonte einmal, dass der Cyber-Krieg, zusammen mit Nuklearwaffen und Raketen, ein Allzweck-Schwert sei, das die Schlagkraft der nordkoreanischen Volksarmee garantiere. Wie Kim schon andeutete, nutzt Nordkorea seine Cyber-Kapazitäten, um geheime Informationen wie auch Vermögen anderer Länder abzuschöpfen. Die internationale Gemeinschaft sollte enger kooperieren, um den staatlich unterstützten Hackern das Handwerk zu legen.
