Ein Mann sitzt vor einem Computer. | Bildquelle: REUTERS

Studie zu Hackerangriffen Nordkoreas Cyberkrieger greifen an

Stand: 24.02.2018 03:22 Uhr

Sie attackieren Menschenrechtler in Südkorea, geflohene Nordkoreaner oder Organisationen im Umfeld der Winterspiele von Pyeongchang: Nordkoreas Hacker schlagen immer häufiger und immer professioneller zu.

Von Anja Bröker, WDR

Der Sport sollte Barrieren einreißen. Gesten der Annäherung bei den "Friedensspielen" in Pyeongchang: Nord- und Südkoreas Sportler marschierten gemeinsam bei der Eröffnungsfeier ins Stadion ein. Die Eishockey-Damen beider Länder gingen zusammen als Team aufs Eis. Nordkoreas Charmeoffensive nach Monaten der Provokationen durch Raketen- und Atomtests fand weltweit Beachtung.

Dabei liefen Spionageoperationen des Nordens noch bis kurz vor den Olympischen Winterspielen offenbar auf Hochtouren. Nordkoreas Cyberkrieger sollen Südkoreaner ins Visier genommen haben, die finanzielle Förderprojekte für Olympiateilnehmer betreuten.

Hinter diesen gezielten Angriffen auf die Olympia-nahe Organisation soll eine Hackergruppe stecken, die Experten mit der Kennung APT37 bezeichnen. Sie führte im vergangenen Jahr Operationen gegen Nordkoreaner durch, die aus der Volksrepublik geflohen sind.

Parade Pjöngjang Kim Jong-Un | Bildquelle: dpa
galerie

Setzt nicht nur auf die klassische Armee, sondern auch auf Cyberkrieger: Diktator Kim.

Menschenrechtler und Journalisten im Visier

Auch wissenschaftliche Mitarbeiter von südkoreanischen Menschenrechtsorganisationen und Journalisten, die über Menschenrechtsverletzungen im Norden berichteten, sollen Ziel von Attacken gewesen sein. Klassische Cyberspionage im Auftrag der Regierung in Pjöngjang.

Inzwischen haben die Hacker von APT37 ein neues Level erreicht. Sie sollen in der Lage sein, bisher unbekannte, sogenannte Zero-Day-Schwachstellen aufzuspüren, noch bevor die Entwickler die Lücken schließen können. Vor wenigen Wochen erst nutzten die Hacker eine derartige Lücke im Programm Adobe Flash, um Schadsoftware über Webseiten zu verbreiten.

Außerdem entwickelte die Gruppe in Nordkorea ein eigenes Abhör-Tool, das aus der Ferne auf das Computermikrofon der Zielperson zugreifen kann. Dies geht aus einer Studie der kalifornischen IT-Sicherheitsfirma FireEye hervor. Das nordkoreanische Regime verbietet seinen Bürgern weitestgehend den Zugang zum Netz. Kaum mehr als zehn Webseiten seien in Nordkorea zugänglich, erzählt Sandro Gaycken, Direktor des Digital Society Institute in Berlin. Der Experte für Cybersicherheit, der Bundesministerien und auch die NATO berät, beobachtet die nordkoreanische Hackerszene seit Jahren.

Ein Mann tippt auf einer Computer-Tastatur | Bildquelle: REUTERS
galerie

2014 hatte die Gruppe Lazarus Daten von Sony abgegriffen.

80 Millionen Dollar abgezweigt

Das Regime in Pjöngjang baut seine eigene Cyberarmee konsequent aus. Die berühmteste Hackergruppe des Landes, Lazarus, hatte 2014 Daten von Sony Picture zuerst abgegriffen und später zerstört. Kims Hacker waren es auch, die mehr als 80 Millionen US-Dollar von Banken in Polen und Bangladesch per Mausklick abfließen ließen.

Im vergangenen Jahr schließlich ging das Schadprogramm WannaCry wohl ebenfalls auf das Konto Pjöngjangs. 300.000 Rechner in 150 Ländern wurden dabei infiziert. Der Computerwurm hatte Krankenhäuser und Anzeigetafeln der Deutschen Bahn lahmgelegt. Die US-Regierung hält Nordkorea für direkt verantwortlich.

Offenbar für etliche internationale Attacken verantwortlich

Das bisher wenig beachtete Team APT37 halten Experten für "den kleinen Bruder" der Lazarus-Gruppe. FireEye geht "mit hoher Wahrscheinlichkeit" davon aus, dass die Hackergruppe unter dem Namen APT37 für eine ganze Reihe von internationalen Cyberangriffen verantwortlich ist. So wurde 2017 eine Firma aus dem Nahen Osten angegriffen, die ursprünglich einen Joint Venture mit der nordkoreanischen Regierung geplant hatte und Telekommunikationsdienste für das Land anbieten wollte.

Doch die Zusammenarbeit mit dem Regime in Pjöngjang geriet ins Stocken. Kurze Zeit später wurde das arabische Unternehmen massiv von Hackern angegriffen, deren Spuren nach Nordkorea führten. Andere Ziele waren Personen, die für internationale Beziehungen und Außenhandel zuständig waren. Der Generaldirektor einer Handels- und Transportfirma aus Vietnam war genauso betroffen wie eine japanische Organisation, die mit den Vereinten Nationen zusammenarbeitet.

Hinter allem soll, laut FireEye, die Gruppe APT37 stecken. Drei Jahre lang haben die amerikanischen IT-Sicherheitsexperten dieses Hackerkollektiv beobachtet. Sie konnten die Operationen zurückverfolgen, fanden IP-Adressen in Nordkorea, auch die Uhrzeiten der Aktivitäten passten zur nordkoreanischen Zeitzone.

Bislang hat APT37 noch keine Ziele etwa in den USA oder in Europa angegriffen, obwohl die Hackergruppe dazu längst in der Lage sei, erklären IT-Experten einstimmig. "Es wäre aber ein Fehler, deren Fähigkeiten zu unterschätzen, nur weil Nordkorea ein unterentwickeltes Land ist", erklärt IT-Spezialist Benjamin Read von FireEye. "Wenn diese Hacker vom Kim-Regime noch mehr Mittel bekommen, wird es sehr schwer werden, sie künftig aus unseren Systemen draußen zu halten."

Darstellung: