Kim Jong Un und seine Tochter in Pjongjang
Exklusiv

Nordkoreanische Hacker "Kimsuky" greift an

Stand: 20.03.2023 09:02 Uhr

Nordkoreanische Hacker nehmen vermehrt Ziele in Deutschland ins Visier. Sie nutzen dabei offenbar den Google-Webbrowser aus. Jetzt warnen der deutsche Verfassungsschutz und Südkoreas Inlandsgeheimdienst vor neuen Cyberattacken.

Es sind vor allem die Drohungen mit Nuklearwaffen und die ständigen Raketentests, mit denen Nordkorea regelmäßig für Schlagzeilen sorgt. Die Diktatur von Kim Jong-Un gilt weiterhin als eines der wohl verschlossensten Länder der Welt. Gerade in der Covid-Pandemie schottete sich Nordkorea noch stärker ab. Die meisten Menschen bekommen weiterhin keine freien Informationen aus der Außenwelt. Auch der Zugang zum freien Internet ist dem Großteil der Bevölkerung nicht gestattet.

Dennoch entwickelte sich Nordkorea in den vergangenen Jahren zu einer ernstzunehmenden Bedrohung auch im Cyberraum. Die Hacker des Regimes gehen nach Erkenntnissen westlicher Sicherheitsbehörden weltweit auf Raubzüge, beschaffen durch Cyberangriffe Informationen aus Politik, Industrie und Wissenschaft und stehlen Millionenwerte in Kryptogeld - möglicherweise zur Finanzierung der nordkoreanischen Atom- und Raketenprogramme.

Zu einer der aktivsten nordkoreanischen Hackereinheiten gehört die Gruppe "Kimsuky", auch "Velvet Chollima" oder "Thallium" genannt. Sie soll bereits seit 2012 aktiv sein. IT-Sicherheitsexperten ordnen sie staatlichen Stellen in Nordkorea zu. Die Hacker von "Kimsuky" - benannt nach dem Namen eines E-Mail-Kontos, das früher von den Hackern genutzt worden war - haben sich auf Cyberspionage spezialisiert. Sie attackieren vor allem Personen aus den Bereichen Politik, Wissenschaft und Forschung, und hatten es in der Vergangenheit beispielsweise auf interne Regierungsunterlagen aus Südkorea abgesehen.

Cyberattacken in Deutschland erwartet

Nun warnt das Bundesamt für Verfassungsschutz (BfV) nach WDR-Informationen explizit auch in Deutschland vor einer Cyberkampagne von "Kimsuky". Erstmals erstellten die deutschen Verfassungsschützer gemeinsam mit dem südkoreanischen Inlandsnachrichtendienst National Intelligence Service (NIS) einen Warnhinweis, um auch hierzulande potenzielle Angriffsopfer vor den Hackern aus Nordkorea zu warnen.

"Die Aktivitäten zeichnen sich durch den Missbrauch von Googles Browser und App-Store-Diensten gegen Forschende zum innerkoreanischen Konflikt aus", heißt es in einem Warnschreiben des BfV. "Nach Einschätzungen von NIS und BfV hat der Akteur in den letzten Jahren bereits gezielt koreanische und deutsche Einrichtungen mit Spear-Phishing-E-Mails angegriffen." Es sei davon auszugehen, dass die Hacker künftig auch Denkfabriken und Organisationen angreifen könnten, die sich mit Diplomatie und Sicherheitspolitik beschäftigen.

Angriffe über Googles Chrome-Webbrowser

Die bevorzugte Vorgehensweise der "Kimsuky"-Hacker sei es, so der Verfassungsschutz, durch Spear-Phishing, also vermeintlich legitim wirkende E-Mails, die speziell auf die Zielperson zugeschnitten werden, das Opfer dazu zu bringen, einen bestimmten Link einer echt wirkenden Webseite anzuklicken und sich dort anzumelden. Etwa goog1e.com statt google.com, webb.de statt web.de oder gnx.net statt gmx.net. Auch vor Anhängen in den E-Mails mit Bezeichnungen wie "Neue Forschungsarbeit", "Résumé" oder "Rechnung Nr. 28629" wird gewarnt.

Als neue Methode benennt der Verfassungsschutz in seinem Warnhinweis die Ausnutzung des Webbrowsers Google Chrome für entsprechende Angriffe. Per E-Mail werde dabei das Opfer aufgefordert, eine Erweiterung des Browsers zu installieren, bei der es sich tatsächlich um ein schädliches Programm handelt, mit dem die Kontodaten bei Google Mail, also Nutzername und Passwort, gestohlen werden.

 

Zwei-Faktor-Authentifizierung umgangen

"Ziel des Vorgehens ist das unbemerkte Erbeuten der Inhalte des E-Mail-Postfachs des Opfers. Dabei werden gängige Sicherheitsvorkehrungen der E-Mail-Provider, wie beispielsweise Zwei-Faktor-Authentifizierung, umgangen", warnen der deutsche und südkoreanische Inlandsnachrichtendienst.

Eine zweite Angriffsmethode der nordkoreanischen Hacker sei die unbemerkte Installation einer Schadsoftware auf Android-Smartphones über den App-Store Google Play, und zwar durch den Missbrauch der Synchronisierungsfunktion.

Dabei sollen die Hacker in etwa so vorgehen: Sie nutzen die erbeuteten Kontodaten ihrer Opfer und loggen sich in deren Google Account ein. In den Einstellungen des Accounts wird dann die Synchronisierungsfunktion von Google Play aktiviert. Dann laden die Hacker im App Store von Google ein vermeintlich harmloses Programm hoch, bei dem es sich um ein Schadprogramm handelt. 

Der Google-Account des Opfers wird anschließend als Testteilnehmer einer angeblichen Testphase der App hinzugefügt. So wird das schädliche Programm automatisch auf dem Gerät installiert, ohne zusätzliches Zutun und Kenntnis des Opfers.

Drei Hacker in den USA 2021 angeklagt

Die beschriebene Vorgehensweise sei bislang jedoch wohl nur selten erfolgt, so die Einschätzung der Nachrichtendienste. Die Hacker seien offenbar sehr darauf bedacht, nicht entdeckt zu werden. Falls Personen in Deutschland befürchten, zu den Opfern einer solchen Attacke aus Nordkorea zu gehören, sollten diese sich umgehend beim Bundesamt für Verfassungsschutz melden.

Bereits in der Vergangenheit waren nordkoreanische Cyberangriffe auf deutsche Ziele festgestellt worden. So soll die bekannteste nordkoreanische Hackergruppe, APT38 oder "Lazarus Group" genannt, versucht haben, Rüstungsunternehmen auszuspionieren. Auch die Pharmaindustrie, insbesondere die Entwickler von Impfstoffen zum Corona-Virus, sollen im Fokus der Hacker des Regimes in Pjöngjang gestanden haben.

Die US-Justiz hat im Februar 2021 drei mutmaßliche Hacker der nordkoreanischen "Lazarus"-Gruppe in Abwesenheit angeklagt und für zahlreiche Angriffe weltweit verantwortlich gemacht. Sie sollen unter anderem virtuelle Banküberfälle durchgeführt haben, bei denen sie bis zu einer Milliarde Euro in Kryptowährungen erbeutet haben sollen.