„Staatliches Verbrecherkartell”: Wie Nordkorea weltweit IT-Unternehmen infiltriert

Über das soziale Netzwerk Linkedin meldet sich vergangenen Monat eine Frau bei Eugen Vyborov. Sie zeigt Interesse an der Firma des Tech-CEOs, lädt ihn in eine Telegram-Gruppe ein und verabredet einen Video-Call. Der Link führt ihn auf eine Seite, die der des Anbieters Zoom gleicht.

So beschreibt es Vyborov in einem LinkedIn-Post. Weil sein Audio nicht funktioniert, soll er die Hilfsseite öffnen. Doch Vyborov hat inzwischen Zweifel, ob hier alles mit rechten Dingen zugeht. Er bricht das Meeting ab.

Wer hinter dem Betrugsversuch steht, ist unklar. Doch das Handbuch – Simulieren eines legitimen Geschäftsinteresses, fake Zoom-Meetings inklusive Audioproblemen und eine Hilfsseite, auf der Malware schlummert – sieht aus wie eines aus Pjöngjang. Zwei weitere Cyber-Attacken, die nach einem fast deckungsgleichen Muster verliefen, konnten in den vergangenen zwei Monaten der nordkoreanischen Hacker-Gruppe BlueNoroff zugeordnet werden.

Leaks, Spionage und Kryptoraub

Seit Jahren ist Cyberkriminalität ein fester Bestandteil der Diktatur unter Kim Jong-un. Wie weitgreifend das Vorgehen der Regierung in Pjöngjang ist, zeigt ein kürzlich erschienener Bericht der Cybersicherheitsfirma DTEX. Nordkorea sei ein „weitaus höher entwickelter und gefährlicherer Cyber-Akteur als allgemein anerkannt“ heißt es darin. Verfasst wurde er von Michael Barnhart, Mitarbeiter bei DTEX und ehemaliger Leiter der „Threat Hunter Mission“ Nordkorea bei Google.

In dem Bericht geht um Spionage, Finanzbetrug, Raub von Kryptowährungen. Das Regime erinnere dabei weniger an konventionelle Geheimdienst- oder Militärapparate: Es gehe vor wie ein „staatlich organisiertes Verbrechersyndikat“.

Ende der Nuller Jahre wurde die nordkoreanische „Lazarus-Gruppe“ gegründet. Bekannt wurde sie 2014 nach einem Hackerangriff auf Sony. Damals waren Hacker, die mutmaßlich mit Nordkorea in Verbindung standen, in die Systeme des Unternehmens eingedrungen, stahlen und veröffentlichtem interne Nachrichten von Mitarbeitern an Journalisten.

In den darauffolgenden Jahren wurden der Gruppe immer wieder Hackerangriffe zugeschrieben. Inzwischen gibt es, dem DTEX-Bericht zufolge, 16 verschiedene nordkoreanische Gruppen, die unterschiedlich agieren. Das übergeordnete Ziel: Geld für die militärische Aufrüstung und zur Umgehung der Sanktionen zu beschaffen.

So stahlen nordkoreanischer Hacker Ende Februar dieses Jahres Kryptowährungen im Wert von 1,5 Milliarden US-Dollar. Bei einer Transaktion der Kryptowährung Ether über Bybit, eine Kryptowährungsbörse mit Sitz in Dubai, erlangten sie Kontrolle über ein Konto. Es war der größte Krypto-Raub der Geschichte.

© Foto: REUTERS/KCNA

Nordkoreas Wirtschaft sei in vielen Bereich zwar autark, sagt Martyn Williams im Gespräch mit dem Tagesspiegel. Er ist Senior Fellow für Korea beim US-Thinktank Stimson Center und beschäftigt sich mit Nordkoreas Technologie-Infrastruktur und Propaganda. „Aber es gibt einige Dinge, die es nicht selbst herstellen können. Für manche Dinge braucht Nordkorea also ausländische Währung.“

Nordkorea rekrutiert schon im Grundschulalter

Die verschiedenen Gruppen, die diese Währung beschaffen sollen, operieren im nordkoreanischen In- und Ausland. Oftmals handelt es sich um Personen, die sich als einfache IT-Mitarbeiter ausgeben. Mehrere Tausend sollen es laut dem DTEX-Bericht sein. Bereits im Grundschulalter werden mathematisch begabte Kinder rekrutiert, heißt es dort. Später werden sie an spezialisierte Schulen geschickt und die besten unter ihnen ausgewählt, um Informatik zu studieren.

„Weil Nordkorea so ein armes Land ist, denken viele, die Menschen dort seien rückständig und weniger intelligent“, sagt Williams. „Aber bei einigen dieser Krypto-Diebstähle haben wir gesehen, dass Nordkorea einige der besten Hacker der Welt hat. Nordkorea hat also keinen Mangel an Humankapital.“

Die IT-Arbeiter seien nicht nur für Krypto-Diebstähle verantwortlich, schreiben die Analysten von DTEX. Die Männer und Frauen arbeiten demnach unter gefälschten Identitäten in China, Russland oder Laos als Freelancer und versuchen zu Spionagezwecken Firmen zu infiltrieren.

Auch Deutschland ist betroffen

Vergangenes Jahr verschickten Hacker und Hackerinnen, die mutmaßlich mit Nordkorea in Verbindung standen, Mails an Mitarbeiter des deutschen Rüstungsunternehmens Diehl Defence, wie der „Spiegel“ berichtete. Darin boten sie vermeintliche Jobs bei US-Verteidigungsunternehmen an. Den Mails hingen gefälschte PDF-Dateien an, bei deren Öffnung der Rechner mit einer Spionage-Software infiziert würde.

Andere Cyber-Agenten geben sich als potenzielle Arbeitgeber aus und bringen Job-Kandidaten während ihrer Bewerbungsgespräche dazu, Schadsoftware zu downloaden. Dafür werden auch Laptop-Firmen, beispielsweise in den USA, genutzt. Über Rechner, die dort stehen, wird technisch der Eindruck erweckt, die IT-Arbeiter befänden sich selbst vor Ort.

Cyberoperationen müssen sich selbst finanzieren

Die IT-Mitarbeiter seien nicht durch Ideologie motiviert, schreibt Barnhart, „sondern durch materielle Notwendigkeiten: Nahrung, Unterkunft, Gesundheitsversorgung und Bildung für ihre Familien“. Ein Großteil des erbeuteten oder verdienten Geldes fließe allerdings an das nordkoreanische Regime. Nur etwa 20 Prozent ihrer Einnahmen könnten sie normalerweise behalten.

Das liegt auch daran, dass sich die Cyber-Operationen selbst finanzieren müssen. Nordkorea agiert also nicht wie andere Nationalstaaten, die beispielsweise dem Militär Mittel für die digitale Kriegsführung zur Verfügung stellen.

Das heißt, nordkoreanische Cyber-Agenten und ITler geben einen Anteil der Erträge an die nächsthöhere Ebene ab, und so weiter. Die Strukturen, die im DTEX-Bericht beschrieben werden, erinnern so viel mehr an Verbrecherkartelle.

Und es gibt noch einen weiteren Unterschied zu anderen Nationalstaaten wie China oder Russland, die auf Cyberkriminalität zurückgreifen: „Die nordkoreanische Regierung missachtet die internationalen Normen gänzlich. Es ist ihnen einfach egal, ob die ganze Welt weiß, was sie tun“, sagt Chuck Easttom, Informatiker und Experte für Cybersicherheit, dem Tagesspiegel. Er beobachtet außerdem, dass die Frequenz der Attacken durch nordkoreanische Hacker und Hackerinnen steige.

Internationale Unternehmen und Staaten seien darauf nicht ausreichend vorbereitet. „Ich muss sagen, dass die Gegenmaßnahmen eindeutig unzureichend sind, denn sonst würden wir nicht so häufig derartige Fälle erleben“, sagt Easttom. Ähnlich sieht es auch Williams: „Sie sind immer noch im Rückstand, weil Nordkorea weiterhin auf diese Weise vorgeht und dabei erfolgreich ist.“