Neuer Bericht: Nordkoreanische Hacker haben Geld von südkoreanischen Kryptobörsen gestohlen

Das US-Cybersicherheitsunternehmen Recorded Future hat einen neuen Bericht veröffentlicht, in dem Lazarus, eine nordkoreanische Hackergruppe, mit Hacker-Attacken und Sicherheitsverstößen auf verschiedenen südkoreanischen Kryptobörsen in Verbindung gebracht.

Der Bericht trägt den Titel "Nordkorea hat südkoreanische Kryptowährungsnutzer und Börsen im Rahmen einer Kampagne gegen Ende 2017 ins Visier genommen". In diesem haben die Forscher des Unternehmens erklärt, dass die selbe Art von Schadsoftware, die bei dem Sicherheitsverstoß bei Sony Pictures und bei der Attacke mit der Erpressungssoftware WannaCry benutzt wurde, auch bei der südkoreanischen Kryptobörse Coinlink benutzt wurde.

"Nordkoreanische Regierungsakteure, besonders die Lazarus Group, haben gegen Ende 2017, vor der Neujahrsansprache von Kim Jong Un und dem darauf folgenden Nord-Süd-Dialog, weiterhin südkoreanische Kryptobörsen und deren Nutzer ins Visier genommen. Die Schadsoftware nutzte das Prinzip des Shared Code mit der Schadsoftware Destover, welche 2014 gegen Sony Pictures Entertainment und bei der ersten WannaCry-Attacke im Februar 2017 verwendet wurde." heißt es im Bericht.

$7 Mio (5,7 Mio. €) von Bithumb gestohlen.

Im Februar 2017 wurde Bithumb, die zweitgrößte Kryptobörse auf dem globalen Markt in Hinblick auf das tägliche Handelsvolumen, Opfer eines Sicherheitsverstoßes, der den Verlust von Nutzer-Vermögen im Wert von etwa $7 Mio. (5,7 Mio. €) in Bitcoin und der Ethereum-Währung Ether zur Folge hatte.

Der Bericht, der von Recorded Future veröffentlicht wurde, hat angemerkt, dass der {7 Millionen US-Dollar-schwere Sicherheitsverstoß bei Bithumb mit nordkoreanischen Hackern in Verbindung gebracht wurde. Forscher der Insikt Group, eine Gruppe von Cybersicherheitsforschern, die die Aktivitäten von nordkoreanischen Hackern regelmäßig genau beobachtet, haben offengelegt, dass die Lazarus Group im Besonderen ein breites Spektrum an Tools verwendet haben. Dieses reichte von Spear-Phishing-Attacken bis hin zur Verbreitung von Schadsoftware über Kommunikationsplattformen, um sich Zugriff auf Wallets und Benutzerkonten für Kryptowährungen zu verschaffen.

Forscher der Insikt Group gaben bekannt, dass Hacker der Lazarus Group im Herbst 2017 eine massive Schadsoftware-Kampagne gestartet haben und seitdem haben sich nordkoreanische Hacker darauf konzentriert, Schadsoftware zu verbreiten, indem sie Dateien angehängt haben, die Betrugssoftware enthielten, um Zugriff auf einzelne Geräte zu bekommen.

Eine Methode, die von der Lazarus Group verwendet wurde, war die Verteilung von Dateien des Typs Hangul Word Processor (HWP) mit Schadsoftware im Anhang über Email. Dieser Datei-Typ ist das südkoreanische Äquivalent zu Microsoft Word Dokumenten. Wenn ein Kryptowährungsnutzer diese Schadsoftware herunterlädt, installiert diese sich automatisch selbst und arbeitet im Hintergrund. Dabei übernimmt sie die Kontrolle über gespeicherte Daten auf dem jeweiligen Gerät oder manipuliert diese.

CVE

"Im Jahr 2017 sind nordkoreanische Akteure auf dem Kryptowährungs-Zug aufgesprungen. Die erste bekanntgewordene nordkoreanische Aktion im Bereich Kryptowährung fand im Februar 2017 statt. Dabei wurden der südkoreanischen Börse Bithumb $7 Mio. (5,7 Mio. €, zu der Zeit) in Kryptowährungen gestohlen. Bis Ende 2017 haben mehrere Forscher zusätzliche Spear-Phishing-Attacken gegen südkoreanische Kryptobörsen, zahlreiche erfolgreiche Diebstähle und sogar Bitcoin- und Monero-Mining gemeldet, wie die Forscher der Insikt Group schrieben.

Motive der nordkoreanischen Hacker

Vor der Veröffentlichung des Berichtes von Recorded Future haben andere Cybersicherheitsunternehmen nordkoreanische Hackergruppen beschuldigt, südkoreanische Kryptobörsen mit komplexer Schadsoftware und Phishing-Angriffstools ins Visier genommen zu haben.

Forscher bei FireEye haben sechs gezielte Cyberattacken gegen südkoreanische Kryptobörsen mit staatlich finanzierten Hackern in Nordkorea in Verbindung gebracht. Erst kürzlich, wie Cointelegraph berichtete, haben polizeiliche Ermittler und die Korea Internet and Security Agency, eine koreanische Behörde für die Cybersicherheit, eine umfassende Ermittlung begonnen. In dieser geht es um einen Sicherheitsverstoß, der die Insolvenz von YouBit, einer südkoreanischen Kryptobörse, zur Folge hatte.

Zu dieser Zeit haben örtliche Ermittler bekanntgegeben, dass sie Beweise gefunden hätten, die den Sicherheitsverstoß bei YouBit mit nordkoreanischen Hackern in Verbindung bringt. Der leitende Experte bei FireEye Luke McNamara hat gegenüber Bloomberg auch gesagt, dass ähnliche Tools, die weitgehend von nordkoreanischen Hackern verwendet werden, auch bei dem YouBit-Hackerangriff verwendet wurden.

"Das ist ein Gegner, der immer fähiger wird und auch immer dreister in Bezug auf die Wahl der Ziele wird. Das hier ist eigentlich nur die Spitze einer größeren Strategie, die sie seit mindestens 2016 schon anwenden. Dabei nutzen sie Fähigkeiten, die hauptsächlich in der Spionage verwendet wurden, um Geld zu stehlen.