Nordkoreanische Angreifer machen Jagd auf Devisen

In der Vergangenheit sei es bei vermuteten Cyberattacken Nordkoreas darum gegangen, soziale Störungen zu verursachen oder militärische oder staatliche Daten zu stehlen, heißt es in einer Studie des südkoreanischen Finanzsicherheitsinstituts (FSI), das vom Staat unterstützt wird. Der Fokus scheine sich in den vergangenen Jahren auf die Beschaffung von Fremdwährung verlagert zu haben, teilte das FSI am Freitag mit.

Seit längeren wird vermutet, dass die Führung in Pjöngjang hinter der Hackergruppe Lazarus steht. Diese wird von Experten in Verbindung gebracht mit einer Attacke auf die Zentralbank von Bangladesch, bei der im vergangenen Jahr durch gefälschte Zahlungsanweisungen 81 Millionen US-Dollar erbeutet worden waren, ebenso wie mit einer Cyberattacke gegen das Sony-Hollywood-Filmstudio. Dabei waren 2014 massenhaft Firmendaten entwendet und im Internet veröffentlicht worden.

Im April hatte die russische Softwarefirma Kaspersky auch eine Hackergruppe Bluenoroff identifiziert, die sich vor allem auf Angriffe gegen ausländische Finanzinstitute konzentriere. Sie sei ein Ableger von Lazarus.

Auch Bankomaten im Visier

Der FSI-Bericht identifiziert nun einen weiteren Lazarus-Ableger mit Namen Andariel. Bluenoroff und Andariel hätten den gleichen Ursprung, verfolgten aber unterschiedliche Ziele, hieß es. So habe sich Andariel auf Attacken gegen südkoreanische Unternehmen und Regierungsbehörden spezialisiert. Andariel versuche etwa Bankkarteninformationen auszuspähen, indem sich die Gruppe in südkoreanische Bankomaten hacke. Erbeutete Informationen würden genutzt, um Geld abzuheben oder die Daten auf dem Schwarzmarkt zu verkaufen.

Andariel habe aber auch Schadsoftware entwickelt, um sich in Online Poker-Spiele oder Glücksspielseiten zu hacken und Geld zu stehlen. Laut Vitali Kamlug, Direktor des APAC-Forschungszentrums bei Kaspersky, ist es Angreifern in diesem Jahr gelungen, Geldautomaten von mindestens zwei lokalen Anbietern zu analysieren.

Das wegen seines Atom- und Raketenprogramms mit internationalen Sanktionen belegte Nordkorea hat dem Bericht zufolge seine Cyberangriffs-Fähigkeiten verstärkt, um an harte Devisen zu kommen. „Wir sehen einen wachsenden Trend, dass Nordkorea seine Cyberfähigkeiten für finanziellen Gewinn nutzt“, sagt auch Luke McNamara, Analyst bei der Cybersicherheitsfirma FireEye. Nordkorea weist hingegen Berichte zu Cyberattacken gegen andere Staaten stets zurück.