In den vergangenen Jahren haben sich die Hackeraktivitäten Nordkoreas merklich intensiviert, wobei das Land Cyberoperationen verstärkt nutzt, um internationale Sanktionen zu umgehen und seine geopolitischen Ambitionen zu unterstützen. Die Lazarus-Gruppe, die mit dem Regime von Kim Jong-un assoziiert wird, zählt zu den prominentesten dieser Hackergruppen und wird für zahlreiche bedeutende Cyberattacken verantwortlich gemacht.
Rache an Nordkorea: Ein Hacker schlägt zurück
Die Attacken organisierter Hackerinnen und Hacker der ostasiatischen Volksrepublik zielen vermehrt auf Finanzinstitutionen ab, um Gelder zu stehlen, die zur Finanzierung des nordkoreanischen Kernwaffen- und Raketenprogramms verwendet werden. Dazu nutzen sie zum Teil Werkzeuge, die sie im Rahmen ihrer Angriffe auf andere Cyberkriminelle und Sicherheitsforschende ergattern. Zu ebendiesen gehörte 2021 der 38-jährige kolumbianisch-amerikanische Unternehmer Alejandro Caceres, alias P4x. Führ ihn jedoch schien der Angriff eher eine Herausforderung darzustellen als ein ernstes Problem.
Im Januar 2021 trat ein ihm unbekannter Hacker online über einen Freund an Caceres heran und bat ihn, sich ein scheinbar interessantes Software-Exploitationsprogramm anzusehen. Ein oder zwei Tage später las Caceres einen Blogbeitrag der Google Threat Analysis Group (TAG), der davor warnte, dass nordkoreanische Hacker*innen amerikanische Sicherheitsforschende angriffen, in dem Bestreben, deren Hacking-Tools und Informationen zu stehlen. Tatsächlich stellte Caceres fest, dass die von ihm heruntergeladene und auf seinem Computer ausgeführte Datei eine Hintertür enthielt. Nur die Tatsache, dass er das Programm auf seinem Rechner isoliert hatte, schützte ihn davor, vollständig kompromittiert zu werden.
Zunächst habe er das Federal Bureau of Investigation (FBI) um Hilfe gebeten, erzählte Caceres im Interview mit Wired. Da er diese aber nicht bekommen habe, habe er beschlossen, die Sache selbst in die Hand zu nehmen. „Es fühlte sich richtig an, das zu tun“, so der Hacker. „Wenn sie nicht sehen, dass wir Zähne haben, wird es einfach weitergehen.“
Auch interessant: Rache für Alexei Nawalnys Tod: Hacker stellen Russland bloß
Allein gegen das Kim-Regime
Ende Januar 2022, fast genau ein Jahr nachdem er selbst zum Ziel geworden war, startete P4x seinen eigenen Angriff. Mittels maßgeschneiderter Skripte nahm er dabei Schlüsselrouter ins Visier, die den nordkoreanischen Internetverkehr steuerten. Dabei prüfte der damals 36-Jährige regelmäßig den Online-Status der Router, um seine Attacken mit schädlichen Datenanfragen zu intensivieren, um diese lahmzulegen, sobald sie wieder Fahrt aufnahmen. Im Grunde sei das nichts weiter gewesen als ein „kleiner bis mittlerer“ Penetrationstest, wie er gegenüber Wired erklärte.
Es habe nicht lange gedauert, bis Nordkoreas Behörden auf Caceres aufmerksam wurden. Immerhin gelang es ihm im Rahmen seiner Operation Webseiten der Regierung, der staatlichen Airline und viele weitere tagelang außer Betrieb zu setzen. Doch wer er war, war damals nicht öffentlich bekannt. So ging man zunächst von staatlichen Akteuren aus, etwa den USA oder China.
Auch interessant: Über 100 Millionen Konten geknackt: Polizei macht Hacker dingfest
Lehrstunde für die US-Behörden
„Für die US-Regierung ist jede Ausführung nach Plan normalerweise ein sechsmonatiger Prozess. P4x hat es in zwei Wochen geschafft“, zitierte Wired einen langjährigen militärgeheimdienstlichen Auftragnehmer. Angus – ein Pseudonym – hatte zu diesem Zeitpunkt schon für das US-amerikanische Joint Special Operations Command (JSOC) gearbeitet, das Gruppen wie die Delta Force der Armee und das Seal Team Six der Marine beaufsichtigt.
Gemeinsam mit Caceres hatte er ein Treffen von Militär- und Geheimdienstmitarbeitenden in seinem Startup-Büro einberufen. „Der springende Punkt war, dass er ihnen zeigen konnte, wie man es macht, und wenn sie es wollten, könnten sie es finanzieren und sehen, wie es passiert.“ Entsprechend positiv sei auch die Reaktion der Anwesenden gewesen, einer Gruppe aus Mitgliedern des Cyber Command, des Special Operations Command, der NSA und des Marine Corps Forces Cyberspace Command.
„Die meisten von ihnen schlugen die Hände über dem Kopf zusammen, als sie erkannten, was er getan hatte und wie er es getan hatte, und das einzige, was sie davon abhielt, war die Bürokratie“, so Angus. Auch für Caceres ergab sich aus den offiziellen Bemühungen ein überwiegend frustrierendes Ergebnis. Denn am Ende des Tages seien die US-amerikanischen Cyberbehörden vor allem eines: vorsichtig. „Wenn ich allein oder mit ein paar Leuten, denen ich vertraue, weitermache, kann ich viel schneller vorankommen“, ist er sich sicher. „Ich kann den Leuten, die es verdienen, eine Menge Ärger machen und muss niemandem Rechenschaft ablegen.“
Quellen: Google Threat Analysis Group; Wired
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.