Digitale Vermögenswerte
Nordkoreanische Hacker setzen Angriffe auf digitale Vermögenswerte fort
Während iranische staatliche Hacker Ransomware-Angriffe und Krypto-Mining durchgeführt haben und Russland in gewissem Umfang private Ransomware-Gruppen nutzt, ist die nordkoreanische Regierung der einzige große Gegner, der finanzielle Cyberkriminalität als Kernziel in seine Offensivaktivitäten einbezieht.
Das Cyberkriminalitätsprogramm Nordkoreas ist vielköpfig, wobei die Taktiken von Banküberfällen über den Einsatz von Ransomware bis hin zum Diebstahl von Kryptowährungen von Online-Börsen reichen.
Unter den Namen Lazarus, Kimsuky und BeagleBoyz setzen nordkoreanische Hacker immer ausgefeiltere Werkzeuge ein, um militärische, staatliche, Unternehmens- und Rüstungsnetzwerke weltweit zu infiltrieren, Cyber-Spionage zu betreiben und klassifizierte Daten zu exfiltrieren, um die Entwicklung nordkoreanischer Waffen zu unterstützen.
Die bösartigen Akteure täuschten Personen, um Zugang zu erhalten oder die Sicherheit zu kompromittieren, sodass digitale Mittel aus internetverbundenen Wallets zu von Nordkorea kontrollierten Adressen abgezogen werden konnten. Das von Sanktionen betroffene Land hat auf aufwendige Methoden zur Geldwäsche gestohlener Krypto zurückgegriffen und die Nutzung von Software-Tools, die Kryptowährungen von Tausenden von Adressen aggregieren und verschleiern, weiter intensiviert.
Im vergangenen Jahr hat das US-Justizministerium drei nordkoreanische Computerprogrammierer angeklagt, weil sie an einer breit angelegten kriminellen Verschwörung teilgenommen hatten, um eine Reihe zerstörerischer Cyberangriffe durchzuführen, mit denen mehr als 1,3 Milliarden US‑Dollar an Geld und Kryptowährungen von Finanzinstituten und Unternehmen gestohlen und erpresst wurden, mehrere bösartige Kryptowährungs‑Anwendungen erstellt und eingesetzt wurden und eine Blockchain‑Plattform entwickelt und betrügerisch vermarktet wurde.
Tatsächlich geht der Angriff Nordkoreas auf Krypto weiter, wobei seit dem letzten Bullenmarkt über eine Milliarde angehäuft wurde.
$1,2 Mrd seit 2017 gestohlen
Letzte Woche veröffentlichte der südkoreanische Nationale Geheimdienst (NIS) einen neuen Bericht, in dem festgestellt wird, dass nordkoreanische Hacker in den letzten fünf Jahren schätzungsweise 1,5 Billionen Won (1,2 Milliarden US‑Dollar) an Kryptowährungen gestohlen haben. Mehr als die Hälfte dieses Betrags stammt allein aus diesem Jahr, und lediglich 78 Millionen US‑Dollar dieser riesigen Summe kamen aus Südkorea.
Laut der südkoreanischen Geheimagentur wurden allein in diesem Jahr Kryptowährungen im Wert von über 800 Milliarden Won (620 Millionen US‑Dollar) gestohlen. Ein Sprecher des NIS erklärte dazu, dass dieser gesamte Hack im Ausland stattgefunden habe und fügte hinzu: „In Korea wurden Transaktionen mit virtuellen Vermögenswerten auf echte Namen umgestellt und die Sicherheit verstärkt, sodass kein Schaden entstanden ist.“
Für diejenigen, die über diese Entwicklung nicht informiert sind: Im Jahr 2021 hat die südkoreanische Regierung neue Vorschriften für KYC (Know‑Your‑Customer) beim Krypto‑Handel eingeführt. Sie verlangen, dass alle Krypto‑Börsen im Land von ihren Kunden ein Echtnamenskonto bei derselben Bank einrichten lassen, die sie für Ein- oder Auszahlungen nutzen.
Sowohl die Börse als auch die Bank müssen anschließend die Identität des Kunden überprüfen. Darüber hinaus müssen Börsen vor Aufnahme des Betriebs eine Lizenz von der Financial Services Commission (FSC) erhalten.
Nordkoreanische Hackergruppen wurden in diesem Jahr mit mehreren groß angelegten Krypto‑Verstößen in Verbindung gebracht – darunter der $100‑Millionen‑Angriff auf Harmony. Experten vermuten, dass diese Angriffe dem Land helfen, Devisenreserven zu generieren, da es strengen Handelssanktionen der internationalen Gemeinschaft ausgesetzt ist.
Laut dem NIS verfügt Nordkorea über einige der weltweit besten Fähigkeiten zum Diebstahl digitaler Vermögenswerte. Dies liegt an der seit 2017 verstärkten Fokussierung des Landes auf Cyberkriminalität, nachdem die UN-Wirtschaftssanktionen als Reaktion auf seine Atom- und Raketentests verschärft wurden.
Die Behörde warnte zudem, dass nordkoreanische Cyberangriffe im nächsten Jahr intensiver werden werden: „Es ist notwendig, Angriffe genauso genau zu analysieren wie die Abwehr. Denn eine Hacker‑Organisation besitzt alle Angriffs‑Informationen und vergisst sie nicht. Es ist erforderlich, Informationen zu schädlichem Code, die von verschiedenen Angreifern verstreut wurden, zu sammeln, um sinnvolle Erkenntnisse zu gewinnen.“
Hacker aus Nordkorea setzen die üblichen Taktiken anderer staatlicher Hackergruppen und Cyberkrimineller ein, darunter Social Engineering, Phishing und Software‑Exploits.
Testen neuer Malware‑Verteilungsmethoden
Die BlueNoroff‑Untergruppe von Lazarus ist dafür bekannt, ein vielfältiges Arsenal an Malware in mehrstufigen Angriffen gegen Unternehmen einzusetzen, um illegal Gelder zu beschaffen. Sie kombiniert ausgeklügelte Phishing‑Taktiken mit Malware, um Geld zu waschen.
Laut dem Bericht des Cybersicherheitslabors Kaspersky in dieser Woche hat BlueNoroff seine Zielrichtung auf Risikokapitalfirmen, Krypto‑Startups und Banken wieder aufgenommen, nachdem es den größten Teil des Jahres still war. Die Gruppe zeigt nun einen Anstieg der Aktivität.
BlueNoroff hat über 70 gefälschte Domains erstellt, die wie VC‑Firmen aussehen. Die meisten Täuschungen geben sich als bekannte japanische Unternehmen aus, während andere die Identität von US‑ und vietnamesischen Unternehmen angenommen haben.
Laut einem aktuellen Bericht experimentiert die Gruppe mit neuen Dateitypen und anderen Methoden zur Malware‑Verteilung. Sobald sie aktiv ist, kann ihre Malware die Windows Mark‑of‑the‑Web (MoTW) Sicherheitswarnungen beim Herunterladen von Inhalten umgehen. Anschließend „interceptiert sie große Kryptowährungstransfers, ändert die Empfängeradresse und treibt den Transferbetrag an das Limit, wodurch das Konto im Wesentlichen in einer einzigen Transaktion geleert wird.“
Da die Cyberbedrohungen zunehmen, müssen Unternehmen wachsamer denn je sein, um sich zu schützen. Das sagt Seongsu Park, ein Forscher bei Kaspersky, der warnt, dass „das kommende Jahr von Cyber‑Epidemien mit der größten Wirkung geprägt sein wird, deren Stärke bisher nie gesehen wurde.“
Betreiber, die mit der Lazarus‑BlueNoroff‑Untergruppe in Verbindung stehen, wurden mit mehreren Cyberangriffen auf kleine bis mittelgroße Unternehmen weltweit in Verbindung gebracht. Selbst NFTs stehen nicht außerhalb des Radar der Hackergruppe, da nordkoreanische Bedrohungsakteure, die mit der Lazarus‑Gruppe verbunden sind, in den letzten Wochen versucht haben, nicht‑fungible Token zu stehlen.
NFT-Diebstähle per Phishing
Die Blockchain‑Sicherheitsfirma SlowMist veröffentlichte Ende letzter Woche einen Bericht, der die groß angelegten Phishing‑Aktivitäten nordkoreanischer APT‑Gruppen, die NFT‑Nutzer ins Visier nehmen, eingehend untersucht.
SlowMist stellte fest, dass eine der in einem jüngsten Phishing‑Angriff verwendeten Techniken das Erstellen gefälschter, NFT‑bezogener Lockwebsites mit bösartigen Mint‑Vorgängen beinhaltete. Diese NFTs wurden anschließend auf beliebten Plattformen wie OpenSea, Rarible und X2Y2 verkauft.
Die Advanced Persistent Threat (APT)‑Gruppe wurde von der US‑Regierung bereits mindestens seit 2020 als TraderTraitor identifiziert und richtete sich mit einer Phishing‑Kampagne, die bis zu 500 verschiedene Domain‑Namen nutzte, an Krypto‑ und NFT‑Nutzern.
Die von diesen Hackern häufig genutzten einzigartigen Phishing‑Merkmale umfassten Phishing‑Websites, die Besucherdaten aufzeichnen und auf externen Seiten speichern, die Anforderung einer Preisliste für NFT‑Artikel sowie eine Datei „imgSrc.js“, die Bilder mit dem Ziel‑Projekt verknüpft.
Bei der Analyse der Phishing‑Methoden stellte SlowMist zudem fest, dass die Hacker mehrere Tokens wie WETH, USDC, DAI und UNI usw. in ihren Phishing‑Angriffen einsetzten.
Größter Angriff auf Ronin
Anfang dieses Jahres gelang es der Lazarus‑Gruppe, mehr als 600 Millionen US‑Dollar an Kryptowährung abziehen von der Ronin‑Blockchain, die vom NFT‑Spiel Axie Infinity genutzt wird. Das Blockchain‑Analyseunternehmen Chainalysis bezeichnete den Angriff als den bisher größten Kryptowährungshack.
Axie Infinity, das von einem vietnamesischen Gaming‑Studio entwickelt wurde, hatte zu einem Zeitpunkt mehr als eine Million aktive Spieler. Anfang dieses Jahres wurde die Blockchain, die die virtuelle Welt des Spiels unterstützt, von einem nordkoreanischen Hacking‑Syndikat überfallen, das etwa 620 Millionen US‑Dollar an Ethereum erbeutete.
Nur etwa 30 Millionen US‑Dollar des Krypto‑Beutes wurden seitdem wiederbeschafft, nachdem ein Bündnis aus Strafverfolgungsbehörden und Krypto‑Analyseunternehmen einige der gestohlenen Mittel über eine Reihe von DEXs und „Krypto‑Mixern“ zurückverfolgt hatte, einem Dienst, der die Kryptowährungen vieler Nutzer vermischt, um die Eigentümer und Herkunft der Mittel zu verschleiern.
Die USA haben seitdem den Tornado‑Cash‑Mixer sanktioniert, von dem das US‑Finanzministerium sagte, dass er von den Hackern zur Geldwäsche von mehr als 450 Millionen US‑Dollar ihres Ethereum‑Ertrags verwendet wurde.
Krypto‑Investitions‑Startups ebenfalls ins Visier genommen
Mitten in all diesen Angriffen kündigte Microsoft Anfang dieses Monats an, dass es einen Bedrohungsakteur identifiziert habe, der Krypto‑Investitions‑Startups ins Visier nimmt. Die Gruppe, die Microsoft DEV‑0139 nennt, gibt sich auf Telegram als Krypto‑Investitionsunternehmen aus und verwendet eine bewaffnete Excel‑Datei, um Systeme zu infizieren, auf die sie remote zugreift.
Die Bedrohung zeigte ein hohes Maß an Raffinesse, indem sie sich fälschlicherweise mit gefälschten Profilen von OKX‑Mitarbeitern ausgab und Telegram‑Gruppen beitrat, die „zur Erleichterung der Kommunikation zwischen VIP‑Kunden und Kryptowährungs‑Börsenplattformen“ genutzt werden, schrieb Microsoft.
Wir beobachten einen Anstieg raffinierter Angriffe, bei denen der Bedrohungsakteur sehr kenntnisreich ist und sich Zeit genommen hat, sich vorzubereiten, häufig indem er Vertrauen zu seinem Ziel aufbaut, bevor er Nutzlasten einsetzt, fügte er weiter hinzu.
Beispielsweise wurde ein Ziel vor ein paar Monaten eingeladen, einer Gruppe beizutreten und um Feedback zu einem Excel‑Dokument gebeten, das die VIP‑Gebührenstrukturen der Krypto‑Börsen HTX, Binance und OKX verglich. Das Dokument lieferte genaue Informationen und ein hohes Bewusstsein für den Krypto‑Handel, lud jedoch gleichzeitig unsichtbar eine bösartige .dll‑Datei (Dynamic Link Library) hoch, um eine Hintertür in das System des Nutzers zu schaffen. Das Ziel wurde dann gebeten, die bösartige Datei selbst während der Diskussion zu öffnen.
Microsoft vermutete, dass DEV‑0139 derselbe Akteur ist, den das Cybersicherheitsunternehmen Volexity mit der Lazarus‑Gruppe in Verbindung brachte und das eine Variante der AppleJeus‑Malware sowie einen Microsoft‑Installer (MSI) verwendet.
Im Jahr 2021 wurde AppleJeus vom US‑Bundesamt für Cybersicherheit und Infrastruktursicherheit dokumentiert.
Ein anhaltender Anstieg von Krypto‑Angriffen
Laut Chainalysis gab es tatsächlich kürzlich einen Anstieg der Größe von Kryptowährungsangriffen, die von der nordkoreanischen Regierung durchgeführt wurden.
Der Lazarus‑Gruppe wurden sieben Angriffe auf Kryptowährungsplattformen zugeschrieben, die allein im Jahr 2021 fast 400 Millionen US‑Dollar an digitalen Vermögenswerten einbrachten, verglichen mit 300 Millionen US‑Dollar im Jahr 2020, so ein Bericht des Blockchain‑Analyseunternehmens.
In einem seiner erfolgreichsten Jahre stieg die Zahl der nordkoreanisch verknüpften Hacks von vier auf sieben im Jahr 2021, während der aus diesen Hacks extrahierte Wert um 40 % wuchs.
Laut dem Bericht begannen sie, sobald Nordkorea die Kontrolle über die Mittel erlangt hatte, sofort mit einem sorgfältigen Prozess, das Geld zu waschen, um es ohne Entdeckung zu liquidieren.
Obwohl Chainalysis nicht alle Ziele der Kryptowährungshacks identifizierte, sagte das Unternehmen, dass es sich hauptsächlich um Investmentfirmen und zentrale Börsen handelte. Darüber hinaus kündigte eine dieser Börsen, Liquid.com, im August an, dass ein unautorisierter Nutzer Zugriff auf einige ihrer Krypto‑Wallets erhalten habe.
Laut Chainalysis nutzten die Angreifer Phishing‑Lockvögel, Malware, Code‑Exploits und fortschrittliches Social Engineering, um Gelder aus den „Hot“-Wallets dieser Organisationen in von Nordkorea kontrollierte Adressen zu leiten.
Der Bericht fügte hinzu, dass Forscher 170 Millionen US‑Dollar an alten, nicht gewaschenen Krypto‑Beständen aus 49 separaten Hacks von 2017 bis 2021 identifiziert hatten, was auf einen sorgfältigen Plan zur vollständigen Liquidierung hindeutet, und zwar „nicht einen verzweifelten und hastigen“.
Abschließende Anmerkung
Es wird erwartet, dass Hacker weiterhin die Schwachstellen von Krypto‑Technologieunternehmen, Gaming‑Firmen und Börsen ausnutzen, um Mittel zu generieren und zu waschen, die das nordkoreanische Regime unterstützen.
Es versteht sich von selbst, dass dies ein ernstes Problem darstellt, da Nordkorea dafür bekannt ist, Cyberangriffe zu nutzen, um Mittel zu stehlen, die sein Atomwaffenprogramm unterstützen. Dies unterstreicht die Bedeutung von Cybersicherheit, insbesondere für Unternehmen und Organisationen, die von staatlich unterstützten Hackern ins Visier genommen werden könnten.
Obwohl die nordkoreanische Regierung ihre Beteiligung an solchen Aktivitäten bestreitet, deuten die Beweise darauf hin, dass die Hacker mit dem Segen des Regimes agieren. Angesichts dieser anhaltenden Bedrohung durch nordkoreanische Hacker sollten Unternehmen und Einzelpersonen wachsam bleiben und Maßnahmen ergreifen, um ihre digitalen Vermögenswerte zu schützen.
