Anzeige
Tech

Hacker aus Nordkorea wollten der Commerzbank Viren unterjubeln

Um an Geld zu kommen, beschäftigt Kim Jong-un Tausende Hacker, die versuchen, Millionenbeträge von ausländischen Banken zu klauen. Doch ein Detail in ihrer Schadsoftware verriet die Pläne der Staatshacker.

von Theresa Locker
29 März 2017, 11:24am

Bild: John Pavelka / Flickr / CC BY-SA 2.0

Bild: John PavelkaFlickrCC BY-SA 2.0

Was tun, wenn man eine Diktatur anführt, die sich mit dem Rest der Welt verkracht hat, und dringend Geld braucht, zum Beispiel, um die USA mit Mittelstreckenraketen zu bedrohen? Wenn diese Diktatur Nordkorea ist, ruft man Lazarus an.

Denn hinter diesem Namen versteckt sich die nordkoreanische Elite-Hackerabteilung, der auch der Angriff auf Sony Pictures im Jahr 2014 sowie der Diebstahl von 81 Millionen Dollar von der Zentralbank in Bangladesch zugeschrieben wird.

Eine Milliarde und ein Typo: Hacker vermasseln den größten Bankraub der Geschichte

Doch bei dem Bangladesch-Coup – der das arme Land eigentlich um eine Milliarde Dollar erleichtern sollte, aber vorher wegen eines Rechtschreibfehlers vereitelt wurde – beließen es die Hacker nicht. Wie nun bekannt wurde, steckte die Gruppe mit hoher Wahrscheinlichkeit auch hinter einem Plan, mit dem Finanzorganisationen in 31 Ländern infiziert werden sollten. Darunter befinden sich die US-Tochter der Deutschen Bank, die Europäische Zentralbank – und mit der Commerzbank erstmals auch ein deutsches Unternehmen.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Nordkorea hat die Vorwürfe zwar abgestritten, aber die Informationen, die Sicherheitsforscher der Firma Symantec zusammengetragen haben, sprechen eine andere Sprache. Begonnen hat alles in Polen: Hier entdeckten die Analysten eine Malware, die im vergangenen Oktober polnische Banken infiziert hatte. Im Code versteckt fanden sie Erstaunliches: eine lange Liste an IP-Adressen, auf die das Schadprogramm abzielte – und die die New York Times gestern veröffentlicht hat. Denn löst man diese Adressen auf, landet man dort, wo das Geld sitzt: in der internationalen Bankenwelt.

„Wir haben 104 Organisationen in 31 Ländern gefunden, die als potenzielle Ziele von den Angreifern geführt wurden", erklärt uns Jennifer Doufforg von Symantec in einer E-Mail. „Das bedeutet aber nicht, dass ein Angriff auf all diese Ziele stattgefunden hat. Bis heute sind die einzigen Angriffe, von denen wir wissen, die, die wir geblockt haben, und zwar auf Organisationen in Polen, Mexiko und Uruguay", so die Sprecherin des Sicherheitsunternehmens.

Doch auch österreichische Banken wurden schon zu Opfern des Angriffs aus Nordkorea. Wie Der Standard in seiner Web-Ausgabe berichtet, wurde im Februar diesen Jahres die polnische Tochter der österreichischen Raiffeisenbank angegriffen, die sich ebenfalls in der Liste befindet. Raiffeisen International hat den Angriff bestätigt.

Die deutsche Commerzbank wollte sich dagegen nicht zu einer definitiven Aussage hinreißen lassen. Am Telefon mochte die Bank nicht bestätigen, dass es zu einem Angriff gekommen ist, um sich nicht zur Zielscheibe zu machen. „Sowas kommentieren wir nicht", sagte die Commerzbank-Pressesprecherin Ines Hennig am Telefon gegenüber Motherboard. „Angriffe auf Großbanken gibt es im Rahmen von Cybercrime aber immer und wir nehmen sie sehr, sehr ernst", erklärte sie.

Rund 1.700 Hacker und knapp 5.000 Vorgesetzte sollen im nordkoreanischen Staatshacking beschäftigt sein

Der Angriff auf die polnischen Banken lief durch eine sogenannte Watering-Hole-Attacke ab. Dabei infizieren Hacker eine „Oase", an der sich viele potentielle Opfer tummeln. In diesem Fall traf es die Website der Finanzaufsicht in Polen. Dort pflanzten die Angreifer im Oktober 2016 eine Malware ein. Sobald bestimmte Banken die Website aufriefen, wurden sie auf eine Seite weitergeleitet, die versuchte, einen Virus auf die Zielrechner herunterzuladen. Bei manchen polnischen Banken hatten die Angreifer damit Erfolg. Bald darauf wurde die Attacke an Sicherheitsforscher gemeldet.

Als die Analysten von Symantec den Code der Schadsoftware analysierten, staunten sie nicht schlecht: Denn die Angreifer hatten Hinweise darauf hinterlassen, wie umfangreich ihr Coup werden sollte. Im Quelltext befand sich eine Liste mit IP-Adressen, die sich lesen wie das Who-is-who der Finanzwelt.

„Alle Angriffe folgen demselben Muster", erklärt Doufforg. „Die Hacker haben infizierte Websites verwendet, um Besucher auf ein eigens entwickeltes Exploit Kit weiterzuleiten. Das war so vorkonfiguriert, dass es nur Besucher von rund 150 verschiedenen IP-Adressen mit Malware infiziert. Wie die Angriffe dann weitergehen sollten, ist unklar, denn uns ist nicht bekannt, dass die Angreifer es tatsächlich geschafft haben, Geld von einem Ziel zu stehlen."

Eines der größten Probleme bei der Aufklärung jedes Hacking-Angriffs ist die sogenannte Attribution, also die sichere Zuschreibung eines Angriffs auf einen Urheber oder die Lokalisierung des Ursprungs. Wie gelang es also den Analysten von Symantec, mit großer Sicherheit zu sagen, dass der Hack Geld für Nordkorea beschaffen sollte? „Die Werkzeuge, die hier benutzt wurden, hatten viele Gemeinsamkeiten mit denen, die mit der Lazarus-Gruppe in Verbindung gebracht werden. Die Übereinstimmung war so stark, dass wir mit hoher Wahrscheinlichkeit sagen können, dass es auch hier einen Link zur Lazarus-Gruppe gibt", so Doffuorg. „Es war wiederum das FBI, das die Lazarus-Gruppe mit Nordkorea in Verbindung gebracht hat". Eine vollständige Liste aller gefundenen Gemeinsamkeiten im Code findet sich hier.

Erst am 23. März hatten US-Staatsanwälte angekündigt, wegen dem großen Bangladesch-Beutezug Klagen gegen chinesische Mittelsmänner vorzubereiten. Das erbeutete Geld der Zentralbank Bangladeschs befand sich nämlich auf einem Ableger der Federal Reserve Bank in New York.

Der jüngste Fall zeigt, dass sich der Fokus der nordkoreanischen Hacker verschoben hat: Statt nur Staatspropaganda zu verbreiten oder Nordkorea-kritische Medienprodukte (wie den Film The Interview, der als Anlass des Hacks von Sony Pictures gilt) zu sabotieren, konzentrieren sich die Hacker nun auf ein anderes Ziel: Geld machen.

Aus der verwendeten Malware lässt sich letztlich auch ableiten, dass sich die Hacker weiterentwickelt haben, so die Symantec-Sprecherin: „Wir würden die Methode als relativ raffiniert beschreiben. Die Angreifer haben ihre eigenen Tools für den Angriff entwickelt, was auf hohe Expertise schließen lässt."

Für diesen Job genießen die rund 1.700 Staatshacker und knapp 5.000 Vorgesetzten, Assistenten und Ausbilder laut des südkoreanischen Korea Institute for Liberal Democracy relative Freiheiten: Sie dürfen häufig unter strenger Aufsicht im Ausland arbeiten und sich sogar mit dem Betrieb illegaler Glücksspiel-Websites ein bisschen Geld dazuverdienen, berichten auch Überläufer der Nachrichtenagentur Reuters. Der Umsatz dieser Seiten wird auf über 800 Millionen Dollar jährlich geschätzt. Doch wenn man es schafft, Geld im großen Stil von globalen Finanzinstituten zu klauen, sind selbst das natürlich nur Peanuts.