Mandiant, ein Cybersicherheitsunternehmen, das vor kurzem von Google übernommen wurde, hat einen Bericht veröffentlicht, in dem einige der Cyber-Operationen Nordkoreas detailliert beschrieben werden und wie das Land Hacker einsetzt, um Geld durch den Diebstahl von Krypto-Vermögenswerten zu beschaffen.
Nordkorea hat Hacker eingesetzt, um einige staatliche Operationen über „Krypto-Diebstähle“ zu finanzieren, so ein Bericht des Cybersecurity-Unternehmens Mandiant.
Es wird angenommen, dass die Spionageoperationen des Landes die unmittelbaren Sorgen und Prioritäten des Regimes widerspiegeln, die sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Diebstähle, das Anvisieren von Medien, Nachrichten und politischen Einrichtungen, Informationen über Außenbeziehungen und nukleare Informationen sowie einen leichten Rückgang des einstmals stark angestiegenen Diebstahls von COVID-19-Impfstoff-Forschung konzentrieren.
In dem Bericht werden die Cyber-Operationen des Landes und ihre Struktur innerhalb des Reconnaissance General Bureau (RGB), des nordkoreanischen Geheimdienstes, der mit der CIA oder dem MI-6 vergleichbar ist, detailliert beschrieben. Der Bericht wirft auch ein Licht auf die berüchtigte Hackergruppe Lazarus“, die seit 2009 von Nordkorea aus operiert.
Dem Bericht zufolge handelt es sich bei Lazarus nicht um eine einzelne Hackergruppe, sondern um einen Oberbegriff, den Reporter für zahlreiche verschiedene staatlich unterstützte Hackergruppen verwenden, die von der Demokratischen Republik Nordkorea aus operieren. Diese verschiedenen Gruppen sind jedoch in unterschiedlichen „Sektoren“ tätig und haben unterschiedliche Aufgaben. Eine dieser Aufgaben ist die Beschaffung von Geldmitteln durch den Diebstahl von Kryptowährungen
Assessed cyber structure of DPRK cyber programs
Letzte Cyberspionage-Aktivitäten
Hackergruppen, die mit Lazarus in Verbindung stehen, waren in letzter Zeit aktiv und nutzten eine Sicherheitslücke in Google Chrome von Anfang Januar 2022 bis Mitte Februar aus, als die Schwachstelle gepatcht wurde.
Googles Threat Analysis Group (TAG) erklärte in einem Blog-Post am 24. März, dass vom nordkoreanischen Staat unterstützte Angreifergruppen – öffentlich als „Operation Dream Job“ und „Operation AppleJeus“ bekannt – seit Anfang Januar 2022 eine „Remote-Code-Ausführungsschwachstelle in Chrome“ ausgenutzt haben, um verschiedene Hacks und Phishing-Angriffe durchzuführen. Adam Weidemann von TAG sagte in dem Blogpost:
„Wir haben beobachtet, dass die Kampagnen auf in den USA ansässige Organisationen aus den Bereichen Nachrichtenmedien, IT, Kryptowährungen und Fintechs abzielen. Es können jedoch auch andere Organisationen und Länder ins Visier genommen worden sein. „
Der Exploit ermöglichte es den Hackern, gefälschte Jobangebote an Personen zu senden, die in den oben genannten Branchen arbeiten, die dann zu gefälschten Versionen beliebter Websites für die Arbeitssuche wie Indeed.com führen. Das Exploit-Kit und die Phishing-Methode ähneln denen, die bei der Operation Dream Job aufgedeckt wurden. In der Zwischenzeit hat eine andere Hackergruppe mit demselben Exploit-Kit Kryptounternehmen und -börsen ins Visier genommen.
Google gab an, dass etwa 340 Personen von Hackergruppen angegriffen wurden. Google fügte hinzu, dass alle identifizierten Websites und Domains zum Schutz der Nutzer in den Safe-Browsing-Dienst aufgenommen wurden und die Situation weiter beobachtet wird.
Lazarus zielt auf Finanzdienstleistungen, Krypto
Lazarus-verbundene Hackergruppen sind seit mehreren Jahren an verschiedenen Hacks auf Kryptounternehmen und traditionelle Banken beteiligt. Zu den bemerkenswerten Hacks gehören der Cyberüberfall auf die Bangladesh Bank im Jahr 2016 und verschiedene kryptobezogene Angriffe im Jahr 2017.
Die wichtigste Hackergruppe, die sich auf Angriffe auf Finanzdienstleistungen konzentriert, ist APT38, die hinter dem berüchtigten SWIFT-Hack stand. Sie umfasst eine Untergruppe namens CryptoCore oder „Open Password“.
Die meisten dieser Hacks waren erfolgreich, und es wird geschätzt, dass die Hacker über 400 Millionen Dollar für Nordkorea gesammelt haben. Eine Untersuchung der Vereinten Nationen kam zu dem Schluss, dass die Erlöse aus diesen Cyber-Raubüberfällen zur Finanzierung des ballistischen Raketenprogramms des Eremitenlandes verwendet wurden
