Mit ihren Beutezügen bringen die Hacker der Lazarus-Gruppe Nordkoreas Regime Milliarden ein. Jetzt versuchen sie sich in einem neuen Feld. Und stellen sich dabei überraschend ungeschickt an.

Lange Zeit wurde die Vorstellung belächelt: Ausgerechnet Nordkorea, wo das Internet nur den wenigsten zur Verfügung steht und dann noch massiv eingeschränkt ist, sollte eine eigene Hackertruppe betreiben. Doch spätestens seit dem Angriff auf Sony Pictures und dem gigantischen Chaos in Folge der Wannacry-Attacke war klar: Mit der Lazarus genannten Gruppe ist nicht zu spaßen. Nun sollen sich die Hacker in einem neuen Feld versuchen: Erpressungs-Aktionen im großen Stil.

"Big Game Hunting" - Großwildjagd - nennt man in der Cybersicherheits-Szene den Versuch, mit Erpressungstrojanern nicht die kleinen Nutzer um Kleckerbeträge zu erleichtern, sondern sich mit großangelegten Operationen ganze Konzern- oder Regierungssysteme unter den Nagel zu reißen. Und sie dann gegen Millionensummen wieder auszulösen. Ein Beispiel für eine solchen Hack ist der jüngste Angriff auf Garmin. Nun scheinen auch die Kim Jong Uns Hacker mitmischen zu wollen.

Überraschende Spur nach Korea

Das berichten die Sicherheits-Experten von Kaspersky in einem Blog-Beitrag. Bei der Untersuchung von zwei Trojaner-Kampagnen stieß man demzufolge auf eine bisher unbekannte Erpressungssoftware. Laut den Experten ist das bemerkenswert: Die sonst üblichen Verdächtigen würden sich fast immer in der Szene etablierter Programme bedienen, die im Dark Net gehandelt würden, heißt es in dem Post. Bei einem Angriff würden dann jeweils voneinander unabhängige Teams einen Zugang ins System sichern, die Daten dort prüfen und schließlich die Verschlüsselung der relevanten Dateien vornehmen. Auch für die Geldübergabe und das Waschen des Lösegeldes seien dann jeweils andere Gruppen verantwortlich, die sich gegenseitig auszahlen.

Die von den Experten "VHD" und "Hakuna MATA" getauften Angriffe seien aber anders gelaufen. Ein einzelner Akteur habe das Netzwerk einer Organisation mit einem selbstgeschriebenen Programm angegriffen, nach nur zehn Stunden bereits begonnen, Daten zu verschlüsseln. Das sei ebenfalls ungewöhnlich: Der Zeitraum reiche kaum aus, um den Wert der Informationen und damit die Höhe des Lösegeldes einzuschätzen, so Kaspersky. Auch ob die Hacker den Standort der Backups in dieser kurzen Zeit erschnüffeln konnten, sei nicht zu sagen. Dass trotz der zahlreichen Patzer Lazarus dahinter steckt, schließe man aus der Nutzung eines Servers, der exklusiv von dieser Gruppe kontrolliert werde.

Milliarden für Kim Jong Un

Die Lazarus-Gruppe, auch "Hidden Cobra" genannt, verdient ihr Geld sonst mit anderen Arten von Cyber-Kriminalität. Die dem nordkoreanischen Geheimdienst RGB untergeordneten Hacker spülen dem Regime einem Bericht des FBI zufolge Milliarden von Dollar in die Kassen, die teils auch das Raketenprogramm des Diktators finanzieren. Sie werden für zahlreiche Angriffe auf Cryptobörsen verantwortlich gemacht, sollen aber auch klassische Banken erfolgreich gehackt und ausgeräumt haben. Auch das Ausspionieren von Firmengeheimnissen und zerstörerische Angriffe wie auf Sony Pictures gehören zum Repertoire. Das Filmstudio hatte es 2014 gewagt, sich in der Komödie "The Interview" über Kim Jong Un lustig zu machen. In der Folge wurden die Server des Studios gelöscht, unveröffentliche Kinofilme ins Netz gestellt.

Die Experten fragen sich nun, warum die Hacker sich auf einem neuen Terrain versuchen. Und es sich dabei unnötig schwer machen. Auch die Lazarus-Gruppe habe in der Vergangenheit schon auf Programme und Dienstleistungen anderer Hacker zurückgegriffen, wundern sich die Kaspersky-Experten. "Vielleicht fanden sie die Interaktionen in der Cybercrime-Unterwelt schwierig, vielleicht konnten sie es sich nicht mehr leisten, die Profite zu teilen", versuchen sie die Entscheidung zu erklären.

Fest stehe allerdings, dass sie sich mit dem neuen Geschäftsfeld schwer tun. "Es ist offensichtlich, dass die Gruppe es bei ihrem Hauruck-Ansatz der Erpressungs-Attacken nicht mit der Effizienz anderer Cyberkriminellen aufnehmen kann", erklärt der Post. Ob Lazarus trotzdem am Ball bleibt, hänge vor allem davon ab, ob die Aktion am Ende profitabel war, sind sich die Experten sicher. "Wir werden sehen, ob sie am Ende tatsächlich ins Big Game Hunting einsteigen oder es als gescheitertes Experiment abschreiben."

Quelle: Kaspersky