Es war einer der größten Cyber-Raubzüge aller Zeiten: 250 Millionen Dollar auf einen Schlag konnten Hacker 2018 erbeuten, indem sie die Kontrolle über eine Börse für Cryptowährungen übernahmen. Nun hat das US-Finanzministerium zwei chinesische Staatsbürger auf eine schwarze Liste gesetzt - und dabei auch Einblicke in die Geldwäsche-Methoden der Hacker gegeben.

Der Crypto-Bankraub wurde bereits kurz nach Bekanntwerden der berüchtigten Lazarus-Gruppe zugeschrieben. Laut einer Analyse der Antiviren-Experten von Kaspersky war es den Angreifern gelungen, mittels einer manipulierten E-Mail Zugriff auf das Netzwerk der Cryptobörse zu erlangen. Die Experten bezeichneten das Vorgehen als "hochanspruchsvoll".

Geldwäsche über iTunes und chinesische Konten

Auch bei der Geldwäsche gaben sich die Hacker viel Mühe. Zunächst verteilten sie die Beute auf vier weitere Cryptobörsen, schoben sie zwischen Accounts hin und her, um die Spuren zu verwischen. Schließlich kamen die beiden chinesischen Helfer ins Spiel. "T. und L. erhielten etwa 91 Millionen Dollar von Accounts, die von der Demokratische Volksrepublik Korea kontrolliert wurden", heißt es in der Mittelung der Finanzbehörde.

Dann hätten sie sich an die Wäsche gemacht. Die noch in Bitcoin und anderen Währungen gehaltene Beute sei über weitere Accounts verteilt und schließlich in extra dafür neu angelegten Bankkonten gelandet. 34 Millionen Dollar überwies Helfer T. nach Erkenntnis der Behörde auf ein einziges chinesisches Bankkonto. Weitere 1,6 Millionen Dollar investierte er in iTunes-Gutscheine. Was zunächst merkwürdig klingt, ist eine beliebte Vertuschungsstrategie: Weil die Gutscheine weltweit begehrt sind, halten sie ihren Wert. Daher werden sie auch in einigen Hackerforen als Währung anerkannt. Zudem akzeptieren sie auch einige Cryptobörsen als Bargeld-Ersatz, um weitere - saubere - Crypto-Münzen einzukaufen.

Schwarze Liste statt Gefängnis

Am Ende half es nicht: Die Spürnasen des US-Finanzministeriums kamen der Geldwäsche auf die Schliche. Die Folgen sind allerdings gering: Weil sich die Behörde wohl keine Hoffnung auf eine Auslieferung chinesischen Staatsbürger aus ihrer Heimat macht, setzten sie die beiden Geldwäscher nur auf eine Art schwarze Liste. Die erlaubt es, Gelder der Betroffenen in den USA einzufrieren sowie Personen zu bestrafen, die mit ihnen Geschäfte machen.

Die Hacker selbst konnte man nicht in die Finger bekommen. Die Gruppe Lazarus ist berüchtigt. Die dem nordkoreanischen Geheimdienst RGB untergeordneten Hacker haben in den letzten Jahren immer wieder Schlagzeilen gemacht, steckten auch hinter dem Sony-Hack, der nicht nur Brad Pitt mächtig Ärger gemacht hatte. Zudem sollen sie für den Chaos-Trojaner Wannacry verantwortlich gewesen sein. Experten sind sich einig, dass die Angriffe der Gruppe in den letzten Jahren erheblich komplexer und gefährlicher wurden.

Auch bei der Geldwäsche hat Lazarus gelernt, das geht aus einer Analyse der Experten von "Chainalysis" hervor. Nachdem sich die Koreaner lange darauf beschränkt hatte, die Coins einige Monate herumliegen zu lassen und dann wie oben beschrieben über unbewachte Börsen zu reinigen, ließ die zunehmende Wachsamkeit der Branche das im Laufe des letzten Jahres nicht mehr zu. Seitdem setzt auch Lazarus zunehmend auf sogenannte "Mixer" oder "CoinJoin Wallets", in die Crypto-Coins aus mehreren Quellen ein- und wieder ausfließen, um so eine Zuordnung und Verfolgung schwerer zu machen. Zudem scheinen sie ihre Anlagen schneller in Echtgeld umzutauschen, als das noch zur Zeit des obigen Crypto-Bankraubs der Fall war.

