09 Nordkorea Schrecken der Kryptonen

Im Februar 2025 verlor die Kryptobörse Bybit durch einen Cyberangriff der nordkoreanischen Lazarus-Gruppe 1,46 Milliarden US-Dollar. Der Bitcoin-Kurs brach um fünf Prozent ein. Die Täter gehörten zur Lazarus-Gruppe, Teil des nordkoreanischen Geheimdienstes. Das Land erzielt mit solchen Angriffen ein Drittel der Deviseneinnahmen, finanziert sein Atom- und Raketenprogramm.  Die Hacking Methoden der Gruppe werden immer ausgefeilter und sind neuerdings auch KI-gestützt.

Details für Nerds:

Die in Dubai ansässige Kryptobörse Bybit, die zweitgrösste der Welt mit über 60 Millionen Nutzern, verlor im Februar dieses Jahres 1,46 Milliarden US-Dollar durch einen Cyberangriff. Der Bitcoin-Kurs gab nach dem Hack etwa fünf Prozent nach. Blockchain-Ermittler identifizierten die Lazarus-Gruppe als Täter.

Auch das arme Nordkorea bietet Aufgaben für fähige Ingenieure, Wissenschaftler und Informatiker. Absolventen der Fakultät für Automatisierung der Kim-Il-Sung-Universität in Pjöngjang werden oft von Büro 121 übernommen – so heisst die Cyberkrieg-Unterabteilung des nordkoreanischen Geheimdienstes. Neue Mitarbeiter unterliegen einer strengen Auswahl und werden teilweise bereits im Alter von 17 Jahren rekrutiert. Die Angestellten des Büros gehören zu den bestbezahlten Personen im Staat. Sie erhalten ihre Praxis- und Fortbildung in China und Russland. Getarnt als Mitarbeiter nordkoreanischer Handelshäuser sind sie teilweise auch im Ausland stationiert, während ihre Familien im Inland Privilegien geniessen.

Zwischen 2017 und 2023 wurden durch nordkoreanischer Cyberangriffe weltweit etwa drei Milliarden US-Dollar erbeutet, hauptsächlich durch die Lazarus-Gruppe, die bekannteste operative Einheit des Büros 121. Im letzten Jahr (2024) raubte die Gruppe mit 47 Hacks 1,34 Milliarden US-Dollar. Der grösste Vorfall brachte eine Beute von 4.500 Bitcoin von der japanischen Kryptobörse DMM Bitcoin, die daraufhin ihren Betrieb einstellen musste. Ziel der Aktionen ist die Finanzierung des nordkoreanischen Atom- und Raketenprogramms. Cyberkriminalität bringt dem Land ein Drittel der Deviseneinnahmen ein.

Typische Taktiken, Techniken und Prozeduren (TTPs) sind Social Engineering, Phishing, gefälschte Recruiting-Kampagnen, die Kompromittierung von Entwicklern oder Administratoren, Session-Hijacking, Code-Injection und Ähnliches. Die Beute wird extrem schnell in sichere Assets umgetauscht oder direkt in einen Krypto-Mixer überführt, um die Herkunft zu verschleiern. Seit Neuestem arbeiten die Nordkoreaner mit KI-gestützter Code-Analyse. Die Beutezüge werden seit Jahren lukrativer, die Fähigkeiten besser und die Ausstattung wahrscheinlich ebenfalls. Vieles deutet auf eine Zusammenarbeit mit China und Russland hin.

Zu beobachten, wie die neue US-Börsenaufsicht Krypto-Produkte ungeprüft als "Innovation" auf den Finanzmarkt lässt, ist vor diesem Hintergrund beunruhigend. Bei dem Know-how, der Vernetztheit und der gezielten Vorgehensweise nordkoreanischer Cyberkrieger öffnet sich damit ein Einfallstor für gigantische Beutezüge – mit potenziell verheerenden Folgen für die globale Finanzstabilität.