AUS DEM SPIEGEL
Ausgabe 2/2018

Nordkoreas Hackerarmee Diktator Kims geheime Einnahmequelle - Banken ausrauben

Nordkorea versteckt eine Hackerarmee, die übers Internet Banken ausplündert. Es geht um Milliarden. Wie ist das möglich - in einem angeblich so rückständigen Land?

Diktator Kim Jong Un bei Besuch eines Technologiezentrums in Pjöngjang 2015
KCNA/ REUTERS

Diktator Kim Jong Un bei Besuch eines Technologiezentrums in Pjöngjang 2015

Von und


Kwak Kyoung Ju kämpft gegen Angreifer, die er nicht sehen kann. Sie lauern in der Weite des Cyberspace, ihre Attacken werden oft erst entdeckt, wenn es zu spät ist. Und doch empfindet er eine sonderbare Vertrautheit mit den Gegnern, fast so, als lebte er mit ihnen unter einem Dach. Kwak, 33, ist Cyberanalytiker, er arbeitet beim Financial Security Institute nahe Seoul, einer Organisation, die südkoreanische Banken vor Hackern schützen soll. Kwaks Aufgabe ist es, ihre Spuren zu sichern und auszuwerten. Er sammelt sozusagen elektronische Fingerabdrücke, mit denen die Angreifer unfreiwillig etwas über sich verraten.

Titelbild
Dieser Artikel ist aus dem SPIEGEL
Heft 2/2018
Geschlechterrollen und Sexualität 2018

Über seine Tätigkeit, seinen Arbeitsplatz, seine Kunden und seine Kollegen gibt Kwak kaum Einzelheiten preis. Die Geheimhaltung hat gute Gründe: Kwak vergleicht sich selbst mit einem Fahnder, der Terroristen ausspäht, er will keine Hinweise liefern, wie dicht er ihnen auf den Fersen ist.

Tagtäglich beobachtet Kwak Cyberattacken auf Banken in Südkorea, er hat Tausende Programmcodes analysiert. Für Laien sind sie nur Zeichensalat, aber Kwak liest sie wie eine Handschrift, die etwas über die Programmierer verrät. Und so hat er herausgefunden, dass die Hacker in einem ähnlichen Rhythmus arbeiten wie er selbst. Und dass sie immer raffinierter werden - und immer gefährlicher.

Kwak zeigt eine Computergrafik, die die Angriffe im Tagesverlauf abbildet. Morgens um neun Uhr starten die Attacken, mittags pausieren sie eine Stunde. Im Zeitraum von 17 bis 19 Uhr rauscht die Kurve erneut nach unten. "Anscheinend legen die Hacker Wert auf ausgedehnte Abendessen", sagt Kwak. Danach nimmt die Aktivität wieder zu; die Hacker arbeiten offenbar nach dem Essen weiter, bevor sie Feierabend machen. Die Kurve zeigt: Sie leben in derselben Zeitzone wie Kwak. Das ist nur eines von mehreren Indizien dafür, dass sein unsichtbarer Gegner aus Nordkorea kommt. Der Gegner, das ist: die Hackerarmee von Diktator Kim Jong Un.

"Die Attacken häufen sich", sagt Kwak. Offiziell darf er über die Hacker aus Nordkorea nicht reden, daher sagt er lediglich: "Dieser Tage steckt dahinter meist Andariel." Andariel ist eine Dämonin aus dem beliebten Computerspiel "Diablo", bei dem es darum geht, Monster zu bekämpfen - und es ist der Name einer nordkoreanischen Hackereinheit.

Immer dreister tummeln sich die Nordkoreaner im Netz des Südens. Und nicht nur da, auf der ganzen Welt schlagen sie zu, von Kalifornien bis Polen und Bangladesch. Offenbar unter dem Druck der Sanktionen, mit denen das Land zur Aufgabe seines Atom- und Raketenprogramms gebracht werden soll, greift der Norden verstärkt Banken und Bitcoin-Börsen an, um sich Einnahmen zu verschaffen. Bis zu eine Milliarde Dollar im Jahr könnte das Regime damit laut Schätzungen zusammenrauben.

Zwar hat sich die politische Lage auf der koreanischen Halbinsel ein wenig entspannt, seit Kim Jong Un dem Süden in seiner Neujahrsansprache angeboten hat, bilaterale Gespräche zu beginnen und Sportler aus dem Norden zu den Olympischen Winterspielen in Pyeongchang zu schicken. Doch die lukrativen Cyberangriffe gehen weiter.

Ausgerechnet Nordkorea. Dabei wurde es lange als technologisch rückständig verharmlost, als Land mit gerade mal 1024 IP-Adressen, in dem die meisten der 25 Millionen Einwohner keinen Internetzugang haben. Als Mafiastaat, der sich mit eher altmodischen Methoden wie Geldfälscherei, Drogenhandel oder Waffenschmuggel die nötigen Devisen für sein Atomprogramm beschafft. Das Land schien zu arm, um als Cybermacht gefürchtet zu werden.

Doch inzwischen sind westliche Geheimdienste beunruhigt angesichts der Häufigkeit, mit der Kims Cyberkrieger weltweit Netzwerke von Regierungen, Banken und Firmen infiltrieren - und angesichts ihres technischen Know-how. Nordkorea mag zwar rückständig sein, aber es steckt enorm viel Energie und Ressourcen in die Ausbildung des Hackernachwuchses. Es bedroht die Welt nicht nur mit seinen Atomwaffen, immer deutlicher wird, dass das Land in der Lage wäre, kritische Infrastruktur anzugreifen - und damit das Wirtschaftsleben in Ländern wie Südkorea, Japan oder den USA teilweise lahmzulegen.

Ähnlich wie Atomwaffen bieten Hackerangriffe für das verarmte Land eine vergleichsweise kostengünstige Möglichkeit, den technologischen Vorsprung Südkoreas und der USA bei konventionellen Waffensystemen wettzumachen. Als "Zauberwaffe" soll Kim sie einmal bezeichnet haben.


Im Video: Was wissen wir über Kim Jong Un?

DER SPIEGEL

Bereits in den Neunzigerjahren erkannte Kim Jong Il, der Vater des heutigen Machthabers, die Bedeutung dieser neuen Kriegsführung. Die ersten Nordkoreaner wurden nach China geschickt, um das Hacken zu lernen. Heute werden Jugendliche bereits in den Mittelschulen zu Hackern ausgebildet. "Weil sie keinen freien Zugang zum Internet haben, lernen sie sogar Teile komplizierter Programme oft auswendig", sagt ein südkoreanischer Experte, mit hörbarem Respekt. Beim ICPC, dem Internationalen Programmierwettbewerb der Hochschulen, belegten Studenten der Kim-Chaek-Universität in Pjöngjang vordere Plätze.

Einer, der Kims Cyberspione mit ausbildete, ist Kim Heung Kwang, 57, einst Professor für Informatik. Er floh 2004 aus dem Norden, nachdem er mit CDs erwischt worden war, auf die er TV-Serien und E-Books aus Südkorea gebrannt hatte. Inzwischen hat er eine Organisation in Seoul gegründet, die nordkoreanische Intellektuelle unterstützt.

"Anfangs tüftelte der Norden vor allem daran, Codes zu knacken und an geheime Dokumente zu gelangen", sagt Kim. Doch der heutige Diktator baue Cyberattacken zu einer mächtigen militärischen Waffe aus. "Sein Ziel ist es, im Ernstfall auch gegnerische Infrastruktur zerstören zu können, wie Kernkraftwerke oder Gaspipelines." Die Gefahr scheint real: Bereits vor gut drei Jahren drangen Hacker in die Computer von Korea Hydro&Nuclear Power ein, dem Betreiber der südkoreanischen Atomkraftwerke. Sie verübten zwar keine Sabotageakte, aber sie bewiesen, dass sie in der Lage wären, Chaos und Verunsicherung zu stiften. Das ist die alte Taktik, die das Regime von jeher verfolgt: den Gegner einzuschüchtern oder auszuschalten.

Südkorea ist für Kims Hacker besonders einfach zu durchdringen, nicht nur aus kulturellen und sprachlichen Gründen. Das Land verfügt über schnelles Internet und ist so vernetzt wie kaum eine andere Volkswirtschaft; fast alles wird digital verwaltet und gesteuert, von Abwasserkanälen über Atomkraftwerke bis zu Abwehrraketen. Das macht Südkorea zu einem leichten Ziel für Cyberterror.

Mitarbeiter der Behörde für Internetsicherheit in Südkorea
Yonhap news / DDP Images

Mitarbeiter der Behörde für Internetsicherheit in Südkorea

Die vom Hackerjäger Kwak beobachtete Gruppe Andariel griff etwa im März 2017 63 Geldautomaten in Südkorea an. Die Hacker nutzten Schwachstellen in deren Software, um Kartendaten von rund 300.000 Kunden zu stehlen. Später sollen sie versucht haben, diese auf dem chinesischen Schwarzmarkt zu verkaufen.

Die Codes der Schadprogramme, welche die digitalen Geldräuber verwendeten, stützen den Verdacht, dass sie im Auftrag des Kim-Regimes in den Netzwerken des Südens unterwegs waren. Denn auffallend ähnliche forensische Spuren hatten sie bereits vor gut einem Jahr hinterlassen. Damals waren sie in das "Integrierte Datenzentrum" des südkoreanischen Militärs eingedrungen. Dabei sollen sie 235 Gigabyte geheimer Daten abgeschöpft haben, das entspricht rund 15 Millionen bedruckten Seiten Papier.

In der virtuellen Diebesbeute befanden sich auch Pläne für den "Enthauptungsschlag", mit dem das südkoreanische Militär und die USA im Kriegsfall die Führung in Pjöngjang ausschalten wollen. Ein peinlicher Vorfall, der sich bereits unter der Vorgängerregierung ereignet hatte, aber erst vor Kurzem bekannt wurde, weil ein Abgeordneter der regierenden Demokratischen Partei damit an die Öffentlichkeit ging. Auch Blaupausen für die Tragflächen des F-15-Kampfjets, die in Südkorea gefertigt werden, sollen die Cyberspione erbeutet haben. Und der Daewoo-Werft, einem der wichtigsten südkoreanischen Rüstungsbetriebe, wurden Pläne zum Bau von Kriegsschiffen geraubt.

Die digitalen Angriffe des Nordens weiten sich längst zu einer globalen Gefahr aus. Dieser Tage findet kaum eine internationale Konferenz über Cybersicherheit statt, bei der Nordkorea nicht eine prominente Rolle spielt. Es gilt als "threat actor", als eine der größten Bedrohungen im Cyberraum. Und es schließt auf zu anderen Cyber-Offensivmächten wie China und Russland.

Computernutzer in Pjöngjang
AP

Computernutzer in Pjöngjang

Möglicherweise hat Nordkorea für seine offensiven Computeroperationen auch Schützenhilfe aus Iran bekommen, das vermuten zumindest westliche Geheimdienste. Die Belege sind vorwiegend technischer Natur - so gibt es etwa auffallende Ähnlichkeiten bei den eingesetzten Schadprogrammen. Zudem haben die beiden Länder 2012 eine weitreichende Technologie-Partnerschaft unterzeichnet.

Die Führung in Pjöngjang sei "alles andere als irre", sagt Priscilla Moriuchi, eine amerikanische Nordkorea-Expertin. Sie beobachtet das isolierte Land für Recorded Future, eine US-Firma, die sich auf Datenanalysen und Gefahrenvorhersagen spezialisiert hat. Dem Kim-Regime gehe es darum, das eigene Überleben zu sichern. Angesichts seiner ökonomischen Schwäche und der Defizite bei den konventionellen Waffen habe es sich für eine aggressive asymmetrische Kriegsführung entschieden.

Dazu gehören nicht nur Cyberspionage und Sabotageakte, sondern auch digitale Beutezüge.

Wie professionell und in welchem Maßstab Kims Onlinekrieger dabei vorgehen, zeigt eine Attacke auf polnische Banken vor etwas mehr als einem Jahr. Dabei hinterlegten sie einen Schadcode auf der Website der polnischen Finanzaufsicht. Wenn Bankenvertreter darauf zugriffen, konnten die Rechner ihrer Institute infiziert werden. Bei mehr als 20 Banken sei das geschehen, stellte die IT-Sicherheitsfirma Symantec später fest. Spuren derselben Schadsoftware fanden sich auch bei der US-Tochter der Deutschen Bank, der EZB sowie den Zentralbanken Mexikos, Venezuelas und Tschechiens.

Im vergangenen Herbst traf es dann Banken in Nepal und in Taiwan. Allein in Taiwan versuchten die Angreifer, rund 60 Millionen Dollar zu erbeuten. Die Methode und den verwendeten Code brachten Ermittler schnell mit den Angriffen in Polen in Verbindung - und mit dem bislang wohl spektakulärsten digitalen Bankraub der Geschichte, bei dem Anfang 2016 mehr als 81 Millionen Dollar bei der Zentralbank von Bangladesch gestohlen wurden. Beinahe wäre der Schaden noch erheblich höher gewesen; die Angreifer hatten versucht, mehr als 950 Millionen Dollar zu entwenden.

Als Türöffner benutzen die Hacker Schwachstellen in der Software des Swift-Transaktionssystems, an das über zehntausend Finanzinstitute weltweit angeschlossen sind. Swift galt lange als sicher, es sorgt normalerweise dafür, dass Banken reibungslos Geld rund um den Erdball transferieren können. Doch oft würden Institute gehackt, deren Software Schwachstellen aufweise, sagt ein Experte in Seoul - also die schwächsten Glieder im Netzwerk.

US-Ermittler und IT-Sicherheitsexperten bezichtigen Nordkorea dieses globalen Raubzugs. Ihre forensischen Analysen weisen auf eine gemeinsame Handschrift der äußerst aktiven Hacker hin. Sogar der Vizechef der sonst so verschwiegenen NSA erklärte im Frühjahr 2017 bei einer Sicherheitskonferenz ungewohnt offen, hier raube offenbar ein Staat Banken aus: "Das ist ein schwerwiegender Vorgang!"

Die Ermittler ziehen eine direkte Linie von den jüngsten Attacken zu dem spektakulären Hackerangriff auf das Filmstudio Sony Pictures von 2014. Damals legte eine Gruppe, die sich "Guardians of Peace" nannte, die meisten Computer der Filmgesellschaft lahm. Sie stahl und verbreitete geschäftliche E-Mails und persönliche Daten von Angestellten im Internet, auch unveröffentlichte Filme und Projekte wurden online gestellt.

Die Hacker verlangten, dass Sony auf den Kinostart von "The Interview" verzichte, einer Komödie, die von einem Attentat auf Kim Jong Un handelte. Der Sony-Angriff, für den der damalige Präsident Barack Obama ungewöhnlich schnell und deutlich Nordkorea verantwortlich machte, zeigte: Kims Hackern geht es nicht nur ums Geld, sie verfolgen auch politische und strategische Ziele.

Nach ähnlicher Methode wurden im selben Jahr auch die Computer des britischen Filmstudios Mammoth Screen gehackt. Die Firma wollte ein TV-Drama mit dem Titel "Opposite Number" produzieren, es sollte von der Entführung eines Atomwissenschaftlers durch Nordkorea handeln.

"WannaCry"-Nachricht

Die Cyberkriminellen im Staatsdienst sind zudem als Lösegelderpresser im Netz unterwegs. Dabei verwenden sie sogenannte Ransomware. Die "WannaCry"-Attacke, die im Mai mehr als 200.000 Computer in rund 150 Ländern lahmlegte, gehört zu den bislang verheerendsten digitalen Erpressungen.

Kurz vor Weihnachten wies Tom Bossert, der Heimatschutzberater des Weißen Hauses, offiziell dem Kim-Regime die Verantwortung für WannaCry zu. Er machte auch öffentlich, dass Facebook und Microsoft direkt in US-Abwehraktionen gegen Nordkoreas Hacker involviert sind. Facebook habe demnach im Dezember Konten gelöscht, die für Cyberattacken genutzt worden seien; auch Microsoft habe Maßnahmen ergriffen, um Angriffe abzuwehren.

Bereits im Juni hatten US-Dienste darüber hinaus eine gemeinsame technische Analyse des Heimatschutzministeriums und des FBI öffentlich gemacht, welche die genutzten Werkzeuge und die Infrastruktur direkt den "Cyberakteuren der nordkoreanischen Regierung" zuschrieb. Für die US-Behörden war die Enthüllung kein einfacher Schritt, denn Kims Hacker hatten für WannaCry unter anderem eine Windows-Schwachstelle namens "Eternal Blue" genutzt, die die NSA zuvor für eigene Angriffe gehortet hatte - und die ihr gestohlen und geleakt worden war. Für die NSA eine peinliche Schlappe.

Im Umgang mit Erpressungssoftware erkannten Kims Hacker früh den Wert von Kryptowährungen. Wie bei WannaCry wird das Lösegeld in der Regel in Bitcoin eingefordert - einer Währung, die lediglich digital existiert. Sie wird nicht über Banken gehandelt, sondern direkt zwischen den Teilnehmern hin- und hergeschickt. Für das Regime in Nordkorea sind Kryptowährungen ideal, um Sanktionen im traditionellen Finanzgewerbe zu umgehen. In jüngster Zeit umso mehr, da sich der Wert der Beute angesichts rasend steigender Bitcoin-Kurse vervielfacht hat.

Nordkoreas Cyberräuber versuchen deshalb auch auf anderen Wegen, an Bitcoins zu kommen: indem sie Bitcoin-Börsen hacken. In letzter Zeit wurden Cyberangriffe auf mehrere südkoreanische Unternehmen gemeldet, bei denen Kunden Bitcoin kaufen, verkaufen und lagern können. Bei einem Angriff, der Mitte Dezember 2017 bekannt wurde, sollen die Hacker Bitcoin im Wert von mindestens sieben Millionen Dollar gestohlen haben - zwischenzeitlich hatte sich deren Wert durch Kursgewinne sogar auf 82 Millionen Dollar erhöht.

Die Geldwäsche mit Bitcoin werde immer raffinierter abgewickelt, sagt Choi Sang Myung, ein Cyberspezialist von Hauri, einem Hersteller von Antivirensoftware in Seoul. Erbeutete Bitcoin spalten die Hacker in winzige digitale Einheiten auf, sodass sie kaum aufzuspüren sind. Oft schichten sie Bitcoin auch in andere Kryptowährungen wie etwa Ether um. Oder sie lagern erbeutetes Kryptogeld auf gesicherten Rechnern - wie in einem gepanzerten Tresor, an den niemand herankommt.

Nordkorea unterhält aber auch Serverfarmen im eigenen Land. Im vergangenen Frühjahr begann das Regime offenbar sogar, Bitcoins selbst herzustellen, wie die Experten von Recorded Future herausfanden. Neue Bitcoins werden durch komplizierte digitale Rechenvorgänge produziert, ein Vorgang, der als "mining", also Schürfen, bezeichnet wird. Das digitale Schürfen erfordert einen hohen technischen Aufwand - und Unmengen Strom. Da selbst in der Hauptstadt Pjöngjang oft ganze Viertel nur stundenweise oder gar nicht mit Strom versorgt werden, kann der Auftrag für die Bitcoin-Produktion nur von staatlichen Stellen erteilt worden sein.

Die Strippenzieher des nordkoreanischen Cyberkriegs sitzen nach Einschätzung von US-Experten beim Geheimdienst, dem "Reconnaissance General Bureau" (RGB). Satellitenbilder des Hauptquartiers "für südliche Operationen" an einer Schnellstraße in Pjöngjang zeigen eine Ansammlung grauer Hochhauskomplexe. US-Experten vermuten die jüngste, nach 2013 entstandene Einheit mit dem Namen "Büro 121" hinter zahlreichen Cyberangriffen. Aber auch die Armee und die herrschende Arbeitspartei verfügen inzwischen über eigene Cybereinheiten.

Insgesamt befehlige der Norden bis zu 7000 Hacker, schätzen Experten des südkoreanischen Geheimdienstes.

Außerdem operierten die Angreifer vom Ausland aus, berichtet die US-Analystin Moriuchi. Viele junge Nordkoreaner würden inzwischen nicht mehr nur nach China, sondern darüber hinaus nach Indien, Malaysia oder Indonesien entsandt, um IT-nahe Fächer zu studieren. Aus diesen Ländern werden dann auch viele der Angriffe, die Geheimdienste weltweit Nordkorea zuschreiben, operativ gelenkt; ein Fünftel der Angriffe soll von Indien aus geführt werden.

Nordkoreanische Botschaften in Ländern wie Indien gelten als RGB-Stützpunkte für Attacken. Als 2013 südkoreanische Banken und Medien angegriffen wurden, wurden die Spuren später ins chinesische Shenyang zurückverfolgt, wo zahlreiche nordkoreanische Firmen lange Zeit ihre Niederlassungen hatten.

Kims Cyberspione greifen meist in kleinen Teams an. Sie überwachen sich gegenseitig und stehen unter hohem Erfolgsdruck. "Bevor sie in ihre Heimat zurückkehren, müssen sie mindestens 100 Millionen Dollar beschafft haben", sagt ein südkoreanischer Experte. Wie viel die Nordkoreaner tatsächlich erbeuten, lässt sich allerdings letztendlich nicht seriös beziffern. Längst nicht alle betroffenen Unternehmen und Behörden geben bekannt, dass sie gehackt worden sind - auch weil das oft erst durch peinliche Sicherheitslücken ermöglicht wurde. Ebenso halte man aus ermittlungstaktischen Gründen Angriffe teilweise geheim, sagt Abwehrspezialist Kwak.

Aus Sicht der nordkoreanischen Führung ist die Cyberoffensive ein voller Erfolg. In den kommenden Jahren dürfte sie daher unvermindert fortgeführt werden, schätzt James Lewis, der Kims Cyberkapazitäten für die Washingtoner Denkfabrik Center for Strategic and International Studies analysiert und die Obama-Regierung beraten hat. Indes hält er es für unwahrscheinlich, dass Nordkorea in der Lage sei, durch Cyberangriffe nachhaltige physische Schäden wie einen Blackout der Stromversorgung in den USA zu verursachen. Das Regime wäge bislang genau die Risiken ab; es vermeide alles, was eine Vergeltung der USA nach sich ziehen und das eigene Überleben infrage stellen könnte. Ein Angriff auf kritische US-Infrastruktur wäre eine extreme Provokation, die nicht unbeantwortet bleiben würde, so Lewis.

Sehr viel unmittelbarer fühlt sich die Gefahr dagegen in Südkorea an. Die Cyberwaffen könnten sich in den Händen des Kim-Regimes langfristig zu einer so potenten Bedrohung entwickeln wie das Atomprogramm, sagt Kim Seung Joo, der früher bei der staatlichen Korea Internet&Security Agency arbeitete und jetzt an der Korea-Universität in Seoul lehrt.

"Heutzutage werden Kriege mehr und mehr von Computern aus geführt", sagt der Professor. Er verweist auf den Drohnenkrieg der USA, bei dem Offiziere von Computern in ihrer Heimat aus Angriffe in fernen Kriegsgebieten wie Afghanistan oder Somalia fliegen. Auch in Südkorea seien solche Hightechwaffen stationiert. Im Ernstfall hält er es für denkbar, dass Kims Hacker sich in die Computersysteme von Drohnen oder Raketen hacken und sie auf diese Weise in ihre Gewalt bringen.

Das wäre ein Horrorszenario, denn dann brauchte Diktator Kim keine eigenen Atomraketen mehr. Er könnte einfach mit den Waffen seiner Gegner Krieg führen.



© DER SPIEGEL 2/2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.