211service.com
Wie die nordkoreanischen Hacker hinter WannaCry mit einem atemberaubenden Kryptoraub davonkamen
Der nordkoreanische Führer Kim Jong Un inspiziert die Kampfbereitschaft der Einheit 1017 der Luft- und Flugabwehrstreitkräfte der Koreanischen Volksarmee an einem unbekannten Ort in Nordkorea. Assoziierte Presse
Cyberangriffe gegen Kryptowährungsbörsen sind heute üblich, aber der Diebstahl von etwas mehr als 7 Millionen US-Dollar von der in Singapur ansässigen Börse DragonEx im vergangenen März sticht aus mindestens drei Gründen hervor.
Da ist zunächst das extrem ausgeklügelte Phishing-Schema, in das die Angreifer eingedrungen sind und das nicht nur gefälschte Websites, sondern auch gefälschte Krypto-Trading-Bots beinhaltete. Dann gibt es eine raffinierte Art und Weise, wie sie das gestohlene Krypto-Bargeld gewaschen haben. Last but not least: Sie scheinen für Kim Jong-un gearbeitet zu haben.
Der Überfall, von dem neue Details bekannt wurden kürzlich erschienen des Blockchain-Analyseunternehmens Chainalysis zeigt, wie gut die heutigen digitalen Bankräuber geworden sind. Und wenn dies und andere Berichte zu Recht nordkoreanische Hacker als Täter bezeichnen, scheint dies Teil einer umfassenderen Überlebensstrategie von Kims Regime zu sein, das durch internationale Wirtschaftssanktionen vom globalen Finanzsystem abgeschnitten wurde, um sein Atomwaffenprogramm einzuschränken.
DragonEx war nicht die erste Krypto-Börse, die Opfer dieser speziellen Hackerbande wurde, die einige Sicherheitsanalysten die Lazarus-Gruppe nennen. Die Gruppe zielt seit mindestens 2017 auf die Branche ab, als Teil einer breiter angelegten Kampagne, die sich auf Finanzinstitute konzentriert. Im August, berichtete eine Gruppe unabhängiger Experten den Vereinten Nationen, dass Nordkorea geschätzte 2 Milliarden US-Dollar für sein Raketenprogramm generiert hat, indem es weit verbreitete und immer raffiniertere Cyberangriffe einsetzte, um Banken und Kryptowährungsbörsen zu stehlen. Die Verwendung von Kryptowährungen durch das Regime zur Umgehung von Sanktionen steht hinter einer kürzlichen Warnung derselben Gruppe von UN-Experten, nicht an einer bevorstehenden Blockchain-Konferenz in Pjöngjang teilzunehmen.
Es wird allgemein angenommen, dass die Lazarus-Gruppe hinter mehreren schlagzeilenträchtigen Hacks steckt, darunter die Verletzung von Sony Pictures im Jahr 2014 und der WannaCry-Ransomware-Hack im Jahr 2017, der Hunderttausende von Computern in 150 Ländern betraf. Aber es war der Diebstahl von 81 Millionen Dollar von der Zentralbank von Bangladesch im Jahr 2016, der die mögliche Ausrichtung auf den Krypto-Austausch vorwegnahm. Laut FBI verbrachten die Angreifer mehr als ein Jahr mit der Aufklärung, bevor sie sich über eine ausgeklügelte Phishing-Kampagne Zugang zum Computersystem der Bank verschafften.
Das von laschen Sicherheitsvorkehrungen geplagte Kryptowährungs-Ökosystem war ein leichtes Ziel für nordkoreanische Hacker, die bereits Erfahrung mit der Verfolgung von Finanzinstituten hatten, sagt er Priscilla Moriuchi , Leiter der Nationalstaatsforschung bei Recorded Future, einem Cybersicherheitsunternehmen. Sie sind weitaus fähiger, als ihnen zugetraut wird, insbesondere auf der Seite der Finanzkriminalität, sagt Moriuchi.
Um DragonEx zu kompromittieren, hat Lazarus ein gefälschtes Unternehmen gegründet, das einen automatisierten Kryptowährungs-Handelsbot namens Worldbit-bot beworben hat, sagt er Kettenanalyse . Das erfundene Unternehmen hatte eine Website, und seine erfundenen Mitarbeiter hatten sogar Social-Media-Präsenzen. Als sie DragonEx-Mitarbeitern eine kostenlose Testversion der Handelssoftware anboten, hat jemand gebissen und Malware auf einen Computer heruntergeladen, der die privaten Schlüssel für die Geldbörsen der Börse enthielt.
In Forschung veröffentlicht Anfang dieses Monats beschreibt Kaspersky ein weiteres der jüngsten Schemata der Lazarus-Gruppe, das offenbar auch auf Kryptowährungsunternehmen abzielte. In diesem Fall erstellten die Angreifer gefälschte Unternehmen und verleiteten dann Ziele dazu, Malware mit der beliebten Messaging-App Telegram herunterzuladen.
Einbrechen und Geld stehlen reicht jedoch nicht aus. Sie müssen auszahlen. Laut Chainalysis hat die Lazarus Group im vergangenen Jahr die Art und Weise, wie sie dies tut, komplett überarbeitet. Letztes Jahr schien es in seinen Geldwäschetechniken ziemlich unausgereift zu sein und ließ die gestohlenen Gelder normalerweise 12 bis 18 Monate lang ruhen, bevor sie über eine Börse ausgezahlt wurden, die nicht nachverfolgt, wer ihre Kunden sind. (Aus genau diesem Grund müssen Kryptowährungsbörsen in den meisten Gerichtsbarkeiten die Identität ihrer Kunden verfolgen.)
Die Art und Weise, wie die Gruppe ihr Geld nach dem DragonEx-Hack im vergangenen März bewegte, war offenbar viel raffinierter. Sie nutzten viele weitere Zwischenschritte, darunter Börsen und eine Vielzahl von digitalen Geldbörsen. Die Münzen landeten in einer speziellen Art von Wallet, die eine Bitcoin-kompatible Datenschutztechnologie namens CoinJoin verwendet, die Transaktionen von mehreren Benutzern so kombiniert, dass es schwierig ist zu sagen, wer welche Zahlung an welchen Empfänger gesendet hat. Und die Hacker zahlten schneller aus: Fast alle Gelder wurden laut Chainalysis innerhalb von 60 Tagen an Liquidationsdienste überwiesen.
Die neuen und verbesserten Methoden der nordkoreanischen Hacker sagen vielleicht weniger über ihre eigenen Fähigkeiten aus als über die Geldwäsche-Tools, die jetzt in der Kryptowelt verfügbar sind. Die Forschungsleiterin von Chainalysis, Kim Grauer, sagt, dass ihr Team im Jahr 2019 einen großen Anstieg der fortschrittlichen Geldwäsche-Infrastruktur bemerkte, an die sich verschiedene kriminelle Organisationen einfach anschließen können. Mit anderen Worten, selbst Kriminelle, die sich mit Blockchains nicht auskennen, haben möglicherweise leichten Zugang zu ausgeklügelten Methoden, um ihre Spuren zu verwischen, nachdem sie Ihre Krypto gestohlen haben. So oder so, solange Börsen Sicherheitslücken haben, werden Gruppen wie Lazarus sie weiterhin ausrauben.