Verfassungsschutz und Südkorea warnen: Nordkorea attackiert Rüstungsunternehmen
Vor allem die bekannte Lazarus-Gruppe, aber auch andere Akteure aus dem kommunistischen Norden Koreas spionieren gezielt Militärgeheimnisse aus.
(Bild: Jiri Flogel/Shutterstock.com)
Nordkoreanische Spione haben es auf Rüstungsunternehmen abgesehen und greifen diese indirekt, mit Umwegen über unsichere Dienstleister, an. Davor warnt das Bundesamt für Verfassungsschutz (BfV) gemeinsam mit dem südkoreanischen Nachrichtendienst NIS. Die APT-Gruppen aus Nordkorea hätten es neben finanzieller Beute vor allem auf fortschrittliche Sicherheitstechnologien abgesehen, erklären die Dienste.
Spezialität: Social Engineering
Zwei Beispiele verdeutlichen das Bedrohungspotential durch nordkoreanische Spionage: So drangen digitale Angreifer Ende 2022 in ein Zentrum für maritime Forschung ein, indem sie zunächst einen Dienstleister infiltrierten. Über dessen Zugänge lieferten die Eindringlinge Malware aus und stahlen Zugangsdaten, die ihnen beim eigentlichen Ziel, dem Forschungszentrum, Zutritt verschafften. Dort war für die Nordkoreaner jedoch Schluss: Der Sicherheitsverantwortliche wehrte den Angriffsversuch ab.
Ein zweiter Angriffsversuch zeigt nach Einschätzung der Nachrichtendienste die besondere Spezialität der nordkoreanischen Lazarus-Gruppe: Social Engineering. Die staatlich gelenkten Kriminellen – auch als APT38 bekannt – unterbreiteten Mitarbeitern von Rüstungsunternehmen mittels Tarnidentitäten lukrative Jobangebote eines angeblichen Konkurrenten und lotsten sie auf Kommunikationsplattformen wie Whatsapp oder Skype. Dort schoben sie ihren Opfern Malware unter, etwa im Gewand einer zu lösenden Programmieraufgabe oder eines Stellenexposés im PDF-Format. Die Lazarus-Mitglieder nutzten hier gezielt den Umstand aus, dass ihre Zielpersonen nicht mit Kollegen über das vermeintliche Konkurrenzangebot sprachen. Ob das Spear-Phishing letztendlich von Erfolg gekrönt war, verschweigt die BfV-Sicherheitsmeldung.
Hilfe für Admins
Für Administratoren gefährdeter Systeme stellen die Dienste Indicators of Compromise für beide Angriffskampagnen sowie eine Yara-Regel zur Identifikation der Malware aus den betrügerischen Jobangeboten zur Verfügung.
Laut Erkenntnissen von Geheimdiensten setzt Nordkorea zur Stärkung seiner militärischen und wirtschaftlichen Macht gezielt auf Cyberangriffe. So erbeuten die digitalen Krieger der Volksrepublik bereits seit Jahren Milliardenbeträge bei ihren Raubzügen, unter anderem mit Ransomware. Das Geld fließt zu großen Teilen in das nordkoreanische Atomprogramm. Auch über Freiberufler, die ihre wahre Herkunft gezielt verschleiern, fließen Devisen in die nordkoreanische Staatskasse, wie das US-Justizministerium vergangenes Jahr vermeldete. Auch Nordkoreas Verbündeter Russland blieb nicht verschont: Im Jahr 2021, also noch vor Russlands Angriffskrieg gegen die Ukraine, hatte die Lazarus-Gruppe russische Rüstungsfirmen infiltriert.
(cku)
