Kryptobörsen-Attacke: Wie die "Lazarus Group" ihren großen Hack umsetzte
Die womöglich aus Nordkorea stammende Gruppierung hat neue Methoden zur Geldwäsche entwickelt. Blockchain-Analytiker verfolgen sie zurück.
Gehackte Anzeigetafel: Auch hinter Wannacry soll die "Lazarus Group" stecken.
(Bild: dpa, Jan Woitas)
- Mike Orcutt
Cyberüberfälle auf Kryptowährungsbörsen sind heutzutage keine Seltenheit mehr. Doch der Diebstahl von etwas mehr als 7 Millionen US-Dollar von DragonEx aus Singapur im vergangenen März war aus drei Gründen eine Besonderheit.
Zunächst wäre da ein extrem aufwendiger Phishing-Angriff, den die Hacker nutzten, um einzudringen – darunter nicht nur gefälschte Websites, sondern auch falsche Bots, die angeblich mit Kryptowährungen handelten. Dann gab es einen extrem cleveren Weg, wie das geklaute Krypogeld gewaschen wurde. Und schließlich zeigte sich, dass die Angreifer offenbar für die nordkoreanische Regierung tätig waren.
Überlebensstrategie für Kim?
Die Attacke auf DragonEx zeigt, wie gut heutige digitale Bankräuber arbeiten. Die Blockchain-Analysefirma Chainalysis hat den Fall untersucht – und nicht nur sie glaubt, dass die Spuren auf die koreanische Halbinsel führen. Sollte das stimmen, würde es zeigen, dass dies zur Überlebensstrategie des Kim-Jong-un-Regimes gehört, das abgeschnitten ist vom globalen Finanzsystem und unter internationalen ökonomischen Sanktionen leidet, die sein Atomprogramm unterminieren sollen.
DragonEx soll von der sogenannten Lazarus Group angegriffen worden sein. Die Hackertruppe ist im Kryptobereich seit mindestens 2017 tätig – als Teil einer breiteren Kampagne gegen Finanzanbieter. Im August kam eine unabhängige Expertengruppe gegenüber den Vereinten Nationen zu dem Schluss, dass Nordkorea rund zwei Milliarden US-Dollar für sein Raketenprogramm eingenommen hat – und zwar mithilfe "weitverbreiteter und zunehmend hochentwickelter Cyberattacken". Ziele sind Banken und besagte Kryptofirmen. Die UN-Experten warnten Ausländer davor, eine Blockchain-Konferenz in Pjöngjang zu besuchen.
Die Lazarus Group soll auch hinter anderen großen Hacks stecken, darunter dem gegen die Filmfirma Sony Pictures und hinter dem Kryptotrojaner Wannacry, der 2017 Hunderttausende Rechner in 150 Ländern lahmlegte. 2016 sollen 81 Millionen Dollar von der Zentralbank Bangladeschs entwendet worden sein. Laut FBI untersuchten die Angreifer die Abläufe ein Jahr lang, bevor sie mittels Phishing Zugriff auf das Geldhaus erhielten.
Hackergruppe "deutlich fähiger"
Die schlechten Sicherheitsmaßnahmen im Kryptobereich machten auch dieses anfällig, meinen Experten wie Priscilla Moriuchi von der Cybersecurityfirma Recorded Future, die sich mit Staatshackern beschäftigt. "Sie sind deutlich fähiger als man ihnen zugesteht, besonders im Bereich Finanzverbrechen."
Zum Angriff auf DragonEx wurde zunächst eine falsche Firma geschaffen, die Werbung für einen automatisierten Kryptohandelsroboter namens Worldbit-bot machte, so Chainalysis. Die erfundene Firma hatte eine Website, falsche Angestellte mit Social-Media-Profilen. Sie bot kostenlose Testversionen ihrer Software DragonEx-Mitarbeitern an, jemand biss an und hatte dann Malware auf dem Rechner, der wiederum private Schlüssel für die Wallets der Kryptobörse enthielt.
Kaspersky Labs beschrieb vor kurzem einen anderen Angriff der Lazarus Group. Dabei ging es ebenfalls um Kryptofirmen. Hierbei schufen die Hacker ebenfalls falsche Firmen und brachten ihre Opfer dazu, Malware herunterzuladen – diesmal über die Messaging-App Telegram.
Zurück zum Bargeld
Der Einbruch und das Stehlen von Kryptowährungen sind aber nicht alles. Diese müssen erst zu Bargeld gemacht werden. Chainalysis zufolge hat die Lazarus Group hier ganz neue Methoden erfunden. Zuvor ging es hier einfach zu: Noch 2019 wurde das Diebesgut 12 bis 18 Monate liegengelassen, bevor Kryptobörsen verwendet wurden, die ihre Kunden nicht überwachen. (Das kommt mittlerweile fast nicht mehr vor.)
Bei DragonEx ging das alles anders. Es wurden viele verschiedene Zwischenschritte verwendet, diverse Handelsplätze und Wallets. Schließlich landete die Summe in einer Spezialwallet, die eine Bitcoin-kompatible Datenschutztechnik namens CoinJoin nutzt. Diese kombiniert Transaktionen mehrerer Nutzer, damit eine Rückverfolgung schwerer wird. Auch brauchten die Hacker diesmal nur 60 Tage, bevor das Bargeld da war.
Die neuen und verbesserten Methoden zeigen, welche Werkzeuge in der Kryptowelt mittlerweile kursieren. Geldwäschesysteme sind ein großes Thema, wie auch Kim Grauer, Forschungschefin bei Chainalysis, meint. Kriminelle schließen sich hier einfach an und können das sogar ohne großartige Blockchain-Kenntnisse tun. Und solange es Sicherheitslücken gibt, wird die Nachfrage kaum schwächeln.
()
