Kapitel 4 :Lazarus Gruppe

Berichten zufolge handelt es sich bei der Lazarus-Gruppe, die oft als Guardians of Peace oder Whois Team bezeichnet wird, um eine Hacker-Gruppe, die aus einer unbestimmten Anzahl von Personen besteht und von der angenommen wird, dass sie von der Regierung Nordkoreas kontrolliert wird. Forscher haben seit 2010 eine beträchtliche Anzahl von Cyberangriffen mit der Gruppe in Verbindung gebracht, obwohl nicht viel über die Gruppe bekannt ist.

Pjöngjang, Nordkorea, Potonggang District, Nordkorea

In der Vergangenheit wurde die Organisation als kriminelle Organisation eingestuft; Inzwischen wurde sie jedoch aufgrund der Art der Bedrohung, die sie darstellt, und der Vielzahl der Taktiken, die sie bei der Durchführung von Operationen anwendet, als Advanced Persistent Threat eingestuft. Hidden Cobra, das vom United States Department of Homeland Security verwendet wird, um sich auf schädliche Cyberaktivitäten der nordkoreanischen Regierung im Allgemeinen zu beziehen, und ZINC oder Diamond Sleet, das von Microsoft verwendet wird, sind zwei Beispiele für Namen, die von Unternehmen vergeben wurden, die sich mit Cybersicherheit befassen. Kim Kuk-song, ein Überläufer aus Nordkorea, behauptet, dass die Einheit innerhalb der nordkoreanischen Regierung als Verbindungsbüro 414 bezeichnet wird.

Es gibt eine bedeutende Verbindung zwischen der Lazarus-Gruppe und Nordkorea. Das Justizministerium der Vereinigten Staaten von Amerika hat erklärt, dass die Organisation ein Bestandteil des Plans der nordkoreanischen Regierung ist, "die globale Cybersicherheit zu untergraben ... und illegale Einnahmen unter Verstoß gegen ... Sanktionen." Nordkorea ist in der Lage, mit einer kleinen Gruppe von Betreibern eine asymmetrische Bedrohung darzustellen, was für Südkorea besonders vorteilhaft ist. Dies ist einer der Gründe, warum Nordkorea von der Durchführung von Cyberoperationen profitiert.

Die Organisation ist verantwortlich für den ältesten bekannten Angriff, der als "Operation Troja" bezeichnet wurde und aus Angriffen bestand, die sich zwischen den Jahren 2009 und 2012 ereigneten. Dabei handelte es sich um eine Cyberspionage-Operation, die auf die südkoreanische Regierung in Seoul abzielte, indem Techniken des Distributed-Denial-of-Service-Angriffs (DDoS) eingesetzt wurden, die nicht besonders fortschrittlich waren. Darüber hinaus waren sie für Angriffe verantwortlich, die in den Jahren 2011 und 2013 stattfanden. Es ist zwar fraglich, aber denkbar, dass sie auch für einen Anschlag verantwortlich waren, der 2007 gegen Südkorea verübt wurde. Der Angriff auf Sony Pictures im Jahr 2014 ist einer der bemerkenswertesten Angriffe, für die die Bande bekannt ist. Bei dem Angriff auf Sony wurden ausgefeiltere Methoden verwendet, was zeigte, wie viel fortschrittlicher die Bande im Laufe der Zeit geworden ist.

Berichten zufolge war die Lazarus-Gruppe für den Diebstahl von zwölf Millionen Dollar aus der Banco del Austro in Ecuador und einer Million Dollar aus der Tien Phong Bank in Vietnam im Jahr 2015 verantwortlich. Darüber hinaus haben sie Finanzinstitute in Polen und Mexiko ins Visier genommen. Die Gruppe war für den Banküberfall im Jahr 2016 verantwortlich, bei dem es zu einem Überfall auf die Bank in Bangladesch kam und bei dem einundsiebzig Millionen Dollar erfolgreich gestohlen wurden. Im Jahr 2017 wurde berichtet, dass die Organisation Lazarus sechzig Millionen Dollar von der Far Eastern International Bank of Taiwan gestohlen hat. Der genaue Betrag, der gestohlen wurde, war jedoch unbekannt, und der Großteil der Gelder wurde wiedergefunden.

Trotz der Tatsache, dass unklar ist, wer wirklich hinter der Gruppe steckt, gibt es in den Medien Behauptungen, die darauf hindeuten, dass die Gruppe Verbindungen zu Nordkorea hat. Laut einem Bericht, der 2017 von Kaspersky Lab veröffentlicht wurde, neigte Lazarus dazu, sich auf Überwachungs- und Infiltrations-Cyberangriffe zu konzentrieren, während sich eine Untergruppe innerhalb ihrer Organisation, die Kaspersky als Bluenoroff bezeichnete, im gleichen Zeitraum auf Finanz-Cyberangriffe spezialisierte. Kaspersky entdeckte nicht nur viele Angriffe auf der ganzen Welt, sondern auch eine direkte Verbindung (IP-Adresse) zwischen Bluenoroff und Nordkorea.

Kaspersky räumte jedoch auch ein, dass es sich bei der Wiederholung des Codes um eine "falsche Flagge" handeln könnte, die die Ermittler täuschen und den Angriff auf Nordkorea verlegen sollte. Dies liegt daran, dass der Cyberangriff des WannaCry-Wurms auch Taktiken der National Security Agency (NSA) übernommen hat. Diese Ransomware nutzt einen Exploit namens EternalBlue aus, der im April 2017 von einer Hackergruppe namens Shadow Brokers veröffentlicht wurde.

Der WannaCry-Cyberangriff sei "mit hoher Wahrscheinlichkeit" von Lazarus durchgeführt worden, heißt es in einem von Symantec im Jahr 2017 veröffentlichten Bericht.

Am 4. Juli 2009 war die Lazarus-Gruppe für das erste große Hacking-Ereignis verantwortlich, das auch den Beginn der Operation "Operation Troja" markierte. Dieser Hack startete einen Distributed-Denial-of-Service-Angriff (DDoS) gegen Websites in den Vereinigten Staaten und Südkorea mit der Malware Mydoom und Dozer. Der Angriff war ziemlich einfach in seiner Ausführung. Es wird geschätzt, dass etwa dreißig Websites von der Angriffswelle betroffen waren, was auch dazu führte, dass der Text "Memory of the Independence Day" in den Master Boot Record (MBR) eingefügt wurde.

Die Angriffe, die von dieser Bande verübt wurden, sind im Laufe der Zeit komplexer geworden; Ihre Methoden und Instrumente sind verfeinert und effektiv wirksamer geworden. Der Angriff, der im März 2011 stattfand und als "Ten Days of Rain" bezeichnet wurde, umfasste ausgefeiltere Distributed-Denial-of-Service-Angriffe, die von Computern ausgingen, die in Südkorea infiltriert wurden. Der Angriff richtete sich gegen südkoreanische Medien, Finanzinstitute und wichtige Infrastrukturen. Am 20. März 2013 wurden die Angriffe mit DarkSeoul fortgesetzt, einer Wiper-Kampagne, die auf drei südkoreanische Medienorganisationen, Finanzinstitute und einen Internet Service Provider (ISP) abzielte. Es gab zwei weitere Gruppen, die damals die Verantwortung für diesen Anschlag übernahmen. Diese Gruppen waren als NewRomanic Cyber Army Team und WhoIs Team bekannt. Den Forschern war jedoch nicht bekannt, dass die Lazarus-Gruppe das Unternehmen war, das für den Angriff verantwortlich war. Die Lazarus-Gruppe ist eine Supergroup, die laut Forschern bis heute für die störenden Angriffe verantwortlich ist.

Die Angriffe der Lazarus-Gruppe wurden am 24. November 2014 abgeschlossen. An diesem Tag tauchte auf Reddit ein Beitrag mit dem Titel "Guardians of Peace" auf, in dem behauptet wurde, Sony Pictures sei auf unbekannte Weise gehackt worden. Die für den Hackerangriff verantwortlichen Personen behaupteten, hinter dem Angriff zu stecken. Im Laufe der Tage nach dem Angriff wurden erhebliche Datenmengen gestohlen und nach und nach veröffentlicht. Ein Interview mit einer Person, die behauptete, ein Mitglied der Organisation zu sein, ergab, dass sie nach dem Interview mehr als ein Jahr lang Daten von Sony gestohlen hatte.

Die Hacker verschafften sich Zugang zu Filmen, die zuvor noch nicht veröffentlicht worden waren, Drehbüchern für bestimmte Filme, Plänen für zukünftige Filme, Informationen über die Gehälter von Führungskräften im Unternehmen, E-Mails und die persönlichen Daten von rund 4.000 Mitarbeitern.

Unter dem Codenamen "Operation Blockbuster" konnte eine Gruppe von Sicherheitsunternehmen unter der Leitung von Novetta Malware-Samples analysieren, die in einer Vielzahl von Cybersicherheitssituationen entdeckt wurden. Mit Hilfe solcher Daten war das Team in der Lage, eine Analyse der Methoden durchzuführen, die die Hacker einsetzten. Durch ein Muster der Wiederverwendung von Code konnten sie eine Verbindung zwischen der Lazarus-Gruppe und einer Reihe von Angriffen herstellen. Zur Veranschaulichung verwendeten sie die Caracachs-Verschlüsselungsmethode, einen relativ obskuren Verschlüsselungsalgorithmus, der im Internet erhältlich ist.

Ein Diebstahl, der sich im Februar 2016 ereignete, wurde als Cyber-Raub der Bangladesh Bank bekannt. Das Konto der Federal Reserve Bank of New York, das der Bangladesh Bank, der Zentralbank von Bangladesch, gehörte, war das Ziel von fünfunddreißig falschen Anweisungen, die von Sicherheitshackern über das SWIFT-Netzwerk erteilt wurden. Der Zweck dieser Anweisungen bestand darin, illegal fast eine Milliarde Dollar von dem Konto zu überweisen. Insgesamt waren fünfunddreißig betrügerische Anweisungen erfolgreich und überwiesen insgesamt einhunderteine Million Dollar, wobei zwanzig Millionen Dollar nach Sri Lanka und einundachtzig Millionen Dollar auf die Philippinen zurückverfolgt wurden. Infolge eines falsch geschriebenen Befehls konnte die Federal Reserve Bank of New York die restlichen dreißig Transaktionen im Gesamtwert von 850 Millionen Dollar in US-Währung verhindern. Die Lazarus-Gruppe, die ihren Sitz in Nordkorea hat, soll nach Angaben von Cybersicherheitsspezialisten für den Hack verantwortlich sein.

Der WannaCry-Vorfall war ein riesiger Ransomware-Ausbruch, der sich am 12. Mai 2017 ereignete und Unternehmen auf der ganzen Welt betraf. Zu diesen Institutionen gehörten der National Health Service (NHS) in Großbritannien, Boeing und sogar Universitäten in China. Sieben Stunden und neunzehn Minuten wurden für den Angriff aufgewendet. Europol schätzt, dass fast 200.000 Computer in 150 Ländern infiziert wurden, wobei die...