Startseite > Security > Nordkoreanische Hacker nehmen europäische Unternehmen ins Visier

Ziel: Finanzielle Gewinne und Spionage

Nordkoreanische Hacker nehmen europäische Unternehmen ins Visier

10. Oktober 2024, 10:00 Uhr | Autor: Martin J. Kraemer / Redaktion: Diana Künstler

Nordkoreanische Hackergruppen sollen verstärkt europäische Organisationen ins Visier genommen haben, darunter auch Unternehmen aus der Luft- und Raumfahrt- sowie Verteidigungsindustrie. Ein aktueller Fall zeigt, dass die Akteure ihre Angriffe auf kritische Infrastrukturen ausweiten könnten.

Im Juli wurde über die versehentliche Einstellung eines nordkoreanischen Hackers berichtet. Er flog auf, weil er bei dem Versuch erwischt wurde, gleich an seinem ersten Arbeitstag Malware zu installieren. Dank der strengen Sicherheitsprotokolle und der Wachsamkeit des Information-Security-Teams wurde der Hacker innerhalb von 25 Minuten entlarvt, nachdem er während des Onboarding-Prozesses verdächtige Aktivitäten gezeigt hatte, sodass ein unbefugter Zugriff auf die Systeme verhindert wurde. Bereits im Oktober 2023 warnte das FBI¹ vor der gleichen Gefahr. Die Behörde bittet seitdem die Opfer von DVRK-IT-Arbeitern oder diejenigen, die vermuten, dass sie zu Opfern geworden sind, dringend, die verdächtigen Aktivitäten an das FBI Internet Crime Complaint Center (IC3) zu melden.

Seitdem haben sich mehrere Organisationen in den USA gemeldet, von großen Fortune-500-Unternehmen bis hin zu kleinen Firmen sind viele Branchen vertreten. Einige veröffentlichten ihre eigenen Berichte, andere ließen wissen, dass auch sie von ähnlichen Angriffen betroffen waren. Das überrascht nicht wirklich. Viele Unternehmen ziehen es vor, Vorfälle im Bereich der Cybersicherheit geheim zu halten, vor allem, wenn es keine Verpflichtung zur Offenlegung gibt. Möglicherweise können sie nachweisen, dass auf keine Daten zugegriffen wurde oder diese gestohlen wurden. In diesem Fall gibt es keine Offenlegungspflicht gemäß DSGVO, NIS2 oder anderen Vorschriften. Viele könnten sich darauf berufen, dass sie einen Imageschaden vermeiden wollen, indem sie den Vorfall geheim halten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die nordkoreanische Gefahr für europäische Unternehmen

Bislang gab es nur wenige Berichte über ähnliche Vorfälle bei europäischen Unternehmen wie bei einem deutschen Rüstungskonzern. Das bedeutet jedoch nicht, dass europäische Organisationen nicht bereits mehrere nordkoreanische Hacker auf ihrer Gehaltsliste haben könnten. Möglicherweise bezahlen europäische Unternehmen bereits Mitarbeiter, die ihr Gehalt über Mittelsmänner auf nordkoreanische Konten überweisen. Die Annahme, dass auch Organisationen in der Europäischen Union von falschen Mitarbeitern infiltriert werden, um ausländische Zahlungsmittel nach Nordkorea zu bringen, liegt nahe.

Das nordkoreanische Regime und die ihm nahestehenden Hackergruppen haben bereits in der Vergangenheit Organisationen im Westen ins Visier genommen, wenn auch mit anderen Zielen. Eine Kampagne, die vor etwa fünf Jahren entdeckt wurde und den Namen Operation Dream Job² trug, schien zunächst auf den Verteidigungs- und Luftfahrtsektor in den USA abzuzielen. Dann stellte sich heraus, dass auch eine spanische Luft- und Raumfahrt- und Verteidigungsorganisation³ betroffen war. Operation Dream Job nutzte Social-Engineering-Taktiken, um sich Zugang zu den Systemen und Netzwerken des Unternehmens zu verschaffen. Das Ziel war und ist oft finanzieller Gewinn durch den Einsatz von Ransomware.

Lazarus und Kimsuky lösen Warnungen aus

Die Lazarus-Gruppe, eine Cyberspionage-Gruppe, die mit Nordkorea und der Operation Dream Job in Verbindung steht, geht oft auf sehr überzeugende Weise an ihre Ziele heran. Die Gruppe identifiziert mögliche Opfer innerhalb von Organisationen auf LinkedIn und nähert sich ihnen mit gefälschten Headhunter-Profilen, die sorgfältig erstellt werden, einschließlich kuratierter Follower-Listen, um sie noch glaubwürdiger zu machen. Schließlich fordert der Headhunter einen potenziellen Bewerber auf, eine PDF-Datei mit einem bösartigen PDF-Reader zu lesen, eine bösartige Programmieraufgabe zu lösen oder einen bösartigen VPN-Client zu installieren. Ist der Bedrohungsakteur erfolgreich, verschafft er sich Zugang zu Netzwerken und Systemen, was für eine Organisation fatale Folgen haben kann, wie der Vorfall in Spanien gezeigt hat. Nach dem Vorfall gab die deutsche Regierungsbehörde eine Warnmeldung⁴ heraus, um Organisationen zu alarmieren.

KRITIS im Visier

Was mit dem Fokus auf Luft- und Raumfahrt und Verteidigung begann, scheint sich nun auch auf kritische Infrastrukturorganisationen⁵ zu konzentrieren. Das Ziel bleibt das gleiche. Finanzieller Gewinn bei gleichzeitiger Störung ausländischer Staaten und ihrer Organisationen. Operation Dream Job geht weiter. Im Oktober wurde bekannt, dass eine deutsche Organisation⁶ von der nordkoreanischen Gruppe „Kimsuky“ ins Visier genommen wurde. In diesem Fall waren die Hacker nicht erfolgreich, aber die nordkoreanische Suche nach Informationen und geistigem Eigentum sowie nach Möglichkeiten, Geld zu erpressen, geht weiter. Die Luft- und Raumfahrt- sowie die Verteidigungsbranche sollten sich nicht aus dem Fadenkreuz nehmen. Angesichts der Fälle in Spanien und Deutschland kann angenommen werden, dass auch Unternehmen im Rest Europas ins Visier geraten sind.

^{1 https://www.ic3.gov/Media/Y2023/PSA231018

2 https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf

3 https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/

4 https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2024-02-19-joint-cyber-security-advisory-englisch.pdf?__blob=publicationFile&v=2

5 https://www.securityweek.com/north-korean-hackers-lure-critical-infrastructure-employees-with-fake-jobs/

6 https://www.zdf.de/nachrichten/politik/ausland/nordkorea-hacker-kimsuky-diehl-defence-100.html}