Vor fünf Jahren wurde der Ransomware-Angriff WannaCry ausgeübt, der von Experten Nordkorea zugeschrieben wird. Die Auswirkungen waren teils dramatisch. Ein Kommentar von Jens Monrad, Head of Threat Intelligence, EMEA bei Mandiant, zur Entwicklung der Cyberfähigkeiten Nordkoreas heute im Vergleich vor fünf Jahren.
Bei WannaCry handelt es sich um eine Schadsoftware, die wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. WannaCry nutzte hierfür eine Zero-Day-Sicherheitslücke im Windows-Betriebssystem aus, die daraufhin mit einem Patch von Microsoft behoben wurde.
230.000 Computer verschlüsselt in 150 Ländern
„WannaCry war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyberoperationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen. Nordkorea hatte wenig Anreiz, „nach den Regeln zu spielen“. Diese Entwicklung setzt sich auch fünf Jahre später fort: Das Regime nutzt seine Cyberfähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.
Heutzutage wird die Lazarus-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gibt es jedoch mehrere verschiedene Gruppierungen, die als eigenständige Cyber-Einheiten operieren und unterschiedliche Ziele für den Staat verfolgen. Die Spionageoperationen des Landes beispielsweise spiegeln vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider. Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen.
Nordkoreanische Krypto-Raubüberfälle?
Jens Monrad, Head of Threat Intelligence, EMEA bei Mandiant (Bild: Mandiant).
Gleichzeitig deuten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyberoperationen und somit eine übergreifende Koordination gibt. Unseren Erkenntnissen zufolge werden die meisten Cyberoperationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt.
Ein halbes Jahrzehnt nach WannaCry stellen nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. Wir müssen weiterhin Intelligence über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“ Weitere Informationen zu nordkoreanischen Hackergruppen finden Sie auf dem Blog von Mandiant: Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations.
Mehr bei Mandiant.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.