USA identifizieren Nordkoreas Super-Hacker

Die Schadsoftware Wannacry infizierte Computer in 150 Ländern – Jin Hyok Park soll einer der Angreifer gewesen sein.

Die Hollywood-Satire «The Interview» erzürnte die nordkoreanische Regierung offenbar so sehr, dass sie ihre Hacker los schickte. (Archivbild)

Die Hollywood-Satire «The Interview» erzürnte die nordkoreanische Regierung offenbar so sehr, dass sie ihre Hacker los schickte. (Archivbild) Bild: AP Photo/Damian Dovarganes/Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Auf Seite 134 der Anklageschrift des US-Justizministeriums ist in einer Grafik übersichtlich eine Auswahl der gesammelten Beweise aufgelistet. Ganz oben links im Bild zu sehen ist ein Mann. Sein Name ist Jin Hyok Park, und er soll für drei der spektakulärsten Hackerangriffe der vergangenen Jahre verantwortlich sein.

Alle Pfeile, die von Park wegführen, enden bei Angriffen, die weltweit Systeme lahmlegten, Schaden in Millionenhöhe verursachten und in einem Fall Spekulationen auslösten, ob Menschen ihretwegen gestorben seien. (Bis heute gibt es darüber keinen bestätigten Fall.)

Die Angriffe kann man als Best-Of einer Hackergruppe bezeichnen, die IT-Sicherheitsforscher «Lazarus» nennen. Auch Park soll ihr angehören. Doch es geht um mehr als gewöhnliche Cyberkriminalität: Lazarus soll im Auftrag des Staates Nordkorea hacken.

Im Visier der Hacker: der globale Geldverkehr

Im Visier der Hacker standen unter anderem der globale Geldverkehr – Nordkorea versuchte, eine Milliarde Dollar über das Bezahlsystem Swift zu erbeuten und scheiterte wegen eines Rechtschreibfehlers –, aber auch das Filmstudio Sony Pictures Entertainment als Rache für eine Hollywood-Satire und US-Rüstungskonzerne.

Auch der Angriff mit der Erpresser-Software Wannacry stamme von der Lazarus-Gruppe. Wannacry sperrte und infizierte Hunderttausende Rechner in mehr als 150 Ländern. Betroffen waren vor allem Privatpersonen – aber auch Unternehmen wie die Deutsche Bahn und Renault. Von diesem Angriff waren insbesondere Kliniken in Grossbritannien betroffen, fast 7000 Termine von Patienten mussten abgesagt werden.

Wannacry-Attacke: Computerexperten haben Teile des Codes aus der Schadsoftware auch in Programmen der Lazarus-Gruppe gefunden. (Video: Reuters)

Dass Nordkorea hinter diesen Cyberangriffen stecke, haben amerikanische und britische Regierungen schon im vergangenen Jahr erklärt. Auch IT-Sicherheitsfirmen haben wiederholt Berichte veröffentlicht, die das nahelegten. Der US-amerikanische Thinktank CSIS schreibt, dass diese Gruppe für bedeutende Hacking-Operationen zuständig sei.

Enttarnt, angeklagt, öffentlich unter Druck gesetzt

Aber erst jetzt geht die US-Regierung juristisch gegen einen Hacker aus Pyongyang vor – ein Novum. Die Grafik, die die Regierung präsentiert, soll zeigen, dass die USA mittlerweile eine aggressive Strategie fährt. Die Botschaft: Alle Nationen, die mit digitaler Spionage oder gar Sabotage gegen die USA vorgehen wollen, werden enttarnt, angeklagt und somit öffentlich unter Druck gesetzt – das dürfte zumindest das Kalkül der Amerikaner sein.

Park soll Zugang zu einer Vielzahl von E-Mail-Adressen gehabt haben, die allesamt in Verbindung mit den grossen Angriffen stehen. In der Anklage wird ab Seite 130 detailliert herausgearbeitet, was über Park bekannt ist: Der 34-jährige soll an der Technischen Universität Kim Ch'aek in Pyongyang studiert haben und mehrere Programmiersprachen beherrschen.

Zwischen 2011 und 2013 soll er in China für die Firma «Chosun Expo Joint Venture» gearbeitet haben. Dabei soll es sich nach Angaben der US-Regierung um eine Scheinfirma handeln, hinter der die nordkoreanische Regierung stecke. Das gehe aus Aussagen nordkoreanischer Dissidenten hervor und aus Informationen von ausländischen Ermittlern.

Spuren nicht effektiv verwischt

Die Regierung kann Park vor allem deshalb beim Namen nennen und anprangern, weil es ihm trotz aller Versuche nicht immer gelungen sei, seine Spuren zu verwischen. Den Ermittlern liegen Mails vor, die Jahre zurückliegen, deutlich vor den ersten Hacking-Operationen.

Park habe demnach seine private Mail-Adresse verwendet, um mit Passwörtern geschützte Dokumente an jene Adresse zu schicken, die für Hacking-Operationen verwendet wurde und zu der er Zugang gehabt haben soll. Er habe auch über mindestens zwei E-Mail-Konten hinweg Informationen mit Gesprächspartnern darüber geteilt, wann er sich in einer chinesischen Provinz an der Grenze zu Nordkorea aufgehalten habe – dort hat die Scheinfirma ihren Sitz. Koreanischsprachige FBI-Ermittler haben den Schreibstil analysiert und erkannt, dass vor allem Wörter verwendet wurden, die in Nordkorea üblich sind.

Dem Hacker Jin Hyok Park wird vorgeworfen, für eine Vielzahl von Hackerangriffen verantwortlich zu sein. (Foto: FBI)

Park ist der einzig namentlich genannte Angeklagte. Doch aus dem Dokument geht deutlich hervor, dass das FBI sich ein umfassendes Bild der Hacking-Gruppe verschaffen konnte. Unter anderem ist es den FBI-Ermittlern gelungen, gelöschte E-Mail-Anhänge wiederherzustellen. Darin befand sich eine Datenbank, aus der sich herauslesen lässt, welche Systeme mit Trojanern infiziert worden waren, teils aufgeschlüsselt nach einzelnen Rechnern. Zwei Jahre später veröffentlichte die IT-Sicherheitsfirma McAfee einen Bericht über eine Cyberattacke auf südkoreanische Banken. Beide Listen überlappten stark, sprich: Es besteht Grund zur Annahme, dass die Liste aus 2011 jene Liste voller Ziele ist, die die nordkoreanischen Hacker abgearbeitet haben.

Zu den Aufgaben von Nordkoreas Hackern gehört es nicht nur, digitale Spionage zu betreiben, sondern auch Geld zu verdienen. Bis zu 100'000 Dollar sollen sie pro Jahr erwirtschaften, zehn Prozent davon dürfen sie behalten. Das Land wird international mit Sanktionen überzogen, deshalb ist diese kriminelle Einnahmequelle wichtig für das Regime. Durch Hacker-Angriffe soll auch das Atomwaffenprogramm finanziert werden. Park Jin Hyok ist also nicht nur eine aussenpolitische Waffe, er ist auch ein Devisenbeschaffer. (Tages-Anzeiger)

Erstellt: 08.09.2018, 21:08 Uhr

Artikel zum Thema

Warum «WannaCry» China besonders empfindlich traf

China zählt zu den Ländern, die besonders stark von der jüngsten Cyberattacke getroffen wurden. Das liegt vor allem an seiner Schwäche für Raubkopien. Mehr...

FBI nimmt gefeierten «WannaCry»-Retter fest

Marcus Hutchins hat die wohl grösste Cyber-Katastrophe der Geschichte gestoppt: den Erpressungstrojaner «WannaCry». Der Brite soll aber selbst einen solchen Trojaner entwickelt haben. Mehr...

Ein wütender Brief aus Nordkorea erzürnt Trump

Analyse Die Stimmung zwischen Washington und Pyongyang wird schlechter: Der Deal mit Nordkorea steht auf dem Spiel. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Werbung

Urban und trendy?

Mal im Selbstversuch, mal beim Ortstermin. Oft mit Nachgeschmack. Immer allumfassend.

Die Welt in Bildern

Unter Pausbacken: Eine Verkäuferin bietet an ihrem Stand im spanischen Sevilla Puppen feil. (13. November 2018)
(Bild: Marcelo del Pozo ) Mehr...