Lazarus-Gruppe

Die Lazarus-Gruppe (auch bekannt als Guardians of Peace, kurz GOP oder APT38) ist eine Hackergruppe, die im Zusammenhang mit einer Cyberattacke auf Sony im Jahr 2014 bekannt wurde. Zur Identität der Gruppe ist wenig bekannt. Laut Experten könnte sie die größte Hacker-Gruppe der Welt sein^[1].

Aufgrund der verwendeten Technik, der Angriffsmuster und der Methodik liegt es nahe, dass es sich bei den Guardians of Peace um eine staatliche nordkoreanische Gruppe handelt, die von verschiedenen Orten auf der Welt aus ihre Operationen durchführt. Das nordkoreanische Regime bestreitet dies im Staatsfernsehen jedoch. Tatsächlich soll Kim Jong-un selbst die Hacker-Gruppe aufgebaut haben.^[2]

Der Name „Lazarus“ kommt von dem biblischen Lazarus von Bethanien, welcher gemäß dem Johannesevangelium von den Toten auferweckt wurde. Eine Expertin erklärte im Interview: „Immer wenn du denkst, du hättest Lazarus besiegt, schlagen sie wieder zu.“, daher der Zusammenhang. Auf den Namen „Lazarus“ sollen Sicherheitsfirmen gekommen sein.^[1]

Aktionen[Bearbeiten | Quelltext bearbeiten]

Die Lazarus-Gruppe startete Ende November 2014 einen Cyberangriff auf Sony und veröffentlichte interne Dokumente und E-Mails. Bei dem Angriff wurden die Sozialversicherungsnummern von 47.000 Sony-Mitarbeitern, diverse Passwörter und andere Unternehmens-Interna im Umfang mehrerer Terabyte gestohlen. Sie stieß Drohungen gegen die Filmkomödie The Interview aus, in der es um einen Mordkomplott gegen Nordkoreas Machthaber Kim Jong Un geht.^[3] Daraufhin entschieden mehrere US-Kinoketten, den Film aus dem Programm zu nehmen. Als Reaktion sagte Sony den Kinostart des Films zunächst ab. Schließlich wurde der Film dennoch in einigen unabhängigen Kinos sowie online veröffentlicht.

Im Jahr 2016 wurden 81 Millionen US-Dollar mutmaßlich durch die Lazarus-Gruppe von Konten der Bangladesh Bank erbeutet. Ursprünglich sollten rund eine Milliarde Dollar erbeutet werden. Die gefundene Malware ist der beim Cyberangriff auf Sony 2015 verwendeten Malware technisch sehr ähnlich. Möglich wäre jedoch auch die Beteiligung Dritter an der Aktion.^[4]

In den Jahren 2017 und 2018 hat die Gruppe Kryptowährung im Wert von 571 Millionen US-Dollar erbeuten können.^[5]

Im Zuge der Operation AppleJeus im Jahr 2018 gründete die Gruppe eine Firma für Kryptowährung und lieferte so Anwendungen u. a. auch für MacOS. Malware wurde über angebliche Anwendungs-Updates eingeschleust, wodurch es gelang, Kryptowährung von Geräten der Opfer zu stehlen.^[6]

2020 soll die Hackergruppe für Cyberspionage in der Raumfahrt- und Rüstungsindustrie verantwortlich gewesen sein, in Deutschland standen Rheinmetall und die Renk AG im Fokus. Außerdem nehme „Lazarus“ aufgrund der Corona-Pandemie zunehmend Unternehmen der Pharmaindustrie ins Visier.^[7]

Nach Angaben des südkoreanischen Auslandsgeheimdienstes NIS sollen Mitglieder der Lazarus-Gruppe im Jahr 2021 versucht haben, an Impfstoffinformationen von Pfizer zu gelangen.^[8]

Die Lazarus-Gruppe soll aber auch weltweit verantwortlich für Spionage und Sabotage sein, so Christian Funk in einem Interview. Er verfolgt die Spur der Hacker schon seit 13 Jahren (Stand 2022) und gilt als einer der einflussreichsten Lazarus-Forscher der Welt.^[1]

Im März 2022 stahl die Gruppe Kryptogeld im Wert von etwa 570 Millionen Euro vom Ethereum-Netzwerk des Computerspiels Axie Infinity.^[9]

Im Februar 2023 wurde von F-Secure bekannt, dass Lazarus viele Forschungseinrichtungen und den Energiesektor inklusive der Lieferanten ausspioniert hat. Die Ziele befanden sich in Europa, Asien und Nordamerika. Dabei unterlief den Crackern der Fehler, eine der wenigen nordkoreanischen IP-Adressen zu verwenden.^[10]

Am 29. März 2023 wurde ein Sicherheitsvorfall bei der Telefonie Software des Anbieters 3CX bekannt, bei der weltweit Firmen und Privatpersonen mit Keyloggern infiziert worden sein sollen. Hinter diesem Angriff wird die Lazarus-Gruppe vermutet.^[11][12]

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Die Wochenzeitung Die Zeit veröffentlichte verschiedene Theorien, wer sich hinter den Guardians of Peace verbirgt:

Nach einer Theorie handelt es sich bei den Drohungen um eine Erpressung. Nach dieser Theorie sind die Erpresser nicht unbedingt identisch mit den GOP und verfolgen schlicht monetäre Interessen. Eine Woche nach dem Cyber-Angriff hatten Unbekannte mehrere Sony-Mitarbeiter bedroht und erpresst. Die Gruppe rief sie auf, die Fehler des Unternehmens einzuräumen, „um keinen Schaden zu erleiden“. Was die Hacker bisher getan hätten, sei nur ein kleiner Teil eines größeren Plans. Sony bestätigte die Existenz der E-Mails. Allerdings distanzierten sich die GOP davon: „Wir wissen nichts von drohenden Mails gegenüber Sony-Mitarbeitern“, heißt es in einer Nachricht von GOP.

Eine zweite Theorie besagt, der Angriff drehe sich um die Actionkomödie The Interview. Schon die Ankündigung des von Sony produzierten Films sorgte bei der Führung Nordkoreas für Unmut. Als der Sony-Hack bekannt wurde, mutmaßten deshalb einige Beobachter, dass der Angriff von Nordkorea aus initiiert wurde. In einer Nachricht, die auf der Plattform GitHub veröffentlicht wurde, fordern angebliche Mitglieder von GOP Sony auf, der folgenden Forderung nachzukommen: Das Unternehmen solle die Veröffentlichung des „Terrorismus-Films“ stoppen, welcher „den regionalen Frieden bedroht“. Es war das erste Mal, dass die Hacker von GOP explizit den kommenden Film The Interview erwähnten. Die Tatsache, dass die Täter den angeblich so schlimmen Film selbst im Netz veröffentlichten, lässt Zweifel an der Theorie aufkommen, dass staatliche Stellen in Nordkorea den Hack eines Films befohlen hätten. Die Sprecher der nordkoreanischen Regierung bestritten eine Beteiligung, nennen die Aktion aber gleichzeitig eine „gerechte Tat“.^[13]

2018 wurde ein mutmaßliches Mitglied der Gruppe, Park Jin Hyok, auf die Most-Wanted-Liste des FBI gesetzt.^[14]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c} Unterschätzen wir Nordkorea? - Was hinter der "Lazarus" Hackergruppe steckt | Galileo | ProSieben. Abgerufen am 6. Januar 2022. 
2. ↑ Peteranderl, Sonja: Kims Dotcom, erschienen am 8. März 2019 auf spiegel.de, aufgerufen am 23. Dezember 2020.
3. ↑ Nordkorea gibt sich martialisch. In: tagesschau.de. Archiviert vom Original am 21. Dezember 2014; abgerufen am 21. Dezember 2014. 
4. ↑ That Insane, $81M Bangladesh Bank Heist? Here's What We Know. 17. Mai 2015, abgerufen am 30. Januar 2023 (englisch). 
5. ↑ David Canellis: North Korean hacker crew steals $571M in cryptocurrency across 5 attacks. ... and they are inspiring more attempts. 19. Oktober 2018, abgerufen am 30. Januar 2023 (englisch). 
6. ↑ Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware. 23. August 2018, abgerufen am 30. Januar 2023 (englisch). 
7. ↑ Philipp Grüll, Hakan Tanriverdi: Nordkorea in Verdacht: Cyberspionage gegen deutsche Rüstungskonzerne. In: tagesschau.de. 18. Dezember 2020, abgerufen am 30. Dezember 2020. 
8. ↑ Der Spiegel: Nordkoreanische Hacker wollten sich offenbar Biontech-Impfstoffdaten verschaffen. Angreifer aus Nordkorea sollen versucht haben, an Informationen über den Impfstoff von Pfizer und Biontech zu kommen. Herausgefunden hat das offenbar der südkoreanische Geheimdienst. In: Spiegel.de. 16. Februar 2021, abgerufen am 30. Januar 2023. 
9. ↑ FBI macht nordkoreanische Hacker für Krypto-Diebstahl verantwortlich. In: Zeit Online. 14. April 2022, abgerufen am 8. Mai 2022. 
10. ↑ Anna-Lena Schlitt, Kai Biermann: Nordkorea spioniert offenbar gezielt Forschungsinstitute aus. Eine IT-Sicherheitsfirma hat nach eigenen Angaben eine Spionagekampagne aus Nordkorea aufgedeckt. Die Angreifer hatten einen Fehler gemacht und ihre Adresse preisgegeben. In: Zeint Online. Zeit Online GmbH, 2. Februar 2023, abgerufen am 30. Januar 2023. 
11. ↑ Sicherheitsvorfall bei der 3CX Desktop App Version 18.12.407 & 18.12.416 - Deskmodder.de. Abgerufen am 31. März 2023. 
12. ↑ heise online: BSI: Alarmstufe Orange wegen Trojaner in 3CX-Softphone-App. Abgerufen am 31. März 2023. 
13. ↑ Getrollt, gehackt, erpresst. In: zeit.de. Abgerufen am 21. Dezember 2014. 
14. ↑ PARK JIN HYOK. Abgerufen am 30. Januar 2023 (englisch).