Wegen WannaCry und Sony-Hack: USA gehen gegen Kims geheime Hacker-Armee vor

Bei ihren Attacken erbeuteten sie Milliarden US-Dollar und fügten Computernetzwerken im Westen großen Schaden zu. Nun geht das US-Finanzministerium gegen mehrere Hackergruppen aus Nordkorea vor.

Sie benennen sich nach der biblischen Gestalt "Lazarus" und dem geflügelten Pferd "Cheollima" aus der nordkoreanischen Mythologie, mal tauchen sie als "Versteckte Kobra", dann wieder als "Beschützer des Friedens" auf: Die USA haben nun Sanktionen gegen drei nordkoreanische Hackergruppen verhängt. Sie sollen im Auftrag der Regierung in Pjöngjang versucht haben, hunderte Millionen US-Dollar zu erbeuten – demnach sind die Gruppen unter anderem für die Verbreitung der Erpressersoftware "WannaCry" verantwortlich.

Die Hackergruppen "Lazarus", "BlueNorOff" und "AndAriel" würden vom nordkoreanischen Geheimdienst gesteuert, teilte das US-Finanzministerium mit. Mit ihren Cyberattacken hätten sie Nordkoreas illegale "Waffen- und Raketenprogramme" unterstützt. Die 2007 gegründete Lazarus Group wird unter anderem für den Hackerangriff auf die Produktionsfirma Sony im Jahr 2014 verantwortlich gemacht.

Der Angriff auf Sony

Die Hacker saugten damals unter anderem Mitarbeiterdaten und Firmendokumente sowie unveröffentlichte Filme von den Servern des Unternehmens. Für weltweite Schlagzeilen sorgte ihre Forderung, die Veröffentlichung der Komödie "The Interview" über ein fiktives Attentat auf den nordkoreanischen Machthaber Kim Jong Un abzublasen. Die Hacker drohten damit, andernfalls Terrorangriffe auf Kinos zu verüben, in denen der Film gezeigt wird.

Die US-Ermittler werfen der Lazarus Group auch die weltweite Verbreitung der Schadsoftware "WannaCry" 2017 vor. "WannaCry" hatte hunderttausende Computer in rund 150 Ländern blockiert. Betroffen waren unter anderem Krankenhäuser in Großbritannien, dort belief sich der Schaden auf umgerechnet fast 110 Millionen Euro.

Die millionenschweren Ziele

Die Hacker von BlueNorOff und der Lazarus Group sollen außerdem das internationale Zahlungsverkehrssystem Swift infiltriert und versucht haben, auf diesem Weg mehr als eine Milliarde US-Dollar zu erbeuten. Die Zentralbank von Bangladesch sollen sie um 80 Millionen US-Dollar betrogen haben. Den nordkoreanischen Hackern gelang es nach Angaben des US-Finanzministeriums vermutlich auch, bei Angriffen auf Online-Plattformen in Asien 2017 und 2018 Kryptowährungen im Wert von 571 Millionen Dollar zu stehlen.

Im September war die US-Regierung bereits gegen ein mutmaßliches Lazarus-Mitglied vorgegangen. Das US-Finanzressort verhängte damals Sanktionen gegen den nordkoreanischen Computerspezialisten Park Jin Hyok. Außerdem erhob das Justizministerium formell strafrechtliche Anschuldigungen gegen ihn, unter anderem im Zusammenhang mit der "WannaCry"-Attacke.

Der russische Thinktank "Russian International Affairs Council" stellte in einer Analyse einen Zusammenhang zwischen den Cyberattacken und den nordkoreanischen Atomtests her. Demnach seien die Ereignisse mehrfach zeitlich zusammengefallen – offenbar um die Aufmerksamkeit von den Cyberattacken abzulenken, vermuten die Experten.

So seien etwa im Februar 2013 südkoreanische Fernsehstationen und Banken Ziel der Attacke "DarkSeoul" geworden, als Nordkorea gerade seine dritte Atomtestphase durchführte. Zeitgleich zum vierten Atomtest im Januar 2016 seien die Behörden in Südkorea von Phishing-Mails überflutet worden. Und beim fünften Test im September 2016 hätten die Hacker geheime Militär-Dokumente aus Südkorea gestohlen.

• Hackerangriffe: Nordkorea erbeutet Milliarden
• Sony-Hack: US-Justiz klagt Programmierer aus Nordkorea an
• WannaCry: War die Hackerattacke nur ein Ablenkunsmanöver?

Mit Gegenangriffen auf die Cyberattacken zu antworten, sei praktisch nicht möglich, schreibt der Thinktank – auch weil sich die Angegriffenen effektiver Gegenmittel selbst beraubt hätten: Nordkorea sei international isoliert und vom World Wide Web fast komplett abgekoppelt. Deshalb sei auch nicht mit einem Ende der Attacken zu rechnen: Die USA hätten das Arsenal an Sanktionen ausgeschöpft. Und einen Krieg als Antwort auf einen Cyberangriff werde niemand wagen.