In einem groß angelegten Cyberangriff sind mehr als 140.000 Computer südkoreanischer Unternehmen und Behörden mit Schadsoftware infiziert worden. Die Angriffe sollen bereits 2014 begonnen haben, wurden aber erst im Februar dieses Jahres von den südkoreanischen Behörden entdeckt. Die Ergebnisse der Untersuchung des Hackerangriffs deuten auf eine nordkoreanische Quelle hin. Der Angriff wird als Vorbereitung für einen noch größeren Cyberangriff gedeutet. Laut den Behörden in Seoul konnte dieser Versuch jedoch vereitelt werden.

Insgesamt sollen jedoch etwas mehr als 40.000 größtenteils rüstungsbezogene Dokumente und Datensätze, darunter auch Baupläne der Flügel des F15 Kampfjets, erbeutet worden sein. Laut südkoreanischen Kreisen seien diese Unterlagen allerdings nicht als „geheim“ eingestuft worden und andere südkoreanische Militärgeheimnisse somit nicht gefährdet.

Berichten zufolge konnte die südkoreanische Polizei die Schadsoftware gemeinsam mit Unternehmen und anderen staatlichen Stellen deaktivieren und auch verhindern, dass sie sich weiterverbreitete. Der Angriff zielte auf die Netzwerk-Management-Software von rund 160 südkoreanischen Unternehmen und Behörden. Darüber hinaus wurde festgestellt, dass die IP-Adresse von der aus der Hackerangriff initiiert wurde, der gleiche zu sein scheint, von der aus am 20. März 2013 ein Cyberangriff auf Banken und TV-Anstalten gesteuert wurde. Bei diesem Angriff wurden die Festplatten von etwa 30.000 Computer der südkoreanischen Finanzunternehmen Shinhan Bank, Jeju Bank, Nonghyup Bank, Munhwa Broadcasting Corporation, YTN und dem Korea Broadcasting System (KBS) gelöscht.

Bei dem aktuellen Angriff unternahmen die Hacker jedoch keine weiteren Aktionen, nachdem sie einige Server erfolgreich übernehmen konnten. Vielmehr warteten sie ab und hackten sich währenddessen in weitere Ziele ein, um damit eine Basis für einen größeren Angriff zu legen.

Guillaume Lovet, Threat Response Manager des IT-Sicherheit-Unternehmens Fortinet sagte, dass bei der Untersuchung des Malwarecodes festgestellt wurde, dass es sich um RAT – Remote Access Tools handelte. Laut Lovet sei dies ein Hinweis darauf, dass hier Profihacker am Werk waren, die möglicherweise einen regierungsgesteuerten Angriff durchführten.

Die südkoreanische Polizeieinheit die die Cyberuntersuchung durchführte erläuterte, dass das Hacking tatsächlich bereits schon 2014 begonnen hatte. Die Sache sei aber erst im Februar dieses Jahres aufgedeckt worden, nachdem Pjöngjang Informationen aus den Unternehmen der SK und Hanjin-Gruppe gestohlen hatte. Die Untersuchungseinheit sagte:

„Es besteht eine hohe Wahrscheinlichkeit, dass der Norden auf nationaler Ebene Verwirrung stiften wollte durch simultane Angriffe nach erfolgreicher Sicherung einiger Angriffsziele, oder auch, um kontinuierlich industrielle und militärische Geheimnisse zu stehlen.“

Südkorea hatte sich schon gegen mögliche nordkoreanische Cyberangriffe gewappnet, vor allem, nachdem Nordkorea eine miniaturisierte Wasserstoffbombe erfolgreich getestet hatte im Januar dieses Jahres.

Das zurückgezogen lebende Nordkorea und das reiche, demokratische Südkorea sind technisch immer noch im Krieg, da ihr Konflikt aus den Jahren 1950-1953 lediglich in einem Waffenstillstand endete und bisher kein Friedensvertrag unterzeichnet wurde. Der Norden droht regelmäßig, den Süden und seine wichtigsten Verbündeten zu zerstören.

Siehe auch: Welche IT-Sicherheitsmaßnahmen behindern die NSA beim Angriff auf IT-Systeme?

Artikel von ibtimes.co.uk, 13.06.2016: South Korea thwarted massive cyberattack by North targeting 140,000 government and private systems
Artikel von thehill.com, 13.06.2016: North Korean hackers steal blueprints for US fighter jets
Artikel von reuters.com, 13.06.2016: North Korea mounts long-running hack of South Korea computers, says Seoul