Es gibt gemeinsame Verteidigungspläne für Südkorea, die das Land zusammen mit den USA für den Ernstfall entwickelt hat. Diese geheimen Pläne enthalten alle möglichen Angriffsszenarien gegen nordkoreanische Militäreinrichtungen im Ernstfall und andere Notfallpläne.

Es gibt nun Berichte, wonach Hacker aus Nordkorea genau diese hochbrisanten Daten aus den Rechenzentren des südkoreanischen Defense Integrated Data Centers erbeutet haben. Sie waren ein Teil von etwa 235 Gigabyte (!) an Daten, die im August und September 2016 von Hackern gestohlen wurden.

Besonders pikant: Pläne für einen Enthauptungsstreik (genannt Operative Plan 5015) der gesamten nordkoreanischen Führungselite und des Machthabers Kim Jong Un für den Ernstfall befanden sich auch darunter. Die Informationen über den Vorfall stammen von einem südkoreanischen Abgeordneten im Verteidigungsministerium Rhee Cheol-Hee. Cheol-Hee sagte gegenüber den Medien, dass der Angriff viel schlimmer war, als sein Ministerium im Mai 2017 öffentlich zugegeben hatte. Außerdem so Cheol-Hee, sei man erst zu 20 % des Datenvolumens sicher, was genau gestohlen wurde. Der Rest ist noch unklar.

Südkorea fürchtet sich schon lange vor den wiederkehrenden Cyberattacken aus dem Norden. Schon mehrmals hatte der Süden Grund, seinen Erzfeind im Norden zu beschuldigen, Behörden-Webseiten gehackt zu haben. Im Gegensatz zu Nordkorea ist Südkorea ein sehr stark vernetztes Land. Die Gefahr ist dementsprechend groß angegriffen zu werden. Aus Pjöngjang im Norden verlautete aber immer stets:

„Wir waren’s nicht!“

Dieser große Coup muss ein schlimmer Schlag sein in die militärische Magengrube Südkoreas. Insbesondere, da es um die Beziehungen beider Länder noch nie so schlimm stand, seit dem Korea Krieg vor 64 Jahren. Zusammen mit seinem Alliierten, den USA, muss Südkorea nun sämtliche Pläne überarbeiten. Die USA haben schon mit dem Säbelrasseln angefangen. Kim Jong Un wird das gefallen.

Der Diktator in dritter Generation hat sein Land fest im Griff. Seine Bürger haben so gut wie keinen Zugang zum Internet. Seine Infrastrukturen sind kaum vernetzt laut internationalen Vergleich. Allerdings hat er einige smarte Hacker auf seiner Gehaltsliste. Darunter die Lazarus Gruppe, die schon lange ihr Unwesen treibt im Netz. Experten sehen die Hackertruppe des Diktators eher als Geldbeschaffer. Immer wieder konnte ihnen in den letzten Jahren nachgewiesen werden, dass sie Banken und Finanzhäuser angreifen.

Die Cybersicherheitsfirma BAE Systems Plc gab bekannt, dass diese Gruppe sehr wahrscheinlich für einen erst kürzlich erfolgten Cyberangriff in Taiwan verantwortlich sei. Sie hätten dort versucht etwa 60 Mio. US-Dollar von der Far Eastern International Bank (FEIB) zu stehlen. Doch nicht einmal 1 % dieser Summe konnten sie letztendlich tatsächlich zur Seite schaffen.

Lazarus versuchte schon mehrmals Bitcoin anzugreifen, aber auch mexikanische und polnische Banken. Zu letzteren Vorfällen gibt’s bis jetzt aber noch keine weiteren Infos. Vor einer Weile war die Truppe schon verantwortlich gemacht worden für die Attacke auf die Zentralbank von Bangladesch. Dabei wurde das globale SWIFT-Messaging-System missbraucht und 81 Mio. US-Dollar abgegriffen.

Internationale IT-Sicherheitsexperten rechnen weiter mit solchen Angriffen. Obwohl es den Hackern zunehmend schwerer fällt erfolgreiche Coups durchzuziehen, werden sie nicht aufgeben, so die Experten. Schließlich haben sie viel Aufwand in die Entwicklung ihrer Hackertools gesteckt. Es ist wahrscheinlich, dass sie in den kommenden Monaten ihre Versuche gegen Banken fortsetzen werden. Es wird auch davon ausgegangen, dass sie ihren Modus Operandi weiterentwickeln werden. Damit hätten sie dann neue Möglichkeiten zur Verfügung, um Opfer (bzw. sogar die breitere Öffentlichkeit) am Reagieren zu hindern.

In den letzten Tagen wurden verschiedene Malware-Varianten in einer Malware-Ablage hochgeladen, die offenbar von dem Taiwan Angriff stammten. Darunter bekannte Tools der Lazarus-Gruppe sowie eine seltene Ransomware-Variante genannt „Hermes“. Letztere könnte möglicherweise als Ablenkung oder Vertuschung für das IT-Sicherheitsteam der Far Eastern International Bank während des Cyberangriffs verwendet worden sein.

IT-Forscher konnten derweil durch Beobachten der Infrastruktur, die die Malware in Nordkorea kontrolliert, zusätzliche Hinweise auf die Herkunft dieser Angreifer erhalten. Allerdings wissen die Forscher noch nicht genug und sie warnen daher eindringlich: Wenn Lazarus in der Lage ist, Bankzahlungssysteme zu kompromittieren, ist es umso wichtiger, dass diese Netzwerke viel straffer gesichert und kontrolliert werden.

Artikel von eweek.com, 16.10.2017: North Korea Steals Confidential US, South Korean Military Documents
Artikel von baesystemsai.blogspot.co.at, 16.10.2017: Taiwan Heist: Lazarus Tools and Ransomware
Artikel von reuters.com, 16.10.2017: North Korea likely behind Taiwan SWIFT cyber heist: BAE

Urheberrecht Beitragsbild: shutterstock.com