Nordkoreanische Hacker haben israelische Verteidigungsfirmen im Visier

0
Symbolbild. Foto Charles Deluvio on Unsplash.com
Symbolbild. Foto Charles Deluvio on Unsplash.com
Lesezeit: 4 Minuten

Gemäss einem neuen Bericht von ClearSky, einer privaten Cyber-Sicherheitsfirma, haben Nordkoreanische Hacker Angriffe auf den israelischen Verteidigungssektor lanciert. Die Hacker versuchten wahrscheinlich, Militärgeheimnisse aufzudecken, die für Südkoreas Entwicklung eines Raketenabwehrsystems, welches dem israelischen Iron Dome ähnelt, wesentlich sind.

ClearSky nannte diese nordkoreanische Cyber-Kampagne “Operation Dream Job”, weil die Hacker gefälschte Stellenausschreibungen und fortschrittliche Social-Engineering-Taktiken einsetzten, um ihre Ziele davon zu überzeugen, mit Malware geladene Dokumente herunterzuladen. Der Bericht kam zu dem Schluss, dass die Hacker zahlreiche Rüstungsunternehmen nicht nur in Israel, sondern auch im gesamten Nahen Osten ins Visier nahmen. Die israelische Regierung erklärte, die Hacker seien gescheitert, doch gemäss Einschätzung von ClearSky haben die Angreifer wahrscheinlich eine grössere Menge an geheimen Daten gestohlen.

Der Bericht hielt fest, dass israelische Rüstungsunternehmen im vergangenen Jahr ähnliche nordkoreanische Angriffe verhindern konnten, als Hacker E-Mails mit schlecht übersetztem Hebräisch verschickt hatten. Die Hacker scheinen ihre Lektion gelernt zu haben. Diesmal nutzten sie LinkedIn und WhatsApp, um ihre Opfer anzulocken und zu verleiten, Trojaner für den Fernzugriff zu installieren, also Computerviren, die Passwörter und andere Informationen stehlen.

ClearSky berichtet weiter, dass die Hacker ihre Social-Engineering-Tricks durch umfangreiche Aufklärungsarbeit verbessert haben, um realistische, aber gefälschte Rekrutiererprofile auf LinkedIn zu erstellen. Ausserdem zeigten die Hacker fortgeschrittene Englischkenntnisse. Die Hacker überzeugten nicht nur über E-Mail- und Online-Messaging-Anwendungen, sondern sie sprachen auch telefonisch mit den Opfern, um diese zu täuschen.

ClearSky vermutet, dass “Dutzende von Forschern und Geheimdienstmitarbeitern” aus Nordkorea den Hackern geholfen haben könnten, ihre Kampagnen zu verbessern. Es ist möglich, dass Nordkoreas Geheimdienst, das Reconnaissance General Bureau, welches Nordkoreas bösartige Cyber-Operationen überwacht, seine auf Zielaufklärung oder die englische Sprache spezialisierten Mitarbeiter beauftragt hat, diese Hacker-Operationen zu unterstützen.

ClearSky bemerkte abschliessend, dass die Hacker sich wahrscheinlich finanziell bereichern wollten, da sich die gestohlenen Daten in erster Linie auf die Aktivitäten und finanziellen Angelegenheiten des Zielunternehmens konzentrierten. ClearSky spekulierte auch, dass die Hacker die gestohlenen Daten an die Feinde Israels, insbesondere den Iran, mit Gewinn verkaufen könnten.

Diese Einschätzung deckt sich zwar mit den Erkenntnissen der US-Regierung und der UNO, dass nordkoreanische Hacker die vielfältigen Sanktionsumgehungstaktiken Pjöngjangs unterstützen, indem sie illegale Einnahmen erzielen, übersieht jedoch ein weiteres wichtiges potenzielles Motiv: das Aufdecken von Schwächen innerhalb Südkoreas Militärapparat.

Anfang dieses Monats verkündete das südkoreanische Verteidigungsministerium die Entwicklung eines Artillerie-Abfangsystems mit grosser Reichweite auf der Grundlage des israelischen Iron Dome. Obwohl die «Operation Dream Job» vor dieser Ankündigung stattfand, debattiert das Militär in Seoul seit 2013 über dieses Thema, und die Geheimdienstmitarbeiter in Pjöngjang waren zweifellos mit der Überwachung dieser Art von Entwicklung beauftragt.

Ein Abfangsystem würde die Fähigkeit Südkoreas, die Bedrohung durch die auf den Großraum Seoul zielende Langstreckenartillerie des nordkoreanischen Militärs abzuschwächen, erheblich verbessern. Die Artillerie dient als entscheidende Komponente von Nordkoreas asymmetrischem Kriegsführungsplan, und daher würde Seouls Entwicklung eines Iron-Dome-ähnlichen Systems einen der wenigen Vorteile, die Pjöngjangs Militär besitzt, untergraben. ClearSky gab nicht an, welche israelischen Verteidigungsfirmen gehackt wurden, und daher ist nicht bekannt, ob die anvisierten Firmen am Verteidigungssystem Iron Dome beteiligt sind.

Wenn die Hacker tatsächlich solche Firmen ins Visier genommen haben, könnte «Operation Dream Job» als erste Etappe einer längerfristigen Spionageoperation gedient haben. Während des Angriffs auf die Bank of Bangladesh im Jahr 2016 blieben die Hacker beispielsweise monatelang in den kompromittierten Netzwerken, um diese zu studieren und zu verstehen, wie sie ihre Kontrollen des SWIFT-Finanznachrichtendienstes manipulieren konnten, was es ihnen schliesslich ermöglichte, 81 Millionen Dollar abzuzweigen. Es ist nicht schwer vorstellbar, wie Hacker ihren Zugang zu einer israelischen Verteidigungsfirma nutzen könnten, um Zugang zum breiteren israelischen Verteidigungssektor oder möglicherweise zu den Verteidigungssektoren anderer Partnerländer zu erhalten.

Die Operation Dream Job erinnert daran, dass Nordkoreas Cyber-Operationen nicht lokal begrenzt sind, sondern vielmehr eine Bedrohung für die Verbündeten der USA auf der ganzen Welt darstellen. Länder wie Japan und Taiwan organisieren seit Jahren multinationale Cyber-Übungen mit den Vereinigten Staaten und anderen gleichgesinnten Ländern, um verschiedene Cyber-Bedrohungen zu simulieren. Künftige Übungen sollten die Gruppe der teilnehmenden Länder um die technologisch und militärisch fortschrittlichsten Verbündeten und Partner der Vereinigten Staaten erweitern, unabhängig von ihrer geographischen Region. Washington braucht nicht auf die öffentliche Bestätigung der Zusammenarbeit zwischen seinen Cyber-Gegnern zu warten, um die offensive und defensive Cyber-Zusammenarbeit zwischen und unter den Verbündeten und Partnern der Vereinigten Staaten zu verbessern.

Mathew Ha ist Forschungsanalyst mit Schwerpunkt Nordkorea bei der Foundation for Defense of Democracies (FDD), wo er auch am Center on Cyber and Technology Innovation (CCTI) der FDD mitarbeitet. Übersetzung Audiatur-Online.