Lazarus-Gruppe

aus Wikipedia, der freien Enzyklopädie

Die Lazarus-Gruppe (auch bekannt als Guardians of Peace, kurz GOP oder APT38) ist eine Hackergruppe, die im Zusammenhang mit einer Cyberattacke auf Sony im Jahr 2014 bekannt wurde. Zur Identität der Gruppe ist wenig bekannt. Laut Experten könnte sie die größte Hacker-Gruppe der Welt sein[1].

Aufgrund der verwendeten Technik, der Angriffsmuster und der Methodik liegt es nahe, dass es sich bei den Guardians of Peace um eine staatliche nordkoreanische Gruppe handelt, die von verschiedenen Orten auf der Welt aus ihre Operationen durchführt. Das nordkoreanische Regime bestreitet dies im Staatsfernsehen jedoch. Tatsächlich soll Kim Jong-un selbst die Hacker-Gruppe aufgebaut haben.[2]

Der Name "Lazarus" kommt von dem biblischem Lazarus von Bethanien, welcher gemäß dem Johannesevangelium von den Toten auferweckt wurde. Eine Expertin erklärte im Interview: "Immer wenn du denkst, du hättest Lazarus besiegt, schlagen sie wieder zu.", daher der Zusammenhang. Auf den Namen "Lazarus" sollen Sicherheitsfirmen gekommen sein.[1]

Aktionen

Die Lazarus-Gruppe startete Ende November 2014 einen Cyberangriff auf Sony und veröffentlichte interne Dokumente und E-Mails. Bei dem Angriff wurden die Sozialversicherungsnummern von 47.000 Sony-Mitarbeitern, diverse Passwörter und andere Unternehmens-Interna im Umfang mehrerer Terabyte gestohlen. Sie stieß Drohungen gegen die Filmkomödie The Interview aus, in dem es um ein Mordkomplott gegen Nordkoreas Machthaber Kim Jong Un geht.[3] Daraufhin entschieden mehrere US-Kinoketten, den Film aus dem Programm zu nehmen. Als Reaktion sagte Sony den Kinostart des Films zunächst ab. Schließlich wurde der Film dennoch in einigen unabhängigen Kinos sowie online veröffentlicht.

Im Jahr 2016 wurden 81 Millionen US-Dollar mutmaßlich durch die Lazarus-Gruppe von Konten der Bangladesh Bank erbeutet. Ursprünglich sollten rund eine Milliarde Dollar erbeutet werden. Die gefundene Malware ist der beim Cyberangriff auf Sony 2015 verwendeten Malware technisch sehr ähnlich. Möglich wäre jedoch auch die Beteiligung Dritter an der Aktion.[4]

In den Jahren 2017 und 2018 hat die Gruppe Kryptowährung im Wert von 571 Millionen US-Dollar erbeuten können.[5]

Im Zuge der Operation AppleJeus im Jahr 2018 gründete die Gruppe eine Firma für Kryptowährung und lieferte so Anwendungen u. a. auch für MacOS. Malware wurde über angebliche Anwendungs-Updates eingeschleust, wodurch es gelang, Kryptowährung von Geräten der Opfer zu stehlen.[6]

2020 soll die Hackergruppe für Cyberspionage in der Raumfahrt- und Rüstungsindustrie verantwortlich gewesen sein, in Deutschland standen Rheinmetall und die Renk AG im Fokus. Außerdem nehme „Lazarus“ aufgrund der Corona-Pandemie zunehmend Unternehmen der Pharmaindustrie ins Visier.[7]

Nach Angaben des südkoreanischen Auslandsgeheimdienstes NIS sollen Mitglieder der Lazarus-Gruppe im Jahr 2021 versucht haben, an Impfstoffinformationen von Pfizer zu gelangen.[8]

Die Lazarus-Gruppe soll aber auch weltweit verantwortlich für Spionage und Sabotage sein, so Christian Funk in einem Interview. Er verfolgt die Spur der Hacker schon seit 13 Jahren (Stand 2022) und gilt als einer der einflussreichsten Lazarus-Forscher der Welt.[1]

Im März 2022 stahl die Gruppe Kryptogeld im Wert von etwa 570 Millionen Euro vom Ethereum-Netzwerk des Computerspiels Axie Infinity.[9]

Hintergrund

Die Wochenzeitung Die Zeit veröffentlichte verschiedene Theorien, wer sich hinter den Guardians of Peace verbirgt:

Nach einer Theorie handelt es sich bei den Drohungen um eine Erpressung. Nach dieser Theorie sind die Erpresser nicht unbedingt identisch mit den GOP und verfolgen schlicht monetäre Interessen. Eine Woche nach dem Cyber-Angriff hatten Unbekannte mehrere Sony-Mitarbeiter bedroht und erpresst. Die Gruppe rief sie auf, die Fehler des Unternehmens einzuräumen, „um keinen Schaden zu erleiden“. Was die Hacker bisher getan hätten, sei nur ein kleiner Teil eines größeren Plans. Sony bestätigte die Existenz der E-Mails. Allerdings distanzierten sich die GOP davon: „Wir wissen nichts von drohenden Mails gegenüber Sony-Mitarbeitern“, heißt es in einer Nachricht von GOP.

Eine zweite Theorie besagt, der Angriff drehe sich um die Actionkomödie The Interview. Schon die Ankündigung des von Sony produzierten Films sorgte bei der Führung Nordkoreas für Unmut. Als der Sony-Hack bekannt wurde, mutmaßten deshalb einige Beobachter, dass der Angriff von Nordkorea aus initiiert wurde. In einer Nachricht, die auf der Plattform GitHub veröffentlicht wurde, fordern angebliche Mitglieder von GOP Sony auf, der folgenden Forderung nachzukommen: Das Unternehmen solle die Veröffentlichung des „Terrorismus-Films“ stoppen, welcher „den regionalen Frieden bedroht“. Es war das erste Mal, dass die Hacker von GOP explizit den kommenden Film The Interview erwähnten. Die Tatsache, dass die Täter den angeblich so schlimmen Film selbst im Netz veröffentlichten, lässt Zweifel an der Theorie aufkommen, dass staatliche Stellen in Nordkorea den Hack eines Films befohlen hätten. Die Sprecher der nordkoreanischen Regierung bestritten eine Beteiligung, nennen die Aktion aber gleichzeitig eine „gerechte Tat“.[10]

2018 wurde ein mutmaßliches Mitglied der Gruppe, Park Jin Hyok, auf die Most-Wanted-Liste des FBI gesetzt.[11]

Einzelnachweise

  1. a b c Unterschätzen wir Nordkorea? - Was hinter der "Lazarus" Hackergruppe steckt | Galileo | ProSieben. Abgerufen am 6. Januar 2022.
  2. Peteranderl, Sonja: Kims Dotcom, erschienen am 8. März 2019 auf spiegel.de, aufgerufen am 23. Dezember 2020.
  3. tagesschau.de. Archiviert vom Original am 21. Dezember 2014; abgerufen am 21. Dezember 2014.
  4. [1], aufgerufen am 23. Dezember 2020
  5. [2], aufgerufen am 23. Dezember 2020
  6. [3], aufgerufen am 23. Dezember 2020
  7. Philipp Grüll, Hakan Tanriverdi: Nordkorea in Verdacht: Cyberspionage gegen deutsche Rüstungskonzerne. In: tagesschau.de. 18. Dezember 2020, abgerufen am 30. Dezember 2020.
  8. Der Spiegel: Nordkoreanische Hacker wollten sich offenbar Biontech-Impfstoffdaten verschaffen: https://www.spiegel.de/netzwelt/web/nordkorea-hacker-wollten-angeblich-corona-impfstoff-von-biontech-pfizer-ausspionieren-a-56910520-753b-4fbc-845a-96e0b86f22ca, aufgerufen am 19. Februar 2021
  9. FBI macht nordkoreanische Hacker für Krypto-Diebstahl verantwortlich. In: Zeit Online. 14. April 2022, abgerufen am 8. Mai 2022.
  10. zeit.de: Getrollt, gehackt, erpresst. Abgerufen am 21. Dezember 2014.
  11. https://www.fbi.gov/wanted/cyber/park-jin-hyok