Büro 121

Büro 121 ist der Name einer Unterabteilung des nordkoreanischen Geheimdienstes Generalbüro für Aufklärung, die unter dem auch in Nordkorea bekannten Begriff „Geheimer Krieg“ den Cyberkrieg betreibt.[1] Die 1998 gegründete Behörde ist Teil des „Amtes für Allgemeine Aufklärung“, einer Spionageabteilung des Militärs,[2][3] deren Schwerpunkt versteckte Aktionen im In- und Ausland sind.[4]

Das Büro ist nach Einschätzung der Vereinten Nationen (UN) verantwortlich für digitale Banküberfälle mit Schäden in Milliardenhöhe.

Zielsetzung und Berichte der Vereinten Nationen (UN)

[Bearbeiten | Quelltext bearbeiten]

Nach Analysen des US-amerikanischen Verteidigungsministeriums führt Nordkorea offensive Operationen im Cyberspace durch. Sie werden als wirksame und kostengünstige Methode angesehen, um eine mögliche Unterlegenheit in klassischen militärischen Bereichen auszugleichen. Die Aktionen richten sich vor allem gegen Südkorea, sie sollen dort öffentliche Störungen verursachen. Außerdem will man Zugang zu geheimen Informationen erhalten. Das Verteidigungsministerium der Vereinigten Staaten beobachtet seit 2009 mehrere Cyberattacken, bei denen Nordkorea als Verursacher vermutet wird.[5]

Im August 2019 veröffentlichte der Sicherheitsrat der Vereinten Nationen einen Bericht, der den nordkoreanischen Staat in einer Vielzahl von Cyberangriffen als Verantwortlichen nennt und die Behauptung aufstellt, dass Nordkorea in den letzten Jahren signifikante Geldmittel durch räuberische Handlungen im Cyberspace gewinnen konnte, die maßgeblich in die Finanzierung des nationalen Kernwaffenprogramms fließen. Die Operationen sollen dabei in erster Linie vom Büro 121 geführt worden sein. Als Gegenreaktion auf die nukleare Aufrüstung der Demokratischen Volksrepublik Korea verhängte der Sicherheitsrat der Vereinten Nationen, beginnend mit den Resolutionen Nr. 1718 (2006) und Nr. 1695 (2006), verschiedene Sanktionsmaßnahmen gegen das totalitäre Regime. Diese führten dazu, dass der Staat stark in seiner wirtschaftlichen Handelsfreiheit eingeschränkt wurde, doch trotz zahlreicher Embargos auf militärische sowie wirtschaftliche Güter gelang es Nordkorea weiterhin, das umstrittene Kernwaffenprogramm zu unterhalten und fortzuentwickeln. Die Vereinten Nationen sehen die nordkoreanischen Cyber-Operationen als eine der primären Finanzierungsquellen des staatlichen Kernwaffenprogramms.[6][7] Die Vereinten Nationen gehen davon aus, dass Nordkorea schätzungsweise zwei Milliarden US-Dollar in den letzten Jahren des 2010er Jahrzehnts bis November 2020 durch Cyberangriffe erbeuten konnte.[8][6] Im Jahr 2023 konkretisierte die UN, dass Nordkorea von 2017 bis einschließlich 2022 insgesamt 1,2 Milliarden US-Dollar zur Finanzierung des Kernwaffenprogramms durch Cyberkriminalität erbeutete.[9][10]

Struktur und Organisation

[Bearbeiten | Quelltext bearbeiten]

Nach einem Bericht der Nachrichtenagentur Reuters im Jahr 2014 arbeiten in dem Büro die begabtesten Computerexperten des Landes.[2] Ein übergelaufener Spion hatte im selben Jahr berichtet, dass in dem Büro rund 1.800 Fachleute beschäftigt seien.[11] Im Januar 2015 wurde bekannt, dass die Mitarbeiterzahl des Büros bis Jahresende auf über 6.000 aufgestockt werden soll.[12] Die Schätzungen liegen (Stand 2021) höher: bei zwischen 3.000 und 10.000 staatlich angestellten nordkoreanischen Hackern.[7] Viele der Hacker sind Absolventen der Fakultät für Automation der Kim-Il-sung-Universität in Pjöngjang. Neue Mitarbeiter unterliegen einer strengen Auslese und werden teilweise bereits im Alter von 17 Jahren rekrutiert. Die Mitarbeiter des Büros gehören zu den bestbezahlten Personen im Staat.[11] Getarnt als Angestellte von nordkoreanischen Handelshäusern sind sie teilweise auch im Ausland stationiert, während ihre zuhause gebliebenen Familien zahlreiche Privilegien genießen.[13]

Das Büro 121 ist eine Unterabteilung des Generalbüro für Aufklärung und setzt sich Stand 2019, aus folgenden Einheiten zusammen:[14]

  • Lab 110
    • Office 98
    • Office 414
    • Office 35
  • Unit 180
  • Unit 91
  • 128 Liaison Office
  • 413 Liaison Office

Einem Bericht[15] des US-amerikanischen Verteidigungsministeriums zufolge besteht die Abteilung aus über 6000 Mitarbeitern, dabei sind vier operative Einheiten dem Büro 121 unterstellt, die wie folgt beschrieben werden:

Das US-Militär schätzt die Größe der Andarial-Gruppe auf ca. 1600 Mitglieder. Die Aufgabe der Einheit ist es, primär feindliche Computersysteme auszuspähen und potenzielle Schwachstellen für zukünftige Angriffe zu detektieren.

Laut Schätzungen des US-Militärs beläuft sich die Größe der Bluenoroff-Gruppe auf rund 1700 Mitglieder. Die Gruppierung ist für die Beschaffung von Geldmitteln zuständig, die in die Finanzierung des nordkoreanischen Staates fließen. Im Rahmen dieser Beschaffungsmaßnahmen werden Taktiken und Methoden aus dem Bereich der Computerkriminalität angewandt.

Electronic Warfare Jamming Regiment

[Bearbeiten | Quelltext bearbeiten]

Das US-Militär geht davon aus, dass dem Büro 121 ein Electronic Warfare Jamming Regiment unterstellt ist. Das Regiment mit Hauptsitz in Pjöngjang soll aus drei Bataillonen bestehen, die im Bereich der elektronischen Kriegsführung geschult sind. Die Bataillone befinden sich laut US-Angaben mit hoher Wahrscheinlichkeit in Kaesong, Haeja, und Kumgang. Das Electronic Warfare Jamming Regiment soll Berichten zufolge für elektronische Gegenmaßnahmen im VHF-/UHF-Bereich zuständig sein. Dabei wird auf russische Störtechnik zurückgegriffen, um gegnerische Signale aus dem gesamten Bereich von ca. 48 bis 97 Kilometern des relevanten elektromagnetischen Spektrums zu stören.

Lazarus ist eine APT-Gruppierung die bereits in der Vergangenheit wiederholt mit der DVRK in Verbindung gebracht wurde.[16] Das US-Militär beschreibt Lazarus’ Vorgehen wie folgt: Aufgabe der Gruppe ist es, soziales Chaos zu stiften, indem Schwachstellen feindlicher Netzwerke erkannt und wenn angeordnet ausgenutzt werden. Die Gruppierung speist Malware in das feindliche Netzwerk ein und aktiviert diese zu einem taktisch vorteilhaften Zeitpunkt, hierbei können mehrere Monate vergehen. In den meisten Fällen führt die Aktivierung der Malware zu einer Störung oder einer endgültigen Zerstörung der infizierten Systeme. Das US-Militär schreibt Lazarus die WannaCry-Angriffsserie aus den Jahren 2016/17 zu. Mitglied der Lazarus-Gruppe soll Jin Hyok Park sein, ein nordkoreanischer Staatsbürger, der vom FBI gesucht wird. Park soll unter anderem am Angriff auf Sony Pictures beteiligt gewesen sein.[17]

Die einzelnen Gruppierungen bestehen vermutlich aus weiteren Subgruppen, die unter verschiedenen Pseudonymen agieren.

Aktivitäten und Methoden

[Bearbeiten | Quelltext bearbeiten]

Im Jahr 2013 war Südkorea Ziel einer größeren Cyberattacke, bei der über 30.000 PCs gehackt wurden. Zielscheibe waren vor allem Banken, Medienunternehmen und Behörden sowie der Dienstsitz des Präsidenten.[2] US-amerikanische Behörden gehen davon aus, dass die Urheberschaft von Nordkorea ausging.[5] Es wird auch vermutet, dass Nordkorea im selben Jahr ein bösartiges Virus in tausenden von Smartphones in Südkorea verbreitet hat.

Die Weltöffentlichkeit wurde im Dezember 2014 auf die offensiven Cyberaktivitäten Nordkoreas aufmerksam, als Sony Pictures den Kinostart des Films The Interview in den USA vorübergehend stoppte, in dem der nordkoreanische Staatschef Kim Jong-un parodiert wird. Die Computer von Sony Pictures waren zuvor Ziel eines Hackerangriffs, bei dem interne Daten einschließlich vertraulicher Personaldaten gestohlen wurden. Die Hacker hinterließen außerdem Drohnachrichten auf den Systemen. US-amerikanische Sicherheitsexperten vermuten, dass das Büro 121 den Hackerangriff durchgeführt hat.[18] Ein Sprecher im nordkoreanischen Fernsehen erklärte jedoch, dass sein Land nicht für den Hackerangriff verantwortlich sei. Gleichwohl würdigte der Sprecher den Angriff als eine gerechte Tat.[18] Allerdings erklärte John McAfee, der Begründer des Computersicherheitsunternehmens McAfee, in einem Interview mit der International Business Times, dass er Kontakt zu den Hackern der Attacke auf Sony habe, deren Namen kenne und garantieren könne, dass Nordkorea nicht für den Hacker-Angriff auf Sony Pictures Entertainment verantwortlich sei.[19]

Bei dem Schadprogramm WannaCry, das im März 2017 über 250.000 Rechner mit Windows-Betriebssystem infiziert hat, wird ebenfalls vermutet, dass es sich um einen nordkoreanischen Hacker-Angriff handelt.[20]

Am 12. August 2020 wurde durch einen Sprecher des israelischen Verteidigungsministeriums bekannt gegeben, dass es im Juni 2020 einen Cyberangriff auf Teile der israelischen Rüstungsindustrie gab. Die israelischen Behörden ordneten den Angriff Nordkorea zu. Laut dem privaten Cyber-Sicherheitsunternehmen Clear Sky, das den Angriff detektierte, ist die Wahrscheinlichkeit sehr hoch, dass durch die Angreifer größere Mengen an klassifizierten Informationen abgeflossen seien. Laut Clear Sky wurde der Angriff von der Lazarus-Gruppierung ausgeführt.[21]

Während der Covid-19-Pandemie berichtete unter anderem der russische Sicherheitssoftware-Hersteller Kaspersky und die südkoreanische Nachrichtenagentur Yonhap jeweils unabhängig voneinander von Malware-Hackerangriffen des Büros 121 auf mindestens einen SARS-CoV-2-Impfstoff-Hersteller, ein Gesundheitsministerium und die Europäische Arzneimittel-Agentur.[22][23][24]

Laut Priscilla Moriuchi, Expertin für Cybersicherheit der Harvard-Universität (und ehemaligen Mitarbeiterin der NSA) hat das Büro 121 das südkoreanische Cyberkommando angegriffen und Blaupausen für die Flügel von McDonnell Douglas F-15 ausspioniert. Moriuchi berichtet außerdem von Cyberangriffen des Büros auf Netzwerke von Geldautomaten und Kassenbezahlsystemen.[7]

Im Jahr 2022 und 2023 hat das Büro 121 mehrere Angriffe gegen Kryptoanbieter unternommen, so gegen NFT Spiele, Crypto Tauschbörsen oder Walletanbieter. Dabei erbeuteten die Cräcker in einem Zeitraum von etwa zwei Jahren mehr als eine Milliarde US-Dollar an Kryptowährungen.[25]

Technische Methoden

[Bearbeiten | Quelltext bearbeiten]

Die Angriffsmethoden Nordkoreas sind vielseitig und komplex. Oftmals ist das Ziel die Generierung von Devisen, jedoch werden auch Werkzeuge zur Informationsgewinnung und gezielten Zerstörung von Systemen eingesetzt.

Folgende Angriffsarten sind bei verschiedenen Vorfällen beobachten worden:

  • Ransomware blockiert den Zugriff auf das Betriebssystem bzw. verschlüsselt potenziell wichtige Dateien und fordert den Benutzer zur Zahlung von Lösegeld auf – meist über das digitale Bezahlsystem Bitcoin. (Vermutlich von Lazarus entwickelte und eingesetzte Ransomwarearten sind unter anderem: Hermes, Ryuk, WannaCry, VHD)[26][7]
  • Kryptomining/Kryptohijacking (auch Cryptocurrency mining) bezeichnet eine Technik, bei der ein Angreifer die Hardware- und Energieressourcen von Opfern unbemerkt und ohne deren Zustimmung zum rechenintensiven Mining verwendet werden, z. B. über manipulierte Webseiten oder durch Schadsoftware.[27] Das Büro nutzt hauptsächlich die Währungen Monero und Ethereum.[7]
  • Phishing/Spearfishing: Unter dem Begriff Phishing versteht man die Technik, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten, z. B. Passwörter, eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Beim Spearfishing konzentrieren die Angreifer sich dabei auf einzelne Personen, um zielgerichtet bestimmte Informationen zu akquirieren. Oftmals werden beim Spearfishing komplexe Social-Engineering-Taktiken angewandt, um die Zielperson zu manipulieren. Im Rahmen eines groß angelegten Cyberangriffs ist die Praxis des Phishings ein essenzieller Schritt, um sich Zugriff auf die Zielsysteme zu verschaffen. In der „Cyber Kill Chain“, einem Basismodell für Cyberangriffe des Rüstungsunternehmens Lockheed Martin, werden Phishingmethoden unter dem Punkt „Weaponization“ eingeordnet.[28]

Operative Methoden

[Bearbeiten | Quelltext bearbeiten]

Erkenntnissen eines Mitgliedstaates der Vereinten Nationen zufolge entsendet Nordkorea geschultes Personal ins Ausland, um von dort aus Cyberangriffe auszuführen. Schätzungsweise befinden sich mehrere hundert nordkoreanische IT-Experten in Europa, Afrika, Asien (China und Indien[7]) und dem Mittleren Osten. Um die Herkunft des Personals zu verschleiern, werden Scheinfirmen gebildet, deren Führung meist von einem Einheimischen übernommen wird, wobei die DRVK diese bezahlt, um die Legenden der Mitarbeiter weiter aufrechtzuerhalten[8][29][7]

Die amerikanische Cybersecurity and Infrastructure Security Agency berichtet davon, dass nordkoreanische IT-Experten ihre Expertise nutzen, um gegen Bezahlung auch Cyberangriffe für Dritte auszuführen.[30]

Liste der Nordkorea zugeordneten Angriffe

[Bearbeiten | Quelltext bearbeiten]

Sowohl staatliche als auch private Sicherheitsinstitution, darunter die Vereinten Nationen, ordnen Nordkorea eine Vielzahl von Cyberangriffen zu.[8] Dabei ist zu beachten, dass die Attribution von Angriffen im Cyberspace durch „False Flags“ und andere Maßnahmen, die der Obfuskation dienen, eine genaue Zuordnung erschweren.[31] Folglich sind Sammlungen von Angriffen, die einem Akteur zugeschrieben werden, unter Vorbehalt zu betrachten.

Angriffe auf Banken

[Bearbeiten | Quelltext bearbeiten]
Datum Orte Details[8]
Dez. 2015 Guatemala Gemeldeter Diebstahl von 16 Millionen US-Dollar
Dez. 2015 Vietnam Der Versuch, mehr als 1 Million Euro (1,1 Millionen US-Dollar) durch betrügerische SWIFT-Nachrichten zu stehlen, wurde später von der Tien Phong Bank veröffentlicht.
Feb. 2016 Bangladesch Versuchter Diebstahl von 951 Millionen US-Dollar (81 Millionen US-Dollar erbeutet[7])
Mai 2016 Südafrika / Japan Gemeldeter Diebstahl von 18 Millionen US-Dollar von der Standard Bank, der eine Fehlfunktion des Systems verursachte, kurz bevor das Geld an Geldautomaten in Convenience-Stores in Tokio und 16 Präfekturen in ganz Japan mit gefälschten Karten abgezogen wurde, deren Daten von Kreditkarten gestohlen wurden, die von der Bank ausgestellt wurden. In einer Antwort der japanischen Regierung an das Gremium vom 25. Juli 2019 heißt es: „Bis zum 9. Juli 2019 wurden ungefähr 260 Verdächtige, einschließlich Mitglieder der Gruppe für organisierte Kriminalität, festgenommen und der Gesamtbetrag des Geldes illegal von den Geldautomaten abgezogen Japan war ungefähr 1,86 Milliarden Yen. Die Verdächtigen verwendeten gefälschte Karten mit Daten von rund 3.000 Kundeninformationen, die der Standard Bank in der Republik Südafrika gestohlen wurden, um Bargeld an rund 1.700 Geldautomaten in Tokio und 16 Präfekturen in ganz Japan abzuheben. Der Fall wird noch untersucht.“
Juli 2016 Indien Versuch eines Diebstahls von 166 Millionen US-Dollar mit Taktiken und Techniken ähnlich dem Angriff auf die Bangladesh Bank im Februar 2016. Die Mittel wurden an die Canadia Bank Plc und die RHB IndoChina Bank Ltd in Kambodscha, die Siam Commercial Bank in Thailand, die Bank Sinopac in der chinesischen Provinz Taiwan und eine Bank in Australien (geleitet von Citibank New York und JP Morgan Chase New York) überwiesen.
Juli 2016 Nigeria Diebstahlversuch von 100 Millionen US-Dollar
Okt. 2017 Tunesien Diebstahlversuch von 60 Millionen US-Dollar
Okt. 2017 Taiwan Diebstahlversuch von 60 Millionen US-Dollar von der Far Eastern International Bank; alle bis auf 500.000 US-Dollar von der Bank eingezogen
Jan. 2018 Mexiko Diebstahlversuch von 110 Millionen US-Dollar von der Bancomext (vermutlich 10-15 Millionen erbeutet[7])
Jan. 2018 Costa Rica Diebstahlversuch von 19 Millionen US-Dollar
Feb. 2018 Indien Diebstahlversuch von 16,8 Millionen US-Dollar von der City Union Bank mit ähnlichen Techniken wie beim Angriff auf die Bangladesh Bank im Februar 2016.
März 2018 Malaysia Diebstahlversuch in Höhe von 390 Millionen US-Dollar, bei dem versucht wurde, nicht autorisierte Geldtransfers mithilfe gefälschter SWIFT-Nachrichten durchzuführen
Mai 2018 Chile Diebstahl von ca. 10 Millionen US-Dollar von der Banco de Chile durch nicht autorisierte Transaktionen mit SWIFT, hauptsächlich nach Hongkong. Die von Hackern abgelenkte Bank beschäftigt sich mit dem Diebstahl, indem sie Malware verwendet, um 9000 Computer im Besitz einer Bank funktionsunfähig zu machen.[7]
Juni 2018 Liberia Diebstahlversuch von 32 Millionen US-Dollar
Aug. 2018 Indien Gemeldeter Diebstahl von 13 Millionen US-Dollar durch Angriff auf die Cosmos Bank durch gleichzeitige Abhebungen von Geldautomaten in 23 Ländern in fünf Stunden sowie die Überweisung von 139 Millionen Rupien auf das Konto eines in Hongkong ansässigen Unternehmens in drei nicht autorisierten SWIFT-Transaktionen. Am 8. Oktober 2018 haben die Vereinigten Staaten diesen und andere ähnliche Angriffe der DVRK in ihre Warnung bezüglich der „FASTCash-Kampagne“ aufgenommen.
Okt. 2018 Chile Angriff auf Redbanc mit Malware namens POWERRATANKBA. Anspruchsvolles Social Engineering über LinkedIn, Skype.
Feb. 2019 Malta Diebstahlversuch von 14,5 Millionen US-Dollar von der Bank of Valletta (BOV) am 13. Februar. Vor der Rückbuchung wurden Überweisungen an Banken in Großbritannien, den USA, der Tschechischen Republik und Hongkong, China, vorgenommen. Seit Oktober 2018 wurde eine Phishing-Aktivität mit demselben digitalen Fingerabdruck festgestellt
Feb. 2019 Spanien Diebstahlversuch von 10,8 Millionen US-Dollar (vermutlich 10–15 Millionen erbeutet[7])
März 2019 Gambia Diebstahlversuch von 12,2 Millionen US-Dollar
März 2019 Nigeria Diebstahlversuch von 9,3 Millionen US-Dollar
März 2019 Kuwait Diebstahlversuch von 49 Millionen US-Dollar

Vorfälle mit Bezug zu Kryptowährungen

[Bearbeiten | Quelltext bearbeiten]
Datum Orte Details[8]
Februar 2017 ROK (Südkoreanisches Heer) Diebstahl von 7 Millionen US-Dollar beim ersten Angriff auf Bithumb
April 2017 ROK Diebstahl von 4,8 Millionen US-Dollar beim ersten Angriff auf den Kryptowährungsumtauschdienst Youbit (3618 Bitcoin)[7]
Mai 2017 Südkorea Der globale WannaCry-Angriff führte dazu, dass Bitcoin durch Monero 144.000 US-Dollar (52 Bitcoin) gewaschen wurde.
Juli 2017 Südkorea Gemeldeter Diebstahl von mehr als 7 Millionen US-Dollar beim zweiten Angriff auf Bithumb, darunter: 870.000 US-Dollar in Bitcoin und 7 Millionen US-Dollar in Bitcoin und Ethereum.
Sommer 2017 ROK 25.000 US-Dollar (70 Monero) durch Monero Cryptojacking / Mining durch illegale Beschlagnahme eines südkoreanischen Unternehmensservers
September 2017 Südkorea Diebstahl einer unbekannten Menge von Bitcoin (möglicherweise 2,19 Millionen US-Dollar) beim Angriff auf Coinis. Insgesamt wurden 6,99 Millionen US-Dollar an Verlusten aus diesem und dem Youbit-Angriff vom April 2017 gemeldet
Mai – Sept 2017 Südkorea Die ROK-Polizei meldete Angriffe von drei Akteuren der DVRK auf drei Kryptowährungsbörsen und gab an, dass 25 Mitarbeiter an vier verschiedenen Börsen seit Juli 2017 in 10 verschiedenen „Spear Phishing“ -Versuchen angegriffen wurden
Dezember 2017 Südkorea Diebstahl von 17 Prozent des Youbit-Vermögens beim zweiten Angriff auf Youbit. Youbit erklärte später Insolvenz als Folge des Hacks.
Dezember 2017 Slowenien Gemeldeter Diebstahl von über 70 Millionen US-Dollar durch das Bitcoin-Bergbauunternehmen NiceHash, das einen „hochprofessionellen Angriff mit ausgefeiltem Social Engineering“ meldete, bei dem Bitcoin in Höhe von ca. 63,92 Millionen US-Dollar gestohlen wurde.
Juni 2018 Südkorea Dritter Angriff auf Bithumb. Bithumb kündigte in einem seitdem gelöschten Tweet an, dass Hacker ungefähr 31 Millionen Dollar gestohlen haben. Der Erlös wurde über einen separaten Kryptowährungsumtausch namens YoBit gewaschen.
August 2018 Indien Gemeldeter Diebstahl von 13 Millionen US-Dollar
Oktober 2018 Bangladesch Diebstahlversuch von 2,6 Millionen US-Dollar
März 2019 Thailand/Singapur/Hongkong, Volksrepublik China Gemeldeter Diebstahl von 9 Millionen US-Dollar von DragonEx
März 2019 Südkorea Gemeldeter Diebstahl von 20 Millionen US-Dollar beim vierten Angriff auf Bithumb (3 Millionen EOS und 20 Millionen gestohlene Ripple-Einheiten im Wert von 6 bis 13,4 Millionen US-Dollar)
Mai 2019 Südkorea UpBit angegriffen. Es wurden keine Verluste gemeldet.

Strafverfolgung

[Bearbeiten | Quelltext bearbeiten]

Im Februar 2021 erhob das Justizministerium der Vereinigten Staaten Anklage gegen drei Personen des Büros 121 und wirft den vom FBI gesuchten Mitarbeitern des nordkoreanischen Geheimdienstes vor, mehr als 1,3 Milliarden US-Dollar von Banken und Unternehmen auf der ganzen Welt gestohlen und/oder erpresst zu haben.[32][33]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Rund 1800 Cyber-Krieger: Im „Büro 121“ züchtet Kim sein mysteriöses Hacker-Heer. In: Focus Online. 4. Dezember 2014, abgerufen am 26. Januar 2015 (englisch).
  2. a b c In North Korea, hackers are a handpicked, pampered elite. Reuters, 5. Dezember 2014, archiviert vom Original am 11. Oktober 2015; abgerufen am 26. Januar 2015 (englisch).
  3. Did North Korea's notorious Unit 121 cyber army hack Sony Pictures? In: The Guardian. 2. Dezember 2014, abgerufen am 26. Januar 2015 (englisch).
  4. John Pike: North Korean Intelligence Agencies. Federation of American Scientists, Intelligence Resource Program, abgerufen am 26. Januar 2015 (englisch).
  5. a b United States Department of Defense: Military and Security Developments Involving the Democratic People's Republic of Korea 2013. Federation of American Scientists, abgerufen am 26. Januar 2015 (englisch). S. 11
  6. a b Michelle Nichols, Raphael Satter: U.N. experts point finger at North Korea for $281 million cyber theft, KuCoin likely victim. In: Reuters. 10. Februar 2021 (reuters.com [abgerufen am 23. Februar 2021]).
  7. a b c d e f g h i j k l Katharina Graça Peters: Nordkorea: So setzt Kim Jong Un Hacker ein – Experteninterview mit Priscilla Moriuchi. In: DER SPIEGEL. Abgerufen am 23. Februar 2021.
  8. a b c d e United Nations S/2019/691 Security Council Distr.: General 30 August 2019. United Nation,Security Council, 30. August 2019, abgerufen am 22. September 2020 (englisch).
  9. tagesschau.de: Nordkoreas Hacker erbeuten 1,2 Milliarden Dollar für Atomprogramm. Abgerufen am 9. Februar 2023.
  10. Bericht der Uno: Nordkoreas Hacker erbeuten Rekordsummen für Atomprogramm. In: Der Spiegel. 7. Februar 2023, ISSN 2195-1349 (spiegel.de [abgerufen am 9. Februar 2023]).
  11. a b Nordkoreas Hacker-Schmiede bläst zum Cyber-Angriff. Frankfurter Allgemeine Zeitung, 21. Dezember 2014, abgerufen am 26. Januar 2015.
  12. Nordkorea verdoppelt seine Internet-Soldaten, Frankfurter Allgemeine Zeitung, 6. Januar 2015. Abgerufen am 26. Januar 2015 
  13. White House viewing Sony hack as national security threat (Memento des Originals vom 19. Dezember 2014 im Internet Archive) In: CNN, WWLP 22 News, 19. Dezember 2014. Abgerufen am 26. Januar 2015 (englisch). 
  14. Jong In, Lim, Ji Young, Kong, Kyoung Gon, Kim: The All-Purpose Sword: North Korea’s Cyber Operations and Strategies. 2019 © NATO CCD COE Publications, Tallinn, 2019, abgerufen am 22. September 2020 (englisch).
  15. Headquarters, Department of the Army: NORTH KOREAN TACTICS. Army Techniques Publication No. 7-100.2, 24. Juni 2020, abgerufen am 22. September 2020 (englisch).
  16. Kaspersky Lab: LAZARUS UNDER THE HOOD. Kaspersky Lab, abgerufen am 22. September 2020 (englisch).
  17. FBI: PARK JIN HYOK. Federal Bureau of Investigation, abgerufen am 28. September 2020 (englisch).
  18. a b Jack Cloherty: Sony Hack Believed to Be Routed Through Infected Computers Overseas. abc news, 17. Dezember 2014, abgerufen am 27. Januar 2015 (englisch).
  19. David Gilbert, Gareth Platt: John McAfee: „I know who hacked Sony Pictures – and it wasn't North Korea“. International Business Times, 15. Januar 2015, abgerufen am 30. Januar 2015 (englisch).
  20. Fabian A. Scherschel: WannaCry: Sony-Pictures-Hacker aus Nordkorea unter Verdacht. heise online, 16. Mai 2017, abgerufen am 18. Oktober 2017.
  21. Ronen Bergman, Nicole Perlroth: North Korean Hacking Group Attacks Israeli Defense Industry. New York Times, 12. August 2020, abgerufen am 28. September 2020 (englisch).
  22. Coronavirus-Impfstoff: Cyberangriff auf Impfstoffdokumente von Biontech. In: DER SPIEGEL. Abgerufen am 23. Februar 2021.
  23. Nordkorea soll Impfstoffhersteller gehackt haben. In: DER SPIEGEL. Abgerufen am 23. Februar 2021.
  24. Nordkorea: Hacker wollten angeblich Corona-Impfstoff von Biontech/Pfizer ausspionieren. In: DER SPIEGEL. Abgerufen am 23. Februar 2021.
  25. Tanja Eder: Nordkoreas Raketen fliegen dank Kryptowährungen. Im vergangenen Jahr hat Nordkorea rund eine Milliarde US-Dollar gestohlen – via Hacking. Cyberkriminalität ist eine der wichtigsten Einnahmequellen für das nordkoreanische Raketenprogramm. Wie ist das möglich, in einem Land ohne Internet? 29. März 2024, abgerufen am 29. März 2024.
  26. Alexander Hanel: Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware. Crowdstrike, 10. Januar 2019, abgerufen am 22. September 2020 (englisch).
  27. Michelle Nichols, Raphael Satter: U.N. experts point finger at North Korea for $281 million cyber theft, KuCoin likely victim. In: Reuters. 10. Februar 2021 (reuters.com [abgerufen am 23. Februar 2021]).
  28. Lockheed Martin: Cyber Kill Chain. Lockheed Martin, abgerufen am 26. September 2020 (englisch).
  29. M.Grappe, D.Pasinetti, C.Barreyere, M. Cellard: Nordkorea: Kims Männer | ARTE Reportage. In: ARTE. 30. Mai 2018, abgerufen am 26. September 2020.
  30. CISA: Guidance on the North Korean Cyber Threat. CISA, 15. April 2020, abgerufen am 28. September 2020 (englisch).
  31. ADMIN CONCORDIA: False Flags in Cyber Threat Intelligence Operations. CONCORDIA, 13. August 2020, abgerufen am 26. September 2020 (englisch).
  32. Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe. 17. Februar 2021, abgerufen am 23. Februar 2021 (englisch).
  33. Max Muth: Nordkoreas Hacker Lazarus: USA klagen „beste Bankräuber der Welt“ an. Abgerufen am 25. Februar 2021.