Büro 121 ist der Name einer Unterabteilung des nordkoreanischen Geheimdienstes Generalbüro für Aufklärung, die unter dem auch in Nordkorea bekannten Begriff „Geheimer Krieg“ den Cyberkrieg betreibt.[1] Die 1998 gegründete Behörde ist Teil des „Amtes für Allgemeine Aufklärung“, einer Spionageabteilung des Militärs,[2][3] deren Schwerpunkt versteckte Aktionen im In- und Ausland sind.[4]
Das Büro ist nach Einschätzung der Vereinten Nationen (UN) verantwortlich für digitale Banküberfälle mit Schäden in Milliardenhöhe.
Nach Analysen des US-amerikanischen Verteidigungsministeriums führt Nordkorea offensive Operationen im Cyberspace durch. Sie werden als wirksame und kostengünstige Methode angesehen, um eine mögliche Unterlegenheit in klassischen militärischen Bereichen auszugleichen. Die Aktionen richten sich vor allem gegen Südkorea, sie sollen dort öffentliche Störungen verursachen. Außerdem will man Zugang zu geheimen Informationen erhalten. Das Verteidigungsministerium der Vereinigten Staaten beobachtet seit 2009 mehrere Cyberattacken, bei denen Nordkorea als Verursacher vermutet wird.[5]
Im August 2019 veröffentlichte der Sicherheitsrat der Vereinten Nationen einen Bericht, der den nordkoreanischen Staat in einer Vielzahl von Cyberangriffen als Verantwortlichen nennt und die Behauptung aufstellt, dass Nordkorea in den letzten Jahren signifikante Geldmittel durch räuberische Handlungen im Cyberspace gewinnen konnte, die maßgeblich in die Finanzierung des nationalen Kernwaffenprogramms fließen. Die Operationen sollen dabei in erster Linie vom Büro 121 geführt worden sein. Als Gegenreaktion auf die nukleare Aufrüstung der Demokratischen Volksrepublik Korea verhängte der Sicherheitsrat der Vereinten Nationen, beginnend mit den Resolutionen Nr. 1718 (2006) und Nr. 1695 (2006), verschiedene Sanktionsmaßnahmen gegen das totalitäre Regime. Diese führten dazu, dass der Staat stark in seiner wirtschaftlichen Handelsfreiheit eingeschränkt wurde, doch trotz zahlreicher Embargos auf militärische sowie wirtschaftliche Güter gelang es Nordkorea weiterhin, das umstrittene Kernwaffenprogramm zu unterhalten und fortzuentwickeln. Die Vereinten Nationen sehen die nordkoreanischen Cyber-Operationen als eine der primären Finanzierungsquellen des staatlichen Kernwaffenprogramms.[6][7] Die Vereinten Nationen gehen davon aus, dass Nordkorea schätzungsweise zwei Milliarden US-Dollar in den letzten Jahren des 2010er Jahrzehnts bis November 2020 durch Cyberangriffe erbeuten konnte.[8][6] Im Jahr 2023 konkretisierte die UN, dass Nordkorea von 2017 bis einschließlich 2022 insgesamt 1,2 Milliarden US-Dollar zur Finanzierung des Kernwaffenprogramms durch Cyberkriminalität erbeutete.[9][10]
Nach einem Bericht der Nachrichtenagentur Reuters im Jahr 2014 arbeiten in dem Büro die begabtesten Computerexperten des Landes.[2] Ein übergelaufener Spion hatte im selben Jahr berichtet, dass in dem Büro rund 1.800 Fachleute beschäftigt seien.[11] Im Januar 2015 wurde bekannt, dass die Mitarbeiterzahl des Büros bis Jahresende auf über 6.000 aufgestockt werden soll.[12] Die Schätzungen liegen (Stand 2021) höher: bei zwischen 3.000 und 10.000 staatlich angestellten nordkoreanischen Hackern.[7] Viele der Hacker sind Absolventen der Fakultät für Automation der Kim-Il-sung-Universität in Pjöngjang. Neue Mitarbeiter unterliegen einer strengen Auslese und werden teilweise bereits im Alter von 17 Jahren rekrutiert. Die Mitarbeiter des Büros gehören zu den bestbezahlten Personen im Staat.[11] Getarnt als Angestellte von nordkoreanischen Handelshäusern sind sie teilweise auch im Ausland stationiert, während ihre zuhause gebliebenen Familien zahlreiche Privilegien genießen.[13]
Das Büro 121 ist eine Unterabteilung des Generalbüro für Aufklärung und setzt sich Stand 2019, aus folgenden Einheiten zusammen:[14]
Einem Bericht[15] des US-amerikanischen Verteidigungsministeriums zufolge besteht die Abteilung aus über 6000 Mitarbeitern, dabei sind vier operative Einheiten dem Büro 121 unterstellt, die wie folgt beschrieben werden:
Das US-Militär schätzt die Größe der Andarial-Gruppe auf ca. 1600 Mitglieder. Die Aufgabe der Einheit ist es, primär feindliche Computersysteme auszuspähen und potenzielle Schwachstellen für zukünftige Angriffe zu detektieren.
Laut Schätzungen des US-Militärs beläuft sich die Größe der Bluenoroff-Gruppe auf rund 1700 Mitglieder. Die Gruppierung ist für die Beschaffung von Geldmitteln zuständig, die in die Finanzierung des nordkoreanischen Staates fließen. Im Rahmen dieser Beschaffungsmaßnahmen werden Taktiken und Methoden aus dem Bereich der Computerkriminalität angewandt.
Das US-Militär geht davon aus, dass dem Büro 121 ein Electronic Warfare Jamming Regiment unterstellt ist. Das Regiment mit Hauptsitz in Pjöngjang soll aus drei Bataillonen bestehen, die im Bereich der elektronischen Kriegsführung geschult sind. Die Bataillone befinden sich laut US-Angaben mit hoher Wahrscheinlichkeit in Kaesong, Haeja, und Kumgang. Das Electronic Warfare Jamming Regiment soll Berichten zufolge für elektronische Gegenmaßnahmen im VHF-/UHF-Bereich zuständig sein. Dabei wird auf russische Störtechnik zurückgegriffen, um gegnerische Signale aus dem gesamten Bereich von ca. 48 bis 97 Kilometern des relevanten elektromagnetischen Spektrums zu stören.
Lazarus ist eine APT-Gruppierung die bereits in der Vergangenheit wiederholt mit der DVRK in Verbindung gebracht wurde.[16] Das US-Militär beschreibt Lazarus’ Vorgehen wie folgt: Aufgabe der Gruppe ist es, soziales Chaos zu stiften, indem Schwachstellen feindlicher Netzwerke erkannt und wenn angeordnet ausgenutzt werden. Die Gruppierung speist Malware in das feindliche Netzwerk ein und aktiviert diese zu einem taktisch vorteilhaften Zeitpunkt, hierbei können mehrere Monate vergehen. In den meisten Fällen führt die Aktivierung der Malware zu einer Störung oder einer endgültigen Zerstörung der infizierten Systeme. Das US-Militär schreibt Lazarus die WannaCry-Angriffsserie aus den Jahren 2016/17 zu. Mitglied der Lazarus-Gruppe soll Jin Hyok Park sein, ein nordkoreanischer Staatsbürger, der vom FBI gesucht wird. Park soll unter anderem am Angriff auf Sony Pictures beteiligt gewesen sein.[17]
Die einzelnen Gruppierungen bestehen vermutlich aus weiteren Subgruppen, die unter verschiedenen Pseudonymen agieren.
Im Jahr 2013 war Südkorea Ziel einer größeren Cyberattacke, bei der über 30.000 PCs gehackt wurden. Zielscheibe waren vor allem Banken, Medienunternehmen und Behörden sowie der Dienstsitz des Präsidenten.[2] US-amerikanische Behörden gehen davon aus, dass die Urheberschaft von Nordkorea ausging.[5] Es wird auch vermutet, dass Nordkorea im selben Jahr ein bösartiges Virus in tausenden von Smartphones in Südkorea verbreitet hat.
Die Weltöffentlichkeit wurde im Dezember 2014 auf die offensiven Cyberaktivitäten Nordkoreas aufmerksam, als Sony Pictures den Kinostart des Films The Interview in den USA vorübergehend stoppte, in dem der nordkoreanische Staatschef Kim Jong-un parodiert wird. Die Computer von Sony Pictures waren zuvor Ziel eines Hackerangriffs, bei dem interne Daten einschließlich vertraulicher Personaldaten gestohlen wurden. Die Hacker hinterließen außerdem Drohnachrichten auf den Systemen. US-amerikanische Sicherheitsexperten vermuten, dass das Büro 121 den Hackerangriff durchgeführt hat.[18] Ein Sprecher im nordkoreanischen Fernsehen erklärte jedoch, dass sein Land nicht für den Hackerangriff verantwortlich sei. Gleichwohl würdigte der Sprecher den Angriff als eine gerechte Tat.[18] Allerdings erklärte John McAfee, der Begründer des Computersicherheitsunternehmens McAfee, in einem Interview mit der International Business Times, dass er Kontakt zu den Hackern der Attacke auf Sony habe, deren Namen kenne und garantieren könne, dass Nordkorea nicht für den Hacker-Angriff auf Sony Pictures Entertainment verantwortlich sei.[19]
Bei dem Schadprogramm WannaCry, das im März 2017 über 250.000 Rechner mit Windows-Betriebssystem infiziert hat, wird ebenfalls vermutet, dass es sich um einen nordkoreanischen Hacker-Angriff handelt.[20]
Am 12. August 2020 wurde durch einen Sprecher des israelischen Verteidigungsministeriums bekannt gegeben, dass es im Juni 2020 einen Cyberangriff auf Teile der israelischen Rüstungsindustrie gab. Die israelischen Behörden ordneten den Angriff Nordkorea zu. Laut dem privaten Cyber-Sicherheitsunternehmen Clear Sky, das den Angriff detektierte, ist die Wahrscheinlichkeit sehr hoch, dass durch die Angreifer größere Mengen an klassifizierten Informationen abgeflossen seien. Laut Clear Sky wurde der Angriff von der Lazarus-Gruppierung ausgeführt.[21]
Während der Covid-19-Pandemie berichtete unter anderem der russische Sicherheitssoftware-Hersteller Kaspersky und die südkoreanische Nachrichtenagentur Yonhap jeweils unabhängig voneinander von Malware-Hackerangriffen des Büros 121 auf mindestens einen SARS-CoV-2-Impfstoff-Hersteller, ein Gesundheitsministerium und die Europäische Arzneimittel-Agentur.[22][23][24]
Laut Priscilla Moriuchi, Expertin für Cybersicherheit der Harvard-Universität (und ehemaligen Mitarbeiterin der NSA) hat das Büro 121 das südkoreanische Cyberkommando angegriffen und Blaupausen für die Flügel von McDonnell Douglas F-15 ausspioniert. Moriuchi berichtet außerdem von Cyberangriffen des Büros auf Netzwerke von Geldautomaten und Kassenbezahlsystemen.[7]
Im Jahr 2022 und 2023 hat das Büro 121 mehrere Angriffe gegen Kryptoanbieter unternommen, so gegen NFT Spiele, Crypto Tauschbörsen oder Walletanbieter. Dabei erbeuteten die Cräcker in einem Zeitraum von etwa zwei Jahren mehr als eine Milliarde US-Dollar an Kryptowährungen.[25]
Die Angriffsmethoden Nordkoreas sind vielseitig und komplex. Oftmals ist das Ziel die Generierung von Devisen, jedoch werden auch Werkzeuge zur Informationsgewinnung und gezielten Zerstörung von Systemen eingesetzt.
Folgende Angriffsarten sind bei verschiedenen Vorfällen beobachten worden:
Erkenntnissen eines Mitgliedstaates der Vereinten Nationen zufolge entsendet Nordkorea geschultes Personal ins Ausland, um von dort aus Cyberangriffe auszuführen. Schätzungsweise befinden sich mehrere hundert nordkoreanische IT-Experten in Europa, Afrika, Asien (China und Indien[7]) und dem Mittleren Osten. Um die Herkunft des Personals zu verschleiern, werden Scheinfirmen gebildet, deren Führung meist von einem Einheimischen übernommen wird, wobei die DRVK diese bezahlt, um die Legenden der Mitarbeiter weiter aufrechtzuerhalten[8][29][7]
Die amerikanische Cybersecurity and Infrastructure Security Agency berichtet davon, dass nordkoreanische IT-Experten ihre Expertise nutzen, um gegen Bezahlung auch Cyberangriffe für Dritte auszuführen.[30]
Sowohl staatliche als auch private Sicherheitsinstitution, darunter die Vereinten Nationen, ordnen Nordkorea eine Vielzahl von Cyberangriffen zu.[8] Dabei ist zu beachten, dass die Attribution von Angriffen im Cyberspace durch „False Flags“ und andere Maßnahmen, die der Obfuskation dienen, eine genaue Zuordnung erschweren.[31] Folglich sind Sammlungen von Angriffen, die einem Akteur zugeschrieben werden, unter Vorbehalt zu betrachten.
Datum | Orte | Details[8] |
---|---|---|
Dez. 2015 | Guatemala | Gemeldeter Diebstahl von 16 Millionen US-Dollar |
Dez. 2015 | Vietnam | Der Versuch, mehr als 1 Million Euro (1,1 Millionen US-Dollar) durch betrügerische SWIFT-Nachrichten zu stehlen, wurde später von der Tien Phong Bank veröffentlicht. |
Feb. 2016 | Bangladesch | Versuchter Diebstahl von 951 Millionen US-Dollar (81 Millionen US-Dollar erbeutet[7]) |
Mai 2016 | Südafrika / Japan | Gemeldeter Diebstahl von 18 Millionen US-Dollar von der Standard Bank, der eine Fehlfunktion des Systems verursachte, kurz bevor das Geld an Geldautomaten in Convenience-Stores in Tokio und 16 Präfekturen in ganz Japan mit gefälschten Karten abgezogen wurde, deren Daten von Kreditkarten gestohlen wurden, die von der Bank ausgestellt wurden. In einer Antwort der japanischen Regierung an das Gremium vom 25. Juli 2019 heißt es: „Bis zum 9. Juli 2019 wurden ungefähr 260 Verdächtige, einschließlich Mitglieder der Gruppe für organisierte Kriminalität, festgenommen und der Gesamtbetrag des Geldes illegal von den Geldautomaten abgezogen Japan war ungefähr 1,86 Milliarden Yen. Die Verdächtigen verwendeten gefälschte Karten mit Daten von rund 3.000 Kundeninformationen, die der Standard Bank in der Republik Südafrika gestohlen wurden, um Bargeld an rund 1.700 Geldautomaten in Tokio und 16 Präfekturen in ganz Japan abzuheben. Der Fall wird noch untersucht.“ |
Juli 2016 | Indien | Versuch eines Diebstahls von 166 Millionen US-Dollar mit Taktiken und Techniken ähnlich dem Angriff auf die Bangladesh Bank im Februar 2016. Die Mittel wurden an die Canadia Bank Plc und die RHB IndoChina Bank Ltd in Kambodscha, die Siam Commercial Bank in Thailand, die Bank Sinopac in der chinesischen Provinz Taiwan und eine Bank in Australien (geleitet von Citibank New York und JP Morgan Chase New York) überwiesen. |
Juli 2016 | Nigeria | Diebstahlversuch von 100 Millionen US-Dollar |
Okt. 2017 | Tunesien | Diebstahlversuch von 60 Millionen US-Dollar |
Okt. 2017 | Taiwan | Diebstahlversuch von 60 Millionen US-Dollar von der Far Eastern International Bank; alle bis auf 500.000 US-Dollar von der Bank eingezogen |
Jan. 2018 | Mexiko | Diebstahlversuch von 110 Millionen US-Dollar von der Bancomext (vermutlich 10-15 Millionen erbeutet[7]) |
Jan. 2018 | Costa Rica | Diebstahlversuch von 19 Millionen US-Dollar |
Feb. 2018 | Indien | Diebstahlversuch von 16,8 Millionen US-Dollar von der City Union Bank mit ähnlichen Techniken wie beim Angriff auf die Bangladesh Bank im Februar 2016. |
März 2018 | Malaysia | Diebstahlversuch in Höhe von 390 Millionen US-Dollar, bei dem versucht wurde, nicht autorisierte Geldtransfers mithilfe gefälschter SWIFT-Nachrichten durchzuführen |
Mai 2018 | Chile | Diebstahl von ca. 10 Millionen US-Dollar von der Banco de Chile durch nicht autorisierte Transaktionen mit SWIFT, hauptsächlich nach Hongkong. Die von Hackern abgelenkte Bank beschäftigt sich mit dem Diebstahl, indem sie Malware verwendet, um 9000 Computer im Besitz einer Bank funktionsunfähig zu machen.[7] |
Juni 2018 | Liberia | Diebstahlversuch von 32 Millionen US-Dollar |
Aug. 2018 | Indien | Gemeldeter Diebstahl von 13 Millionen US-Dollar durch Angriff auf die Cosmos Bank durch gleichzeitige Abhebungen von Geldautomaten in 23 Ländern in fünf Stunden sowie die Überweisung von 139 Millionen Rupien auf das Konto eines in Hongkong ansässigen Unternehmens in drei nicht autorisierten SWIFT-Transaktionen. Am 8. Oktober 2018 haben die Vereinigten Staaten diesen und andere ähnliche Angriffe der DVRK in ihre Warnung bezüglich der „FASTCash-Kampagne“ aufgenommen. |
Okt. 2018 | Chile | Angriff auf Redbanc mit Malware namens POWERRATANKBA. Anspruchsvolles Social Engineering über LinkedIn, Skype. |
Feb. 2019 | Malta | Diebstahlversuch von 14,5 Millionen US-Dollar von der Bank of Valletta (BOV) am 13. Februar. Vor der Rückbuchung wurden Überweisungen an Banken in Großbritannien, den USA, der Tschechischen Republik und Hongkong, China, vorgenommen. Seit Oktober 2018 wurde eine Phishing-Aktivität mit demselben digitalen Fingerabdruck festgestellt |
Feb. 2019 | Spanien | Diebstahlversuch von 10,8 Millionen US-Dollar (vermutlich 10–15 Millionen erbeutet[7]) |
März 2019 | Gambia | Diebstahlversuch von 12,2 Millionen US-Dollar |
März 2019 | Nigeria | Diebstahlversuch von 9,3 Millionen US-Dollar |
März 2019 | Kuwait | Diebstahlversuch von 49 Millionen US-Dollar |
Datum | Orte | Details[8] |
---|---|---|
Februar 2017 | ROK (Südkoreanisches Heer) | Diebstahl von 7 Millionen US-Dollar beim ersten Angriff auf Bithumb |
April 2017 | ROK | Diebstahl von 4,8 Millionen US-Dollar beim ersten Angriff auf den Kryptowährungsumtauschdienst Youbit (3618 Bitcoin)[7] |
Mai 2017 | Südkorea | Der globale WannaCry-Angriff führte dazu, dass Bitcoin durch Monero 144.000 US-Dollar (52 Bitcoin) gewaschen wurde. |
Juli 2017 | Südkorea | Gemeldeter Diebstahl von mehr als 7 Millionen US-Dollar beim zweiten Angriff auf Bithumb, darunter: 870.000 US-Dollar in Bitcoin und 7 Millionen US-Dollar in Bitcoin und Ethereum. |
Sommer 2017 | ROK | 25.000 US-Dollar (70 Monero) durch Monero Cryptojacking / Mining durch illegale Beschlagnahme eines südkoreanischen Unternehmensservers |
September 2017 | Südkorea | Diebstahl einer unbekannten Menge von Bitcoin (möglicherweise 2,19 Millionen US-Dollar) beim Angriff auf Coinis. Insgesamt wurden 6,99 Millionen US-Dollar an Verlusten aus diesem und dem Youbit-Angriff vom April 2017 gemeldet |
Mai – Sept 2017 | Südkorea | Die ROK-Polizei meldete Angriffe von drei Akteuren der DVRK auf drei Kryptowährungsbörsen und gab an, dass 25 Mitarbeiter an vier verschiedenen Börsen seit Juli 2017 in 10 verschiedenen „Spear Phishing“ -Versuchen angegriffen wurden |
Dezember 2017 | Südkorea | Diebstahl von 17 Prozent des Youbit-Vermögens beim zweiten Angriff auf Youbit. Youbit erklärte später Insolvenz als Folge des Hacks. |
Dezember 2017 | Slowenien | Gemeldeter Diebstahl von über 70 Millionen US-Dollar durch das Bitcoin-Bergbauunternehmen NiceHash, das einen „hochprofessionellen Angriff mit ausgefeiltem Social Engineering“ meldete, bei dem Bitcoin in Höhe von ca. 63,92 Millionen US-Dollar gestohlen wurde. |
Juni 2018 | Südkorea | Dritter Angriff auf Bithumb. Bithumb kündigte in einem seitdem gelöschten Tweet an, dass Hacker ungefähr 31 Millionen Dollar gestohlen haben. Der Erlös wurde über einen separaten Kryptowährungsumtausch namens YoBit gewaschen. |
August 2018 | Indien | Gemeldeter Diebstahl von 13 Millionen US-Dollar |
Oktober 2018 | Bangladesch | Diebstahlversuch von 2,6 Millionen US-Dollar |
März 2019 | Thailand/Singapur/Hongkong, Volksrepublik China | Gemeldeter Diebstahl von 9 Millionen US-Dollar von DragonEx |
März 2019 | Südkorea | Gemeldeter Diebstahl von 20 Millionen US-Dollar beim vierten Angriff auf Bithumb (3 Millionen EOS und 20 Millionen gestohlene Ripple-Einheiten im Wert von 6 bis 13,4 Millionen US-Dollar) |
Mai 2019 | Südkorea | UpBit angegriffen. Es wurden keine Verluste gemeldet. |
Im Februar 2021 erhob das Justizministerium der Vereinigten Staaten Anklage gegen drei Personen des Büros 121 und wirft den vom FBI gesuchten Mitarbeitern des nordkoreanischen Geheimdienstes vor, mehr als 1,3 Milliarden US-Dollar von Banken und Unternehmen auf der ganzen Welt gestohlen und/oder erpresst zu haben.[32][33]