Rüstungsindustrie soll Ziel sein: Verfassungsschutz warnt vor Cyberspionage aus Nordkorea

Das Bundesamt für Verfassungsschutz (BfV) hat die deutsche Rüstungsindustrie vor Cyberspionage aus Nordkorea gewarnt. Zusammen mit dem südkoreanischen Geheimdienst NIS veröffentlichte das Bundesamt am Montag einen gemeinsamen Sicherheitshinweis.

Er zeigt anhand von Beispielen, wie nordkoreanische Hacker „technische Sicherheitsvorkehrungen umgehen und ihre eigentlichen Ziele über Umwege angreifen“. Auch Forschungseinrichtungen aus der Rüstungsbranche sollen Ziel sein.

Nach Einschätzung des BfV und des NIS nutzt die nordkoreanische Regierung „die militärischen Technologien, um konventionelle Waffen zu modernisieren und deren Leistung zu verbessern sowie neue strategische Waffensysteme einschließlich ballistischer Raketen, Aufklärungssatelliten und U-Boote zu entwickeln“, hieß es. Nordkorea verwende „Cyberspionage zunehmend als kostengünstiges Mittel, um an militärische Technologien zu gelangen“.

Der Sicherheitshinweis enthält Empfehlungen für Strategien zum Schutz vor den Angriffen. Konkret wird auf zwei Gruppierungen verwiesen. Eine mutmaßlich nordkoreanische Cyberspionage-Gruppe hat demnach kürzlich ihre Strategie geändert.

Sie sei bisher bekannt gewesen für sogenannte Spear-Phishing-Angriffe gegen Experten aus Diplomatie und Sicherheitspolitik - also der gezielte Versuch, von diesen Akteuren Zugangsdaten zu geschützten Systemen durch betrügerische E-Mails, SMS oder Telefonanrufe zu erlangen.

Diese Gruppe habe nun offenbar „ihre Zielfläche auch auf den Rüstungs- und Finanzsektor“ ausgeweitet, hieß es weiter. Neben finanziell motivierten Angriffen erfolgten von dieser Gruppierung nun auch sogenannte Supply-Chain-Angriffe gegen den Rüstungssektor. Dabei wird versucht, Viren oder Schadsoftware über Lieferanten oder Wartungsfirmen in die Zielsysteme einzuschleusen.

Hackergruppe mutmaßlich von Nordkorea gesteuert

Daneben warnten die Geheimdienste weiter vor der „sehr wahrscheinlich durch den nordkoreanischen Staat“ gesteuerten Gruppierung Lazarus (auch als ATP38 bekannt). Sie greife „seit mindestens 2020 gezielt den Rüstungssektor“ an.

Lazarus sei „bekannt für seine versierten und komplexen Angriffsmethoden“, hieß es. Die Gruppe erlangte 2014 durch einen Hackerangriff auf den Sony-Konzern weltweite Bekanntheit und wird seitdem immer wieder mit groß angelegten Cyberattacken in Verbindung gebracht.

In dem Sicherheitshinweis verwiesen die Geheimdienste auf sogenannte Social Engineering-Angriffe von Lazarus. Bei diesen erhielten Beschäftigte der Unternehmen etwa Schaddateien, „die durch Bezugnahme auf Stellenangebote getarnt waren“.

Generell werde bei dieser Methode „menschliches Vertrauen, Neugier, Angst, Gier oder Zeitdruck“ ausgenutzt und von den Angreifern vorab etwa Profile von Zielpersonen in sozialen Netzwerken ausgewertet. Angesichts immer besserer technischer Schutzmaßnahmen gegen Cyberangriffe sei die Ausnutzung von „Schwächen der menschlichen Psyche“ weiter ein wichtiges Hacker-Instrument.

Nach Angaben des US-Militärs beschäftigt Nordkorea bereits im Jahr 2022 rund 6000 Hacker, die in einer Einheit mit dem Titel Bureau 121 organisiert sein sollen. Sie operieren demnach von mehreren Ländern aus, darunter Belarus, China, Indien, Malaysia und Russland. (AFP)