Büro 121 ist der Name einer Unterabteilung des nordkoreanischen Geheimdienstes Generalbüro für Aufklärung die unter dem

Nach Analysen des US-amerikanischen Verteidigungsministeriums führt Nordkorea offensive Operationen im Cyberspace durch. Sie werden als wirksame und kostengünstige Methode angesehen, um eine mögliche Unterlegenheit in klassischen militärischen Bereichen auszugleichen. Die Aktionen richten sich vor allem gegen Südkorea, sie sollen dort öffentliche Störungen verursachen. Außerdem will man Zugang zu geheimen Informationen erhalten. Das Verteidigungsministerium der Vereinigten Staaten beobachtet seit 2009 mehrere Cyberattacken, bei denen Nordkorea als Verursacher vermutet wird.

Im August 2019 veröffentlichte der Sicherheitsrat der Vereinten Nationen einen Bericht, der den nordkoreanischen Staat in einer Vielzahl von Cyberangriffen als Verantwortlichen nennt und die Behauptung aufstellt, dass Nordkorea in den letzten Jahren signifikante Geldmittel durch räuberische Handlungen im Cyberspace gewinnen konnte, die maßgeblich in die Finanzierung des nationalen Kernwaffenprogramms fließen. Die Operationen sollen dabei in erster Linie vom Büro 121 geführt worden sein. Als Gegenreaktion auf die nukleare Aufrüstung der Demokratischen Volksrepublik Korea verhängte der Sicherheitsrat der Vereinten Nationen, beginnend mit den Resolutionen Nr. 1718 (2006) und Nr. 1695 (2006), verschiedene Sanktionsmaßnahmen gegen das totalitäre Regime. Diese führten dazu, dass der Staat stark in seiner wirtschaftlichen Handelsfreiheit eingeschränkt wurde, doch trotz zahlreicher Embargos auf militärische sowie wirtschaftliche Güter gelang es Nordkorea weiterhin, das umstrittene Kernwaffenprogramm zu unterhalten und fortzuentwickeln. Die Vereinten Nationen sehen die nordkoreanischen Cyber-Operationen als eine der primären Finanzierungsquellen des staatlichen Kernwaffenprogramms. Die Vereinten Nationen gehen davon aus, dass Nordkorea schätzungsweise zwei Milliarden US-Dollar in den letzten Jahren des 2010er Jahrzehnts bis November 2020 durch Cyberangriffe erbeuten konnte. Im Jahr 2023 konkretisierte die UN, dass Nordkorea von 2017 bis einschließlich 2022 insgesamt 1,2 Milliarden US-Dollar zur Finanzierung des Kernwaffenprogramms durch Cyberkriminalität erbeutete.

Nach einem Bericht der Nachrichtenagentur Reuters im Jahr 2014 arbeiten in dem Büro die begabtesten Computerexperten des Landes. Ein übergelaufener Spion hatte im selben Jahr berichtet, dass in dem Büro rund 1.800 Fachleute beschäftigt seien. Im Januar 2015 wurde bekannt, dass die Mitarbeiterzahl des Büros bis Jahresende auf über 6.000 aufgestockt werden soll. Die Schätzungen liegen (Stand 2021) höher: bei zwischen 3.000 und 10.000 staatlich angestellten nordkoreanischen Hackern. Viele der Hacker sind Absolventen der Universität für Automation in Pjöngjang. Neue Mitarbeiter unterliegen einer strengen Auslese und werden teilweise bereits im Alter von 17 Jahren rekrutiert. Die Mitarbeiter des Büros gehören zu den bestbezahlten Personen im Staat. Getarnt als Angestellte von nordkoreanischen Handelshäusern sind sie teilweise auch im Ausland stationiert, während ihre zuhause gebliebenen Familien zahlreiche Privilegien genießen.

Das Büro 121 ist eine Unterabteilung des Generalbüro für Aufklärung und setzt sich Stand 2019, aus folgenden Einheiten zusammen:

• Lab 110
  • Office 98
  • Office 414
  • Office 35
• Unit 180
• Unit 91
• 128 Liaison Office
• 413 Liaison Office

Einem Bericht des US-amerikanischen Verteidigungsministeriums zufolge besteht die Abteilung aus über 6000 Mitarbeitern, dabei sind vier operative Einheiten dem Büro 121 unterstellt, die wie folgt beschrieben werden:

Andarial Bearbeiten

Das US-Militär schätzt die Größe der Andarial-Gruppe auf ca. 1600 Mitglieder. Die Aufgabe der Einheit ist es, primär feindliche Computersysteme auszuspähen und potenzielle Schwachstellen für zukünftige Angriffe zu detektieren.

Bluenoroff Bearbeiten

Laut Schätzungen des US-Militärs beläuft sich die Größe der Bluenoroff-Gruppe auf rund 1700 Mitglieder. Die Gruppierung ist für die Beschaffung von Geldmitteln zuständig, die in die Finanzierung des nordkoreanischen Staates fließen. Im Rahmen dieser Beschaffungsmaßnahmen werden Taktiken und Methoden aus dem Bereich der Computerkriminalität angewandt.

Electronic Warfare Jamming Regiment Bearbeiten

Das US-Militär geht davon aus, dass dem Büro 121 ein Electronic Warfare Jamming Regiment unterstellt ist. Das Regiment mit Hauptsitz in Pjöngjang soll aus drei Bataillonen bestehen, die im Bereich der elektronischen Kriegsführung geschult sind. Die Bataillone befinden sich laut US-Angaben mit hoher Wahrscheinlichkeit in Kaesong, Haeja, und Kumgang. Das Electronic Warfare Jamming Regiment soll Berichten zufolge für elektronische Gegenmaßnahmen im VHF-/UHF-Bereich zuständig sein. Dabei wird auf russische Störtechnik zurückgegriffen, um gegnerische Signale aus dem gesamten Bereich von ca. 48 bis 97 Kilometern des relevanten elektromagnetischen Spektrums zu stören.

Lazarus Bearbeiten

Lazarus ist eine APT-Gruppierung die bereits in der Vergangenheit wiederholt mit der DVRK in Verbindung gebracht wurde. Das US-Militär beschreibt Lazarus’ Vorgehen wie folgt: Aufgabe der Gruppe ist es, soziales Chaos zu stiften, indem Schwachstellen feindlicher Netzwerke erkannt und wenn angeordnet ausgenutzt werden. Die Gruppierung speist Malware in das feindliche Netzwerk ein und aktiviert diese zu einem taktisch vorteilhaften Zeitpunkt, hierbei können mehrere Monate vergehen. In den meisten Fällen führt die Aktivierung der Malware zu einer Störung oder einer endgültigen Zerstörung der infizierten Systeme. Das US-Militär schreibt Lazarus die WannaCry-Angriffsserie aus den Jahren 2016/17 zu. Mitglied der Lazarus-Gruppe soll Jin Hyok Park sein, ein nordkoreanischer Staatsbürger, der vom FBI gesucht wird. Park soll unter anderem am Angriff auf Sony Pictures beteiligt gewesen sein.

Die einzelnen Gruppierungen bestehen vermutlich aus weiteren Subgruppen, die unter verschiedenen Pseudonymen agieren.

Im Jahr 2013 war Südkorea Ziel einer größeren Cyberattacke, bei der über 30.000 PCs gehackt wurden. Zielscheibe waren vor allem Banken, Medienunternehmen und Behörden sowie der Dienstsitz des Präsidenten. US-amerikanische Behörden gehen davon aus, dass die Urheberschaft von Nordkorea ausging. Es wird auch vermutet, dass Nordkorea im selben Jahr ein bösartiges Virus in tausenden von Smartphones in Südkorea verbreitet hat.

Die Weltöffentlichkeit wurde im Dezember 2014 auf die offensiven Cyberaktivitäten Nordkoreas aufmerksam, als Sony Pictures den Kinostart des Films The Interview in den USA vorübergehend stoppte, in dem der nordkoreanische Staatschef Kim Jong-un parodiert wird. Die Computer von Sony Pictures waren zuvor Ziel eines Hackerangriffs, bei dem interne Daten einschließlich vertraulicher Personaldaten gestohlen wurden. Die Hacker hinterließen außerdem Drohnachrichten auf den Systemen. US-amerikanische Sicherheitsexperten vermuten, dass das Büro 121 den Hackerangriff durchgeführt hat. Ein Sprecher im nordkoreanischen Fernsehen erklärte jedoch, dass sein Land nicht für den Hackerangriff verantwortlich sei. Gleichwohl würdigte der Sprecher den Angriff als eine gerechte Tat. Allerdings erklärte John McAfee, der Begründer des Computersicherheitsunternehmens McAfee, in einem Interview mit der International Business Times, dass er Kontakt zu den Hackern der Attacke auf Sony habe, deren Namen kenne und garantieren könne, dass Nordkorea nicht für den Hacker-Angriff auf Sony Pictures Entertainment verantwortlich sei.

Bei dem Schadprogramm WannaCry, das im März 2017 über 250.000 Rechner mit Windows-Betriebssystem infiziert hat, wird ebenfalls vermutet, dass es sich um einen nordkoreanischen Hacker-Angriff handelt.

Am 12. August 2020 wurde durch einen Sprecher des israelischen Verteidigungsministeriums bekannt gegeben, dass es im Juni 2020 einen Cyberangriff auf Teile der israelischen Rüstungsindustrie gab. Die israelischen Behörden ordneten den Angriff Nordkorea zu. Laut dem privaten Cyber-Sicherheitsunternehmen Clear Sky, das den Angriff detektierte, ist die Wahrscheinlichkeit sehr hoch, dass durch die Angreifer größere Mengen an klassifizierten Informationen abgeflossen seien. Laut Clear Sky wurde der Angriff von der Lazarus-Gruppierung ausgeführt.

Während der Covid-19-Pandemie berichtete unter anderem der russische Sicherheitssoftware-Hersteller Kaspersky und die südkoreanische Nachrichtenagentur Yonhap jeweils unabhängig voneinander von Malware-Hackerangriffen des Büros 121 auf mindestens einen SARS-CoV-2-Impfstoff-Hersteller, ein Gesundheitsministerium und die Europäische Arzneimittel-Agentur.

Laut Priscilla Moriuchi, Expertin für Cybersicherheit der Harvard-Universität (und ehemaligen Mitarbeiterin der NSA) hat das Büro 121 das südkoreanische Cyberkommando angegriffen und Blaupausen für die Flügel von McDonnell Douglas F-15 ausspioniert. Moriuchi berichtet außerdem von Cyberangriffen des Büros auf Netzwerke von Geldautomaten und Kassenbezahlsystemen.

Methoden Bearbeiten

Technische Methoden Bearbeiten

Die Angriffsmethoden Nordkoreas sind vielseitig und komplex. Oftmals ist das Ziel die Generierung von Devisen, jedoch werden auch Werkzeuge zur Informationsgewinnung und gezielten Zerstörung von Systemen eingesetzt.

Folgende Angriffsarten sind bei verschiedenen Vorfällen beobachten worden:

• Ransomware blockiert den Zugriff auf das Betriebssystem bzw. verschlüsselt potenziell wichtige Dateien und fordert den Benutzer zur Zahlung von Lösegeld auf – meist über das digitale Bezahlsystem Bitcoin. (Vermutlich von Lazarus entwickelte und eingesetzte Ransomwarearten sind unter anderem: Hermes, Ryuk, WannaCry, VHD)
• Kryptomining/Kryptohijacking (auch Cryptocurrency mining) bezeichnet eine Technik, bei der ein Angreifer die Hardware- und Energieressourcen von Opfern unbemerkt und ohne deren Zustimmung zum rechenintensiven Mining verwendet werden, z. B. über manipulierte Webseiten oder durch Schadsoftware. Das Büro nutzt hauptsächlich die Währungen Monero und Ethereum.
• Phishing/Spearfishing: Unter dem Begriff Phishing versteht man die Technik, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten, z.B Passwörter, eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Beim Spearfishing konzentrieren die Angreifer sich dabei auf einzelne Personen, um zielgerichtet bestimmte Informationen zu akquirieren. Oftmals werden beim Spearfishing komplexe Social-Engineering-Taktiken angewandt, um die Zielperson zu manipulieren. Im Rahmen eines groß angelegten Cyberangriffs ist die Praxis des Phishings ein essenzieller Schritt, um sich Zugriff auf die Zielsysteme zu verschaffen. In der „Cyber Kill Chain“, einem Basismodell für Cyberangriffe des Rüstungsunternehmens Lockheed Martin, werden Phishingmethoden unter dem Punkt „Weaponization“ eingeordnet.

Operative Methoden Bearbeiten

Erkenntnissen eines Mitgliedstaates der Vereinten Nationen zufolge entsendet Nordkorea geschultes Personal ins Ausland, um von dort aus Cyberangriffe auszuführen. Schätzungsweise befinden sich mehrere hundert nordkoreanische IT-Experten in Europa, Afrika, Asien (China und Indien) und dem Mittleren Osten. Um die Herkunft des Personals zu verschleiern, werden Scheinfirmen gebildet, deren Führung meist von einem Einheimischen übernommen wird, wobei die DRVK diese bezahlt, um die Legenden der Mitarbeiter weiter aufrechtzuerhalten

Die amerikanische Cybersecurity and Infrastructure Security Agency berichtet davon, dass nordkoreanische IT-Experten ihre Expertise nutzen, um gegen Bezahlung auch Cyberangriffe für Dritte auszuführen.

Liste der Nordkorea zugeordneten Angriffe Bearbeiten

Sowohl staatliche als auch private Sicherheitsinstitution, darunter die Vereinten Nationen, ordnen Nordkorea eine Vielzahl von Cyberangriffen zu. Dabei ist zu beachten, dass die Attribution von Angriffen im Cyberspace durch „False Flags“ und andere Maßnahmen, die der Obfuskation dienen, eine genaue Zuordnung erschweren. Folglich sind Sammlungen von Angriffen, die einem Akteur zugeschrieben werden, unter Vorbehalt zu betrachten.

Angriffe auf Banken Bearbeiten

Vorfälle mit Bezug zu Kryptowährungen Bearbeiten

Im Februar 2021 erhob das Justizministerium der Vereinigten Staaten Anklage gegen drei Personen des Büros 121 und wirft den vom FBI gesuchten Mitarbeitern des nordkoreanischen Geheimdienstes vor, mehr als 1,3 Milliarden US-Dollar von Banken und Unternehmen auf der ganzen Welt gestohlen und/oder erpresst zu haben.

1. Rund 1800 Cyber-Krieger: Im „Büro 121“ züchtet Kim sein mysteriöses Hacker-Heer. In: Focus Online. 4. Dezember 2014, abgerufen am 26. Januar 2015 (englisch). 
2. ↑ Reuters, 5. Dezember 2014, archiviert vom Original am 11. Oktober 2015; abgerufen am 26. Januar 2015 (englisch). 
3. Did North Korea's notorious Unit 121 cyber army hack Sony Pictures? In: The Guardian. 2. Dezember 2014, abgerufen am 26. Januar 2015 (englisch). 
4. John Pike: North Korean Intelligence Agencies. Federation of American Scientists, Intelligence Resource Program, abgerufen am 26. Januar 2015 (englisch). 
5. ↑ United States Department of Defense: Military and Security Developments Involving the Democratic People's Republic of Korea 2013. Federation of American Scientists, abgerufen am 26. Januar 2015 (englisch).  S. 11
6. ↑ Michelle Nichols, Raphael Satter: U.N. experts point finger at North Korea for $281 million cyber theft, KuCoin likely victim. In: Reuters. 10. Februar 2021 (reuters.com [abgerufen am 23. Februar 2021]). 
7. ↑ Katharina Graça Peters: Nordkorea: So setzt Kim Jong Un Hacker ein – Experteninterview mit Priscilla Moriuchi. In: DER SPIEGEL. Abgerufen am 23. Februar 2021. 
8. ↑ United Nations S/2019/691 Security Council Distr.: General 30 August 2019. United Nation,Security Council, 30. August 2019, abgerufen am 22. September 2020 (englisch). 
9. tagesschau.de: Nordkoreas Hacker erbeuten 1,2 Milliarden Dollar für Atomprogramm. Abgerufen am 9. Februar 2023. 
10. Bericht der Uno: Nordkoreas Hacker erbeuten Rekordsummen für Atomprogramm. In: Der Spiegel. 7. Februar 2023, ISSN 2195-1349 (spiegel.de [abgerufen am 9. Februar 2023]). 
11. ↑ Nordkoreas Hacker-Schmiede bläst zum Cyber-Angriff. Frankfurter Allgemeine Zeitung, 21. Dezember 2014, abgerufen am 26. Januar 2015. 
12. Nordkorea verdoppelt seine Internet-Soldaten, Frankfurter Allgemeine Zeitung, 6. Januar 2015. Abgerufen am 26. Januar 2015. 
13. (Memento des Originals vom 19. Dezember 2014 im Internet Archive) In: CNN, WWLP 22 News, 19. Dezember 2014. Abgerufen am 26. Januar 2015. (englisch) 
14. Jong In, Lim, Ji Young, Kong, Kyoung Gon, Kim: The All-Purpose Sword: North Korea’s Cyber Operations and Strategies. 2019 © NATO CCD COE Publications, Tallinn, 2019, abgerufen am 22. September 2020 (englisch). 
15. Headquarters, Department of the Army: NORTH KOREAN TACTICS. Army Techniques Publication No. 7-100.2, 24. Juni 2020, abgerufen am 22. September 2020 (englisch). 
16. Kaspersky Lab: LAZARUS UNDER THE HOOD. Kaspersky Lab, abgerufen am 22. September 2020 (englisch). 
17. FBI: PARK JIN HYOK. Federal Bureau of Investigation, abgerufen am 28. September 2020 (englisch). 
18. ↑ Jack Cloherty: Sony Hack Believed to Be Routed Through Infected Computers Overseas. abc news, 17. Dezember 2014, abgerufen am 27. Januar 2015 (englisch). 
19. David Gilbert, Gareth Platt: John McAfee: „I know who hacked Sony Pictures – and it wasn't North Korea“. International Business Times, 15. Januar 2015, abgerufen am 30. Januar 2015 (englisch). 
20. Fabian A. Scherschel: WannaCry: Sony-Pictures-Hacker aus Nordkorea unter Verdacht. heise online, 16. Mai 2017, abgerufen am 18. Oktober 2017. 
21. Ronen Bergman, Nicole Perlroth: North Korean Hacking Group Attacks Israeli Defense Industry. New York Times, 12. August 2020, abgerufen am 28. September 2020 (englisch). 
22. Coronavirus-Impfstoff: Cyberangriff auf Impfstoffdokumente von Biontech. In: DER SPIEGEL. Abgerufen am 23. Februar 2021. 
23. Nordkorea soll Impfstoffhersteller gehackt haben. In: DER SPIEGEL. Abgerufen am 23. Februar 2021. 
24. Nordkorea: Hacker wollten angeblich Corona-Impfstoff von Biontech/Pfizer ausspionieren. In: DER SPIEGEL. Abgerufen am 23. Februar 2021. 
25. Alexander Hanel: Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware. Crowdstrike, 10. Januar 2019, abgerufen am 22. September 2020 (englisch). 
26. Michelle Nichols, Raphael Satter: U.N. experts point finger at North Korea for $281 million cyber theft, KuCoin likely victim. In: Reuters. 10. Februar 2021 (reuters.com [abgerufen am 23. Februar 2021]). 
27. Lockheed Martin: Cyber Kill Chain. Lockheed Martin, abgerufen am 26. September 2020 (englisch). 
28. M.Grappe, D.Pasinetti, C.Barreyere, M. Cellard: Nordkorea: Kims Männer | ARTE Reportage. In: ARTE. 30. Mai 2018, abgerufen am 26. September 2020. 
29. CISA: Guidance on the North Korean Cyber Threat. CISA, 15. April 2020, abgerufen am 28. September 2020 (englisch). 
30. ADMIN CONCORDIA: False Flags in Cyber Threat Intelligence Operations. CONCORDIA, 13. August 2020, abgerufen am 26. September 2020 (englisch). 
31. Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe. 17. Februar 2021, abgerufen am 23. Februar 2021 (englisch). 
32. Max Muth: Nordkoreas Hacker Lazarus: USA klagen „beste Bankräuber der Welt“ an. Abgerufen am 25. Februar 2021.