Es begann wie ein ganz normaler Auftrag: Daniel DePetris, Experte für internationale Politik, sollte für die Denkfabrik 38 North per Mail eine Analyse erstellen. Absenderin der Anfrage war allerdings nicht wie gedacht die Institutschefin Jenny Town, sondern mutmaßlich eine nordkoreanische Hacker-Truppe.
„Mir wurde klar, dass es nicht echt war, als ich die Absenderin für Rückfragen kontaktierte und herausfand, dass gar kein Antrag gestellt worden war“, sagt DePetris. Dabei habe sich herausgestellt, dass Town Adressatin ähnlicher Mails sei. „Ich habe also ziemlich schnell herausgefunden, dass es sich um eine breit angelegte Kampagne handelt.“ Die Hacker hätten ihn unter anderem über seine Ansichten zu einer möglichen Reaktion Japans auf die militärischen Aktivitäten Nordkoreas befragt.
Cybersicherheitsexperten vermuten als Drahtzieher eine seit mindestens zehn Jahren aktive nordkoreanische Hacker-Truppe, die unter anderem als Thallium oder Kimsuky bekannt ist. Diese hatte bislang häufig auf sogenanntes „Spear Phishing“ gesetzt. Dabei erhalten Opfer eine Mail, die sie dazu bringen soll, Passwörter preiszugeben oder sich Computerviren auf den Rechner zu laden. Nun haben sie sich offenbar auf die Taktik verlegt, Spezialisten direkt um Ideen und Berichte zu bitten.
Ist eine solche Aktion erfolgreich, erhält das Regime Erkenntnisse über Stimmungen und Entwicklungen in anderen Staaten, die es sonst mit aufwendiger nachrichtendienstlicher Ermittlungen zusammentragen müsste, auf dem Silbertablett serviert. An diesen Hinweisen kann der nordkoreanische Machthaber Kim Jong Un seine Politik ausrichten.
Einfach mal höflich fragen
„Die Angreifer erhalten die Informationen aus erster Hand und müssen keine Interpretationen anstellen“, sagt Cybercrime-Experte James Elliot vom Microsoft Threat Intelligece Center (MSTIC). Sie könnten darüber hinaus schneller zum Ziel gelangen, weil sie sich nicht erst durch Berge von Dateien wühlen müssten. „Für uns Verteidiger ist es wirklich, wirklich schwierig, diese Mails zu stoppen.“ Letztendlich hänge alles davon ab, ob der Adressat misstrauisch werde oder nicht.
Die Auftragsmails hätten täuschend echt ausgesehen, sagt Analyst DePetris, der unter anderem für die Denkfabrik Defence Priorities arbeitet und Zeitungskolumnen schreibt. Einige Wochen nach dem Auftrag von 38 North sei ein anderer Hacker an ihn herangetreten und habe ihm ein Honorar für das Gegenlesen eines Manuskriptes geboten. 38 North-Chefin Town zufolge hätten in mehreren Fällen Analysten komplette Berichte oder Manuskript-Rezensionen abgeliefert, bevor sie erkannten, einer Täuschung aufgesessen zu sein.
E-Mail mit sich selbst
Nordkorea gilt als Drahtzieher zahlreicher Hackerangriffe, bei denen Milliarden von Dollar erbeutet wurden. Dem streng abgeschotteten kommunistischen Land wird außerdem Industrie- und Militärspionage vorgeworfen. So hätten Hacker beispielsweise über Monate eine Beziehung zu einem Opfer aufgebaut, bevor sie ihr virenverseuchte Software unterschoben, sagt Saher Naumaan, leitende Analystin für Cybergefahren beim britischen Unternehmen BAE Systems Applied Intelligence.
Im Rahmen ihrer neuen Taktik, die zu Jahresanfang erstmals entdeckt worden sei, verschickten die Hacker überhaupt keine Computerviren mehr, erläutert MSTIC-Experte Elliot. Sie beschränkten sich darauf, ihren Opfern bestimmte Identitäten vorzutäuschen. Im Fall der angeblichen Schreiben der Denkfabrikschefin Town endete die Mail-Adresse auf „.live“ statt „.org“, habe aber ihre komplette Mail-Signatur umfasst, berichtet die Expertin. Zeitweise habe sie in einem skurrilen Mail-Verkehr mit dem mutmaßlichen Hacker gestanden, der sich als sie ausgab.
Die nordkoreanische Botschaft in London wollte sich zum aktuellen Thema nicht äußern. Das Land hat aber wiederholt den Vorwurf zurückgewiesen, an Cyber-Kriminalität beteiligt zu sein.
