BlueNorOff, eine Untergruppe der vom nordkoreanischen Regime geförderten Hackergruppe Lazarus, gibt sich als Risikokapitalgeber aus, die an Investitionen in Kryptowährungs-Startups interessiert sind. Laut einem 2020 veröffentlichten Bericht der US-Armee besteht BlueNorOff aus etwa 1.700 Hackern, die von der nordkoreanischen Regierung finanziell motiviert werden und in Finanzkriminalität verwickelt sind. Ihre Vorgehensweise umfasst typischerweise langfristige Analysen von Zielsystemen und darauf aufbauende Angriffe, die darauf abzielen, dem Opfer möglichst viele finanzielle Ressourcen zu entziehen.
Bestätigte Angriffe dieser Gruppe fanden in Südkorea, Taiwan, der Türkei, Indien und Mexiko statt. Der bekannteste Angriff erfolgte 2016, als die Gruppe versuchte, über das SWIFT-Netzwerk rund eine Milliarde US-Dollar von einem Konto der Bangladesh Bank bei der Federal Reserve Bank of New York zu überweisen. Erst nachdem bereits über 100 Millionen US-Dollar überwiesen worden waren, blockierte die New Yorker Filiale der Federal Reserve Bank die restlichen Transaktionen aufgrund von Verdachtsmomenten wegen Rechtschreibfehlern in den Überweisungsbeschreibungen.
Jüngsten Berichten zufolge hat die BlueNorOff-Gruppe über 70 gefälschte Domains erstellt, um Investmentfirmen und Banken zu imitieren. Diese Domains geben sich meist als bekannte japanische (z. B. Beyond Next Ventures, Mizuho Financial Group) und amerikanische Unternehmen aus. Hauptziele der Hacker, die sich als Investmentfirmen ausgeben, sind Startups, die aktiv Smart-Contract-Technologie im Bereich DeFi und FinTech nutzen. Seit 2017 sollen nordkoreanische Hacker über 1,2 Milliarden US-Dollar erbeutet haben, davon allein 626 Millionen US-Dollar in diesem Jahr. Die neueste Methode der Gruppe ist ausgeklügeltes Phishing. Unter dem Vorwand, eine Investmentfirma zu sein, kontaktieren die Hacker das Management eines Startups, das Kapital sucht. Im Gespräch übermitteln sie dem Kunden eine .doc-Datei, die ein Standard-Word-Dokument vortäuscht, oder gegebenenfalls eine .pptx-Datei, um eine Präsentation zu simulieren. Das Öffnen eines als Angebot, Vertrag oder anderes typisches Investitionsdokument getarnten Dokuments führt zur Infektion des Geräts mit Schadsoftware. Von diesem Zeitpunkt an überwacht BlueNorOff die laufenden Geschäfte des Unternehmens und plant einen Angriff. Sobald das Unternehmen versucht, größere Summen in Kryptowährung zu transferieren, fangen die Hacker die Transaktionen ab, ändern die Empfängeradresse und setzen den Transaktionswert gleichzeitig auf den höchstmöglichen Betrag.
Internationale Geheimdienste, insbesondere der südkoreanische Geheimdienst, vermuten, dass Nordkorea die gestohlenen Gelder nutzt, um seine Wirtschaft vor den immer strengeren Sanktionen der Vereinten Nationen zu schützen. Es ist aber auch möglich, dass sie zur Weiterentwicklung seines Atomprogramms verwendet werden.
Das oben Genannte bestätigt einmal mehr, dass man in der Welt der Kryptowährungen stets mit größter Vorsicht vorgehen muss. Dies gilt nicht nur im Umgang mit verschiedenen Dienstleistern, sondern auch mit potenziellen Investoren.
Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Autor:
