Hacker aus Nordkorea sollen 1,5 Milliarden Dollar von Krypto-Börse Bybit gestohlen haben
Nach dem grössten «digitalen Bankraub» der Geschichte erhärten sich die Hinweise, dass Mitglieder der nordkoreanischen Hackergruppe Lazarus Coins im Wert von 1,5 Milliarden Dollar von der Kryptobörse Bybit aus Dubai entwendet haben.
Das geht aus einer Untersuchung des Vorfalls durch Sicherheitsexperten des Dienstleisters Chainalysis hervor. Zuvor hatte bereits Fachleute der Spezialfirmen Elliptic und Arkham Intelligence sowie der Blockchain-Analyst ZachXBT die Angreifer in Nordkorea verortet.
Was ist passiert?
Am vergangenen Freitag war es den Cyberkriminellen gelungen, Digitalgeld im Wert von 1,5 Milliarden US-Dollar bei Bybit illegal abzuschöpfen. Dabei wurden die Bybit-Verantwortlichen bei einer Routine-Transaktion zwischen Krypto-Konten getäuscht, sodass das Guthaben nicht in einem Wertespeicher (Cold Storage) von Bybit landete, sondern an eine unbekannte Adresse umgeleitet wurde. Bei dem Hack wurden demnach 401'000 Währungseinheiten Ethereum (ETH) entwendet.
Die Lazarus-Handschrift
«Der Bybit-Hack war ein sehr ausgeklügelter Angriff, bei dem mehrere Taktiken, Techniken und Verfahren zum Einsatz kamen, die mit der Handschrift anderer Operationen der Demokratischen Volksrepublik Nordkorea übereinstimmen», erklärte Chainalysis am Montag (siehe Quellen).
Dieser Angriff zeige auch das klassische Vorgehen der Nordkoreaner auf, die komplizierte Geldwäschemethoden anwendeten, um gestohlene Gelder unentdeckt zu verschieben. Die Gelder aus der Bybit-Attacke wurden nach dem Hack auch in bestimmte virtuelle Geldbörsen (Wallets) verschoben, die bereits Gelder aus anderen bekannten Angriffen mit Nordkorea-Bezug enthalten.
Bei Kryptowährungen wie Bitcoin oder Ethereum laufen Transaktionen entgegen einem gängigen Vorurteil nicht anonym ab, sondern sind in der öffentlichen einsehbaren Blockchain-Datenbank nachzuvollziehen.
Der Blockchain-Analyse von Chainalysis zufolge verteilten die Täter nach dem Angriff die gestohlenen Werte über zahlreiche Zwischenadressen. Dabei seien auch sogenannte No-KYC-Soforttauschdienste zum Einsatz gekommen, die auf eine Identifikation ihrer Kunden – «Know Your Customer» (KYC) – verzichten.
Ein erheblicher Teil der Kryptowährungen sei aber zunächst ungenutzt geblieben. «Dies ist eine bekannte Strategie nordkoreanischer Hacker. Sie warten oft Wochen oder Monate, bevor sie die Gelder weiterbewegen.»
Was macht Lazarus so gefährlich?
Lazarus ist seit vielen Jahren aktiv und steckt hinter berüchtigten Cyberattacken wie dem Datendiebstahl bei Sony Pictures im Jahr 2014 und vielleicht auch hinter der Verbreitung der Ransomware WannaCry im Jahr 2017, wobei dies bis heute nicht aufgeklärt wurde. 2016 gelang den Hackern ein Coup, als sie die Zentralbank von Bangladesch um 81 Millionen Dollar erleichterten.
Sicherheitsanalysten wiesen schon lange auf die besondere Stellung der nordkoreanischen Gruppierung hin. Seit 2009 bestehle sie Banken und hacke Kryptowährungsbörsen, um die Staatskasse zu füllen.
EU verhängt Sanktionen
Die Europäische Union (EU) hat diese Woche Sanktionen gegen mit Lazarus-Gruppe verbundene Nordkoreaner verhängt – wegen Beteiligung am Ukraine-Krieg.
Zu den sanktionierten Personen gehört der 58-jährige Lee Chang Ho, Chef des nordkoreanischen Militärgeheimdienstes RGB (Generalbüro für Aufklärung).
Dem Europäischen Rat zufolge war Lee an der Entsendung nordkoreanischer Soldaten zur Unterstützung des russischen Krieges gegen die Ukraine beteiligt und er hat Cyberangriffs-Einheiten beaufsichtigt, darunter die im Westen als Lazarus bekannte Hackergruppe.
Bislang grösste Beute
Der spektakuläre Diebstahl in Dubai ist nicht nur der grösste Krypto-Coup der Geschichte, sondern stellt auch den bislang grössten analogen «Bankraub» in den Schatten: Im Jahr 2003 bereicherte sich am Vorabend des Irakkrieges der irakische Diktator Saddam Hussein persönlich um einen Grossteil der nationalen Währungsreserve der irakischen Zentralbank.
Am 18. März 2003, nur wenige Stunden vor Beginn der von den USA angeführten Invasion, ordnete Hussein in einer handschriftlichen Notiz unrechtmässig die Abhebung von 920 Millionen US-Dollar in bar an. Sein Sohn Qusay Hussein beaufsichtigte die Operation persönlich, bei der das Geld in der Zentralbank in Bagdad auf drei Lastwagen verladen wurde. Während ein Teil der Banknoten später wieder entdeckt wurde, werden bis heute rund 350 Millionen Dollar vermisst.
Quellen
- Nachrichtenagenturen SDA/AWP/DPA
- chainalysis.com: Leveraging Transparency for Collaboration in the Wake of Record-Breaking Bybit Theft (24. Februar)
- therecord.media: EU sanctions North Korean tied to Lazarus group over involvement in Ukraine war
- therecord.media: North Korea’s Lazarus hackers behind $1.4 billion crypto theft from Bybit, researchers say
(lyn/dsc)
