Der weltweite Cybersicherheitssektor steht zunehmend vor der Herausforderung, sich gegen hochentwickelte und zielgerichtete Hackergruppen zu schützen, die staatlich unterstützt werden. Eine dieser Gruppen, die Lazarus Group, die mit Nordkorea in Verbindung steht, hat in den letzten Jahren ihre Aktivitäten verstärkt und insbesondere das Augenmerk auf den Chemiesektor in Südkorea gerichtet. Dabei handelt es sich nicht um willkürliche Angriffe, sondern um strategisch geplante Cyberoperationen, deren Ziel es ist, geistiges Eigentum zu stehlen und technologische Vorteile für Nordkorea zu erlangen. Die Lazarus Group wurde in der Vergangenheit bereits mit einer Reihe von komplexen Angriffen assoziiert, darunter groß angelegte Angriffe auf Finanzinstitutionen, eine Reihe von Ransomware-Attacken und auch Spionageoperationen. Einer der jüngsten und am ausführlichsten dokumentierten Feldzüge dieser Gruppe ist die sogenannte Operation Dream Job, die seit August 2020 aktiv ist.
Zunächst richtete sich diese Operation gegen verschiedene Medienunternehmen, Domainregistrare, Webhosting-Anbieter und Softwareentwickler, wobei über 250 Personen in verschiedenen Organisationen ins Visier genommen wurden. Das Vorgehen ist typisch für gezielte Cyberangriffe sogenannter Advanced Persistent Threats (APT). Das bedeutet, dass die Hackergruppe über längere Zeiträume unbemerkt in den Zielnetzwerken aktiv bleibt, um sensible Daten systematisch auszuspähen. In Operation Dream Job kam eine Kombination aus Social Engineering und technischer Raffinesse zum Einsatz. Die Hacker versendeten gefälschte Jobangebote, die angeblich von renommierten Unternehmen wie Disney, Google oder Oracle stammten, um das Vertrauen der Opfer zu gewinnen.
Die Nachrichten enthielten Links, die zu täuschend echten, aber manipulierten Webseiten von Jobportalen wie Indeed und ZipRecruiter führten. Sobald die Opfer auf diese Links klickten, wurden Schadsoftware und Exploits installiert, die den Kriminellen Zugriff auf das Zielsystem gewährten. Neuere Untersuchungen, insbesondere von Symantec, zeigen, dass die Lazarus Group ihre Taktik erweitert und nun auch Organisationen im Chemiesektor auf der koreanischen Halbinsel angreift. Der Chemiesektor ist von herausragender Bedeutung, weil er technologisch anspruchsvoll ist und häufig Forschungsergebnisse und geistiges Eigentum beinhaltet, die für die Nordkoreanische Regierung von großem Interesse sind. Experten vermuten, dass Nordkorea durch den Diebstahl von Daten und Know-how eigene Industrien vorantreiben und technologische Rückstände ausgleichen will.
Die Cyberangriffe starten meist mit einer bösartigen E-Mail, die einen infizierenden Link oder Anhang enthält. Nach erfolgreicher Infektion nutzen die Angreifer Windows Management Instrumentation (WMI), ein von Microsoft entwickeltes Protokoll, um sich lateral in den Netzwerken zu bewegen, ohne Alarm zu schlagen. Dies ermöglicht es ihnen, tief in die IT-Infrastruktur einzudringen und wertvolle Daten unbemerkt zu extrahieren. In einigen Fällen wurden auch Credential-Dumps entdeckt, bei denen Zugangsdaten aus der Windows-Registry gestohlen wurden, um die Angriffsreichweite weiter zu vergrößern. Darüber hinaus kommt bei diesen Angriffen eine Vielzahl von Tools und Techniken zum Einsatz.
So setzten die Hacker beispielsweise sogenannte BAT-Dateien ein, die als Skripte fungieren, um dauerhaften Zugriff auf das System zu sichern. Weiterhin wurde beobachtet, dass geplante Aufgaben konfiguriert wurden, die sich unter spezifischen Benutzern ausführen lassen und so die Persistenz der Malware sicherstellen. Post-Compromise-Tools wie SiteShoter, das periodisch Screenshots der Webaktivitäten erstellt, und IP Logger, das Informationen über die Netzwerkinfrastruktur sammelt, gehören ebenfalls zum Arsenal. Der Ablauf eines dokumentierten Angriffsfalles erstreckte sich über mehrere Tage und verdeutlicht die Geduld und Beharrlichkeit der Täter. Schrittweise und methodisch arbeiteten sie sich in die Zielinfrastruktur ein, ohne entdeckt zu werden.
Das bestätigt die Einschätzung von Cybersicherheitsexperten, dass solche Operationen das Ergebnis sorgfältiger Planung und hochentwickelter Techniken sind. Parallel zu diesen Angriffen haben auch die US-Behörden diese Bedrohung erkannt. Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat die Lazarus Group auf eine Sanktionsliste gesetzt, nachdem der Gruppe die Verantwortung für einen der größten bekannten Hacks im Bereich der Dezentralisierten Finanzen (DeFi) zugewiesen wurde. Laut Analyse des Blockchain-Überwachers Chainalysis waren die nordkoreanischen Hacker im Jahr 2021 für den Diebstahl von Kryptowährungen in Höhe von nahezu 400 Millionen US-Dollar verantwortlich. Diese Kombination aus Spionage im Chemiesektor und finanziellen Cyberverbrechen zeigt, wie umfangreich und diversifiziert die Aktivitäten der Lazarus Group sind.
Sie operieren nicht nur im Bereich der Industriespionage, sondern nehmen auch finanzielle Gewinne ins Visier, um vermutlich die Umgehung internationaler Sanktionen und die Finanzierung nordkoreanischer Regierungsvorhaben zu ermöglichen. Die kontinuierlichen Angriffe auf den Chemiesektor stellen für Südkorea und globale Unternehmen eine ernste Bedrohung dar. Chemische Unternehmen müssen ihre Sicherheitsvorkehrungen deutlich verstärken, insbesondere im Bereich der E-Mail-Sicherheit und bei der Überwachung von Netzwerkbewegungen. Die Verwendung von Mehrfaktorauthentifizierung, die Schulung von Mitarbeitern zur Erkennung von Phishing-Angriffen und der Einsatz von fortschrittlichen Threat-Intelligence-Lösungen gehören zu den empfohlenen Maßnahmen. Auch die internationale Zusammenarbeit bei der Bekämpfung solcher Bedrohungen gewinnt an Bedeutung.
Da die Lazarus Group global agiert und oft Server in unterschiedlichen Staaten nutzt, sind koordinierte Strafverfolgungs- und Geheimdienstaktionen erforderlich. Neben technischen Lösungsansätzen spielen auch politische Sanktionen und diplomatischer Druck eine Rolle, um die Aktivitäten nordkoreanischer Hackergruppen einzudämmen. Die ständige Weiterentwicklung der Angriffsmethoden der Lazarus Group zeigt, dass herkömmliche Sicherheitsmaßnahmen nicht ausreichen. Unternehmen und staatliche Stellen müssen verstärkt auf proaktive Erkennung und schnelle Reaktion setzen, um potenzielle Schäden zu minimieren. Zudem sollten Organisationen regelmäßig ihre Sicherheitsarchitekturen überprüfen und anpassen, um mit den sich wandelnden Bedrohungen Schritt zu halten.
Zusammenfassend lässt sich sagen, dass die gezielten Angriffe der Lazarus Group auf den Chemiesektor in Südkorea ein Ausdruck der hybriden Kriegsführung im Cyberspace sind. Die Kombination aus Spionage und finanziellen Angriffen verdeutlicht die komplexen Herausforderungen, vor denen die Cybersicherheitsgemeinschaft steht. Die Entwicklungen unterstreichen die Notwendigkeit eines ganzheitlichen Ansatzes, der technische, organisatorische und politische Maßnahmen integriert, um die Sicherheit kritischer Infrastrukturen nachhaltig zu gewährleisten.
