Eine Hacking-Gruppe, die von der nordkoreanischen Regierung unterstützt wird, drang am 12. Juli in das IT-System einer amerikanischen Verwaltungsgesellschaft ein. Dabei wurden Kryptowährungen und unter anderem wichtige Kundendaten entwendet. Nun gibt es weitere Informationen, die Aufschluss über die Einzelheiten des Angriffs geben.
Angriff aus Nordkorea
Seit es die Blockchain gibt, sind auch Hackerangriffe ein Teil von ihr. Immer wieder schaffen es einzelne Hacker, Kryptowährungen oder andere digitalen Assets zu stehlen. Besonders groß werden die Beträge, wenn ganze Gruppen hinter den Angriffen stecken, wie es in Nordkorea der Fall war.
Am Freitag, nur einen Tag nach dem Vorfall, berichtete Reuters über den Cyber-Angriff und beschreibt, dass die nordkoreanische Hackergruppe das IT-Verwaltungsunternehmen JumpCloud dafür genutzt hat, um andere Krypto-Unternehmen ins Visier zu nehmen.
North Korean hackers targeted tech companies through JumpCloud and GitHub – https://t.co/3CGfNC4rO9 – @JumpCloud @github @Mandiant @CrowdStrike #CyberSecurity #security #InfoSecurity #ITsecurity #CyberSecurityNews #SecurityNews #SocialEngineering #SpearPhishing pic.twitter.com/qOSp34rkgS
— Help Net Security (@helpnetsecurity) July 21, 2023
Auch die Verantwortlichen hinter JumpCloud selbst bestätigten den Angriff nur wenige Stunden später über eine Pressemitteilung auf ihrer Website. Darin beschreibt einer der Geschäftsführer, Bob Phan, dass JumpCloud nun, nach intensiver Suche weitere Informationen klar sind. „Wir sind jetzt in der Lage, zusätzliche Details zu teilen.“
Zunächst stellt das Unternehmen klar, dass sie herausgefunden haben, von welchem Land der Angriff ausging:
„Erstens können wir bestätigen, dass CrowdStrike unser Partner ist. Wir können auch berichten, dass wir herausgefunden und CrowdStrike bestätigt hat, dass der beteiligte Nationalstaats-Schauspieler Nordkorea war.“
Das in Louisville, Colorado, ansässige Unternehmen besitzt engen Kontakt zu zahlreichen Krypto-Unternehmen. Diesen habe die Hackergruppe ausgenutzt und zu einigen von ihnen persönlichen Kontakt aufgesucht. Davon sei jedoch nur ein geringer Prozentsatz der Kunden betroffen, beschreibt der Geschäftsführer in der Pressemitteilung: „Wichtig ist, dass weniger als 5 JumpCloud-Kunden und insgesamt weniger als 10 Geräte betroffen waren, von mehr als 200.000 Organisationen, die sich auf die JumpCloud-Plattform für eine Vielzahl von Identitäts-, Zugriffs-, Sicherheits- und Verwaltungsfunktionen verlassen. Alle betroffenen Kunden wurden direkt benachrichtigt.“
Das Cybersicherheitsunternehmen CrowdStrike Holdings (CRWD.O) arbeitete mit JumpCloud zusammen, um die betroffenen Kunden ausfindig zu machen und zu kontaktieren.
Das Ziel waren Kryptowährungen
JumpCloud und CrowdStrike gehen jedoch nicht davon aus, dass es die Cyberangreifer auf die Kundendaten abgesehen haben. Da die Hackergruppe bereits bekannt ist, steht für sie fest, dass sie das Ziel hatten Kryptowährungen zu stehlen. Auch AI Coins sind immer wieder das Ziel von Cyberangriffen. JumpCloud bedient auch Unternehmen, die nicht mit Kryptowährungen handeln. Diejenigen, die jedoch von den Angreifern kontaktiert wurden, handeln mit Bitcoin, Ethereum und weiteren Coins.
Mit einem solchen Angriff haben die nordkoreanischen Hacker, die auf den Namen Labyrith Chollima hören, ihre Ausführungen, um an Kryptowährungen zu gelangen, sehr verändert. Bisher griffen sie die Krypto-Unternehmen direkt an oder verfolgten sie für eine lange Zeit.
Jetzt scheinen sie sich auf Unternehmen zu konzentrieren, die keinen direkten Zugang zu Kryptowährungen besitzen. Sie versuchen also über Umwege an kostenlose Bitcoins und Co. zu gelangen.
Experten beschreiben diese Taktik als „Lieferkettenangriff“. Dabei fokussieren sich die Hacker auf beteiligte Personen oder Unternehmen, die über Umwege in Verbindung mit den Kryptowährungen stehen.
Tom Hegel, Sicherheitsexperte der US-amerikanischen Firma SentinelOne beschreibt gegenüber Bloomberg, dass Nordkorea umdeckt:
„Nordkorea verstärkt meiner Meinung nach wirklich sein Spiel.“
Nordkorea streitet die Angriffe ab
Nachdem CrowdStrike die Hacker erfolgreich geortet hatte und sogar ihren Namen herausgefunden hatte, suchte das Unternehmen nach weiteren Informationen. Dabei stellten sie fest, dass die Labyrinth Chollima Hacker unter dem Befehl von Nordkorea stehen.
CrowdStrike beschreibt, dass sie für Nordkoreas Reconnaissance General Bureau (RGB) arbeiten, einem der wichtigsten ausländischen Nachrichtendienste des Landes.
Das Land war bereits in der Vergangenheit immer wieder durch negative Schlagzeilen in Bezug auf Hackerangriffe aufgefallen. In einem offiziellen UN-Bericht werden zahlreiche seitens Nordkorea Angriffe bestätigt.
Dennoch streitet das Land die Vorwürfe weiterhin ab und war zu keiner Stellungnahme bereit. Doch auch die US-amerikanische Cyber-Watchdog-Agentur CISA und das FBI lehnten es ab, sich zu dem Sachverhalt zu äußern.
Labyrinth Chollima schaffte es in der Vergangenheit bereits mehrfach in die Medien. Die Gruppe gilt als besonders effektiv. Laut Angaben des Blockchain-Analyseunternehmens Chainalysis hat das Land Nordkorea im vergangenen Jahr rund 1,7 Milliarden USD in Form von digitalem Bargeld gestohlen.
"I don't think this is the last we'll see of North Korean supply chain attacks this year," CrowdStrike's Meyers said.#NorthKorea | #CyberAttack | #Hackinghttps://t.co/DQueiBa6ra
— The Jerusalem Post (@Jerusalem_Post) July 20, 2023
CrowdStrike geht davon aus, dass die Angriffe seitens Nordkoreas künftig zunehmen werden. Er beschreibt im Interview mit Bloomberg, dass man die Gruppe und die Verantwortlichen nicht unterschätzen sollte: „Ich glaube nicht, dass dies die letzten Angriffe von Nordkorea in diesem Jahr sein werden.“
Die Einschätzungen der Experten bestätigen, dass Cyberangriffe in den vergangenen Jahren deutlich zugenommen haben und die Gruppen immer wieder neue Wege finden, um ihr Ziel zu erreichen.
Aus diesem Grund sollten Krypto-Unternehmen grundsätzliches sehr viel Wert auf ein stabiles Sicherheitskonzept legen. Bereits bestehende Kryptowährungen wie beispielsweise der Bitcoin schützen sich selbst und ihr Netzwerk damit. Doch auch die Kunden, ob institutionelle oder Privatanleger sind darauf angewiesen, dass die Unternehmer stets im Sinne der Sicherheit für ihre Kunden handeln.
Burn Kenny: Der nächste Hype Meme Coin
Von einem sicheren Umfeld würde im Anschluss der gesamte Markt profitieren. Wenn das Risiko für Cyber-Angriffe durch entsprechende Sicherheitslücken minimiert wird, würden möglicherweise sogar noch mehr Investoren in die Blockchain und Kryptowährungen investieren.
Davon wiederum würden auch neue Projekte, die bisher nicht einmal auf der besten Krypto Börse zu finden sind, profitieren. Darunter beispielsweise der Burn Kenny Token.
Der Burn Kenny erlebte in dieser Woche einen rasanten Kickstart. Innerhalb kürzester Zeit war der Presale beendet. Dabei wurden 2,6 Millionen Token im Wert von 500.000 USD verkauft. Die Investoren scheinen ein großes Interesse an einem neuen Meme Coin zu haben. Die Gründer der Kryptowährung setzen auf einen einzigartigen Burn Mechanismus. Bereits 24 Stunden nach dem Coin Launch sollen rund 30 Prozent der Münzen verbrannt werden. Trotz fehlendem Anwendungsfall besitzt das Projekt dadurch Hype Potenzial.
