Heute vor fünf Jahren wurde der Ransomware-Angriff WannaCry ausgeübt, der Nordkorea zugeschrieben wird. Dabei handelt es sich um eine Schadsoftware, die wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. WannaCry nutzte hierfür eine Zero-Day-Sicherheitslücke im Windows-Betriebssystem aus, die daraufhin mit einem Patch von Microsoft behoben wurde.
Im Folgenden ein Kommentar von Jens Monrad, Head of Threat Intelligence, EMEA bei Mandiant, zur Entwicklung der Cyberfähigkeiten Nordkoreas in den letzten fünf Jahren seit dem Vorfall:
„WannaCry war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyberoperationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen. Nordkorea hatte wenig Anreiz, „nach den Regeln zu spielen“. Diese Entwicklung setzt sich auch fünf Jahre später fort: Das Regime nutzt seine Cyberfähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.
Heutzutage wird die Lazarus-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gibt es jedoch mehrere verschiedene Gruppierungen, die als eigenständige Cyber-Einheiten operieren und unterschiedliche Ziele für den Staat verfolgen. Die Spionageoperationen des Landes beispielsweise spiegeln vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider. Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen.
Gleichzeitig deuten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyberoperationen und somit eine übergreifende Koordination gibt. Unseren Erkenntnissen zufolge werden die meisten Cyberoperationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt.
Ein halbes Jahrzehnt nach WannaCry stellen nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. Wir müssen weiterhin Intelligence über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“