Vergangene Woche erlitt die Krypto-Börse Bybit einen der schwerwiegensten Hacks des Internets, bei dem 1.5 Milliarden USD in Ethereum (ETH) abhandenkamen. Blockchain-Experten identifizierten die Hacker-Gruppe Lazarus als Angreifer. Was hat es mit der Gruppe auf sich?
Die Lazarus-Gruppe, auch bekannt als Guardians of Peace oder Whois Team, ist eine Cyberspionage- und Hackergruppe, die mutmasslich von der nordkoreanischen Regierung betrieben wird. Lazarus wurde 2007 gegründet und wird mit zahlreichen hochkarätigen Cyberangriffen in Verbindung gebracht, darunter der Hack von Sony Pictures im Jahr 2014 und der digitale Überfall auf die Zentralbank von Bangladesch 2016. In den letzten Jahren ist der Name auch im Zusammenhang mit hochkarätigen Angriffen auf Krypto-Protokolle aufgetaucht. Bybit war nicht ihr erstes Opfer.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Lazarus-Gruppe steckt hinter zahlreichen Multi-Millionen-Hacks
Viele offizielle Informationen zu der Hacker-Truppe gibt es nicht. So bleibt die genaue Führung der Lazarus-Gruppe weitgehend unbekannt. Es wird jedoch allgemein angenommen, dass Lazarus dem Generalbüro für Aufklärung (RGB), dem wichtigsten Nachrichtendienst Nordkoreas, unterstellt ist. Innerhalb des RGB ist die Gruppe Berichten zufolge dem 110. Forschungszentrum unterstellt, das auch als 3. Büro bezeichnet wird und für Cyberoperationen zuständig ist.
Die Lazarus-Gruppe finanziert sich in erster Linie durch Cyberkriminalität, einschliesslich Finanzdiebstahl und Cyberspionage. Alleine mit Angriffen auf Krypto-Projekte wie Bybit, FTX, Mt. Gox, das Ronin-Netzwerk und Wormhole hat Lazarus in den letzten Jahren über 5 Milliarden USD gestohlen. Zum Vergleich: Das nominale Bruttoinlandsprodukt (BIP) Nordkoreas wurde im Jahr 2023 auf 23.7 Milliarden Dollar geschätzt. Die von der Lazarus-Gruppe gestohlenen 5 Milliarden USD entsprechen also über 21% des BIP des Landes.
Mit diesen illegalen Aktivitäten sollen Einnahmen erzielt werden, die Nordkoreas Nuklear- und Raketenprogramm sowie andere staatliche Interessen unterstützen. Die Operationen der Gruppe zeichnen sich durch ausgefeilte Cybertechniken aus, darunter Spear-Phishing, die Verbreitung von Malware und die Ausnutzung von Zero-Day-Schwachstellen.
Strategische Einheit Nordkoreas
Der Name "Lazarus-Gruppe" leitet sich von der biblischen Figur Lazarus ab und symbolisiert die Fähigkeit der Gruppe, wieder zum Leben zu erwachen, nachdem sie gestört oder neutralisiert wurde. Trotz Identifizierung, internationaler Sanktionen und Strafverfolgungsmassnahmen passt sich die Gruppe ständig an, entwickelt sich weiter und taucht immer wieder auf, was sie zu einer der hartnäckigsten und widerstandsfähigsten cyberkriminellen Organisationen macht.
Denn trotz der relativen Unterentwicklung in vielen Bereichen hat Nordkorea Cyber-Fähigkeiten zu einer Priorität für seine Regierung gemacht, insbesondere als Mittel zur Umgehung internationaler Sanktionen und zur Erzielung von Einnahmen. Die Führung des Landes unter Kim Jong-un hat in die Entwicklung von Fähigkeiten zur Cyber-Kriegsführung investiert, da sie diese als relativ kostengünstige Möglichkeit zur Machtausübung und Untergrabung von Gegnern erkannt hat. Dazu gehören Angriffe auf Finanzinstitutionen, Kryptowährungsbörsen und Regierungsinfrastrukturen auf der ganzen Welt.
Was internationale Bündnisse angeht, so ist bekannt, dass Nordkorea selbst nur begrenzte formale Beziehungen zu anderen Staaten unterhält. Allerdings hat Nordkorea in der Vergangenheit verschiedene Formen der Unterstützung oder stillschweigenden Zustimmung von Ländern mit gleichgerichteten geopolitischen Interessen wie Russland, China oder Iran erhalten. Dennoch gibt es trotz Gerüchten keine konkreten Beweise, die andere Regierungen mit den Aktivitäten der Lazarus-Gruppe in Verbindung bringen.
