Lazarus-Gruppe: Einblicke in die verborgene Welt der Cyberkriminalität und Blockchain-Exploits

Von Fouad Sabry

In einer Zeit, in der Cyberkriminalität und geopolitische Konflikte aufeinandertreffen, ist die Geschichte der Lazarus Group besonders bemerkenswert. „Lazarus Group“ taucht in die dunkle Unterwelt staatlich geförderter Cyberangriffe ein und enthüllt die erschreckende Verbindung zwischen Hackergruppen, Kryptowährungen und geopolitischen Strategien. Das von Fouad Sabry verfasste Buch ist eine unverzichtbare Lektüre für Fachleute, Studierende und alle, die sich für Cyberkrieg, Kryptowährungen und Weltpolitik interessieren.

Lazarus Group-Eine Untersuchung der berüchtigten nordkoreanischen Hackergruppe, die für groß angelegte Cyberangriffe verantwortlich ist.

Wiper (Malware)-Eine detaillierte Analyse zerstörerischer Malware zum Löschen von Daten, oft Teil einer größeren Angriffsstrategie.

Banküberfall in Bangladesch-Ein detaillierter Blick auf einen der bedeutendsten Cyberraubzüge der Geschichte, der das globale Finanzsystem ins Visier nahm.

Sandworm (Hackergruppe)-Untersuchung der berüchtigten russischen Hackergruppe, ihrer Aktivitäten und ihrer Auswirkungen auf die globale Cybersicherheit.

Carbanak-Aufdeckung der hochentwickelten Cybercrime-Gruppe hinter dem Milliardendiebstahl von Finanzinstituten.

Lieferkettenangriff-Wie Hacker Unternehmen über Schwachstellen in ihren Lieferketten infiltrieren.

Sony Pictures-Hack 2014-Eine Analyse des Angriffs, der die gesamte Unterhaltungsbranche lahmlegte und weltweit Schlagzeilen machte.

Watering-Hole-Angriff-Untersuchung einer gängigen Cyberangriffsmethode, die über kompromittierte Websites auf bestimmte Gruppen abzielt.

Dridex-Eine Studie über einen der berüchtigtsten Banking-Trojaner, der Millionenbeträge von Finanzinstituten weltweit gestohlen hat.

Kaspersky Lab-Untersuchung des russischen Cyber-Geheimdienstes, der Ziel staatlich geförderter Cyberangriffe war.

Cyberkrieg und Iran-Ein Einblick in die Cyberaktivitäten des Iran, von Spionage bis hin zu Angriffen auf kritische Infrastrukturen.

Clop (Cyber-Gang)-Untersuchung der kriminellen Bande hinter Ransomware-Angriffen, die weltweit Geld von Opfern erpresst.

Ransomware-Eine Untersuchung der Funktionsweise von Ransomware und ihrer verheerenden Auswirkungen auf Organisationen weltweit.

Park Jin Hyok-Einblicke in das Leben und die Aktivitäten des nordkoreanischen Hackers, der mit mehreren spektakulären Angriffen in Verbindung gebracht wird.

Advanced Persistent Threat-Verständnis der Taktiken und Strategien hinter langfristigen, heimlichen Cyberangriffen.

Kryptowährung und Kriminalität-Untersuchung des Zusammenhangs zwischen digitalen Währungen und ihrer Nutzung zur Förderung von Cyberkriminalität.

The Shadow Brokers-Eine Untersuchung der Gruppe, die für die Weitergabe geheimer NSA-Cyber-Tools an die Welt verantwortlich ist.

Double Dragon (Hacking-Gruppe)-Eine Studie über die chinesische Hackergruppe und ihre Beteiligung an hochrangiger Spionage.

WannaCry-Ransomware-Angriff-Eine Analyse eines der weitverbreitetsten und zerstörerischsten Ransomware-Angriffe der Geschichte.

SWIFT-Banken-Hack 2015–2016-Wie Cyberkriminelle das SWIFT-Netzwerk ausnutzten, um Millionen von Banken zu stehlen.

Cyberangriffe auf die Ukraine 2022-Ein Blick auf die Cyberangriffe, die den russischen Militäreinmarsch in die Ukraine begleiteten und eine neue Ära der Kriegsführung einläuteten.

Dieses Buch bietet Ihnen wertvolle Einblicke in die Welt der Cyberkriminalität, der Geopolitik und deren Zusammenhänge im digitalen Zeitalter. Das Verständnis der Rolle von Kryptowährungen bei diesen Angriffen ist entscheidend für alle, die sich mit der Zukunft der Cybersicherheit, der Finanzsysteme und der globalen Sicherheit befassen. Dieses Buch ist Pflichtlektüre für Fachleute, Studierende und Ent

• Sprache: Deutsch
• Herausgeber: Eine Milliarde Sachkundig [German]
• Erscheinungsdatum: 17. Juni 2025

Buchvorschau

Kapitel 1 :Lazarus Gruppe

Berichten zufolge handelt es sich bei der Lazarus-Gruppe, die oft als Guardians of Peace oder Whois Team bezeichnet wird, um eine Hacker-Gruppe, die aus einer unbestimmten Anzahl von Personen besteht und von der angenommen wird, dass sie von der Regierung Nordkoreas kontrolliert wird.  Forscher haben seit 2010 eine beträchtliche Anzahl von Cyberangriffen mit der Gruppe in Verbindung gebracht, obwohl nicht viel über die Gruppe bekannt ist.

Pjöngjang, Nordkorea, Potonggang District, Nordkorea

In der Vergangenheit wurde die Organisation als kriminelle Organisation eingestuft; Inzwischen wurde sie jedoch aufgrund der Art der Bedrohung, die sie darstellt, und der Vielzahl der Taktiken, die sie bei der Durchführung von Operationen anwendet, als Advanced Persistent Threat eingestuft.  Hidden Cobra, das vom United States Department of Homeland Security verwendet wird, um sich auf schädliche Cyberaktivitäten der nordkoreanischen Regierung im Allgemeinen zu beziehen, und ZINC oder Diamond Sleet, das von Microsoft verwendet wird, sind zwei Beispiele für Namen, die von Unternehmen vergeben wurden, die sich mit Cybersicherheit befassen.  Kim Kuk-song, ein Überläufer aus Nordkorea, behauptet, dass die Einheit innerhalb der nordkoreanischen Regierung als Verbindungsbüro 414 bezeichnet wird.

Es gibt eine bedeutende Verbindung zwischen der Lazarus-Gruppe und Nordkorea.  Das Justizministerium der Vereinigten Staaten von Amerika hat erklärt, dass die Organisation ein Bestandteil des Plans der nordkoreanischen Regierung ist, die globale Cybersicherheit zu untergraben ... und illegale Einnahmen unter Verstoß gegen ... Sanktionen.  Nordkorea ist in der Lage, mit einer kleinen Gruppe von Betreibern eine asymmetrische Bedrohung darzustellen, was für Südkorea besonders vorteilhaft ist. Dies ist einer der Gründe, warum Nordkorea von der Durchführung von Cyberoperationen profitiert.

Die Organisation ist verantwortlich für den ältesten bekannten Angriff, der als Operation Troja bezeichnet wurde und aus Angriffen bestand, die sich zwischen den Jahren 2009 und 2012 ereigneten.  Dabei handelte es sich um eine Cyberspionage-Operation, die auf die südkoreanische Regierung in Seoul abzielte, indem Techniken des Distributed-Denial-of-Service-Angriffs (DDoS) eingesetzt wurden, die nicht besonders fortschrittlich waren.  Darüber hinaus waren sie für Angriffe verantwortlich, die in den Jahren 2011 und 2013 stattfanden.  Es ist zwar fraglich, aber denkbar, dass sie auch für einen Anschlag verantwortlich waren, der 2007 gegen Südkorea verübt wurde.  Der Angriff auf Sony Pictures im Jahr 2014 ist einer der bemerkenswertesten Angriffe, für die die Bande bekannt ist.  Bei dem Angriff auf Sony wurden ausgefeiltere Methoden verwendet, was zeigte, wie viel fortschrittlicher die Bande im Laufe der Zeit geworden ist.

Berichten zufolge war die Lazarus-Gruppe für den Diebstahl von zwölf Millionen Dollar aus der Banco del Austro in Ecuador und einer Million Dollar aus der Tien Phong Bank in Vietnam im Jahr 2015 verantwortlich.  Darüber hinaus haben sie Finanzinstitute in Polen und Mexiko ins Visier genommen.  Die Gruppe war für den Banküberfall im Jahr 2016 verantwortlich, bei dem es zu einem Überfall auf die Bank in Bangladesch kam und bei dem einundsiebzig Millionen Dollar erfolgreich gestohlen wurden.  Im Jahr 2017 wurde berichtet, dass die Organisation Lazarus sechzig Millionen Dollar von der Far Eastern International Bank of Taiwan gestohlen hat. Der genaue Betrag, der gestohlen wurde, war jedoch unbekannt, und der Großteil der Gelder wurde wiedergefunden.

Trotz der Tatsache, dass unklar ist, wer wirklich hinter der Gruppe steckt, gibt es in den Medien Behauptungen, die darauf hindeuten, dass die Gruppe Verbindungen zu Nordkorea hat.  Laut einem Bericht, der 2017 von Kaspersky Lab veröffentlicht wurde, neigte Lazarus dazu, sich auf Überwachungs- und Infiltrations-Cyberangriffe zu konzentrieren, während sich eine Untergruppe innerhalb ihrer Organisation, die Kaspersky als Bluenoroff bezeichnete, im gleichen Zeitraum auf Finanz-Cyberangriffe spezialisierte.  Kaspersky entdeckte nicht nur viele Angriffe auf der ganzen Welt, sondern auch eine direkte Verbindung (IP-Adresse) zwischen Bluenoroff und Nordkorea.

Kaspersky räumte jedoch auch ein, dass es sich bei der Wiederholung des Codes um eine falsche Flagge handeln könnte, die die Ermittler täuschen und den Angriff auf Nordkorea verlegen sollte. Dies liegt daran, dass der Cyberangriff des WannaCry-Wurms auch Taktiken der National Security Agency (NSA) übernommen hat.  Diese Ransomware nutzt einen Exploit namens EternalBlue aus, der im April 2017 von einer Hackergruppe namens Shadow Brokers veröffentlicht wurde.

Der WannaCry-Cyberangriff sei mit hoher Wahrscheinlichkeit von Lazarus durchgeführt worden, heißt es in einem von Symantec im Jahr 2017 veröffentlichten Bericht.

Am 4. Juli 2009 war die Lazarus-Gruppe für das erste große Hacking-Ereignis verantwortlich, das auch den Beginn der Operation Operation Troja markierte.  Dieser Hack startete einen Distributed-Denial-of-Service-Angriff (DDoS) gegen Websites in den Vereinigten Staaten und Südkorea mit der Malware Mydoom und Dozer. Der Angriff war ziemlich einfach in seiner Ausführung.  Es wird geschätzt, dass etwa dreißig Websites von der Angriffswelle betroffen waren, was auch dazu führte, dass der Text Memory of the Independence Day in den Master Boot Record (MBR) eingefügt wurde.

Die Angriffe, die von dieser Bande verübt wurden, sind im Laufe der Zeit komplexer geworden; Ihre Methoden und Instrumente sind verfeinert und effektiv wirksamer geworden.  Der Angriff, der im März 2011 stattfand und als Ten Days of Rain bezeichnet wurde, umfasste ausgefeiltere Distributed-Denial-of-Service-Angriffe, die von Computern ausgingen, die in Südkorea infiltriert wurden. Der Angriff richtete sich gegen südkoreanische Medien, Finanzinstitute und wichtige Infrastrukturen.  Am 20. März 2013 wurden die Angriffe mit DarkSeoul fortgesetzt, einer Wiper-Kampagne, die auf drei südkoreanische Medienorganisationen, Finanzinstitute und einen Internet Service Provider (ISP) abzielte.  Es gab zwei weitere Gruppen, die damals die Verantwortung für diesen Anschlag übernahmen. Diese Gruppen waren als NewRomanic Cyber Army Team und WhoIs Team bekannt. Den Forschern war jedoch nicht bekannt, dass die Lazarus-Gruppe das Unternehmen war, das für den Angriff verantwortlich war.  Die Lazarus-Gruppe ist eine Supergroup, die laut Forschern bis heute für die störenden Angriffe verantwortlich ist.

Die Angriffe der Lazarus-Gruppe wurden am 24. November 2014 abgeschlossen.  An diesem Tag tauchte auf Reddit ein Beitrag mit dem Titel Guardians of Peace auf, in dem behauptet wurde, Sony Pictures sei auf unbekannte Weise gehackt worden. Die für den Hackerangriff verantwortlichen Personen behaupteten, hinter dem Angriff zu stecken.  Im Laufe der Tage nach dem Angriff wurden erhebliche Datenmengen gestohlen und nach und nach veröffentlicht.  Ein Interview mit einer Person, die behauptete, ein Mitglied der Organisation zu sein, ergab, dass sie nach dem Interview mehr als ein Jahr lang Daten von Sony gestohlen hatte.

Die Hacker verschafften sich Zugang zu Filmen, die zuvor noch nicht veröffentlicht worden waren, Drehbüchern für bestimmte Filme, Plänen für zukünftige Filme, Informationen über die Gehälter von Führungskräften im Unternehmen, E-Mails und die persönlichen Daten von rund 4.000 Mitarbeitern.

Unter dem Codenamen Operation Blockbuster konnte eine Gruppe von Sicherheitsunternehmen unter der Leitung von Novetta Malware-Samples analysieren, die in einer Vielzahl von Cybersicherheitssituationen entdeckt wurden.  Mit Hilfe solcher Daten war das Team in der Lage, eine Analyse der Methoden durchzuführen, die die Hacker einsetzten.  Durch ein Muster der Wiederverwendung von Code konnten sie eine Verbindung zwischen der Lazarus-Gruppe und einer Reihe von Angriffen herstellen.  Zur Veranschaulichung verwendeten sie die Caracachs-Verschlüsselungsmethode, einen relativ obskuren Verschlüsselungsalgorithmus, der im Internet erhältlich ist.

Ein Diebstahl, der sich im Februar 2016 ereignete, wurde als Cyber-Raub der Bangladesh Bank bekannt.  Das Konto der Federal Reserve Bank of New York, das der Bangladesh Bank, der Zentralbank von Bangladesch, gehörte, war das Ziel von fünfunddreißig falschen Anweisungen, die von Sicherheitshackern über das SWIFT-Netzwerk erteilt wurden. Der Zweck dieser Anweisungen bestand darin, illegal fast eine Milliarde Dollar von dem Konto zu überweisen.  Insgesamt waren fünfunddreißig betrügerische Anweisungen erfolgreich und überwiesen insgesamt einhunderteine Million Dollar, wobei zwanzig Millionen Dollar nach Sri Lanka und einundachtzig Millionen Dollar auf die Philippinen zurückverfolgt wurden.  Infolge eines falsch geschriebenen Befehls konnte die Federal Reserve Bank of New York die restlichen dreißig Transaktionen im Gesamtwert von 850 Millionen Dollar in US-Währung verhindern.  Die Lazarus-Gruppe, die ihren Sitz in Nordkorea hat, soll nach Angaben von Cybersicherheitsspezialisten für den Hack verantwortlich sein.

Der WannaCry-Vorfall war ein riesiger Ransomware-Ausbruch, der sich am 12. Mai 2017 ereignete und Unternehmen auf der ganzen Welt betraf. Zu diesen Institutionen gehörten der National Health Service (NHS) in Großbritannien, Boeing und sogar Universitäten in China.  Sieben Stunden und neunzehn Minuten wurden für den Angriff aufgewendet.  Europol schätzt, dass fast 200.000 Computer in 150 Ländern infiziert wurden, wobei die meisten dieser PCs in Russland, Indien, der Ukraine und Taiwan betroffen waren.  Einer der frühesten Angriffe, die von einem Kryptowurm durchgeführt wurden, war dieser.  Kryptowürmer sind eine Art von bösartiger Software, die durch die Nutzung von Netzwerken von einem Computer auf einen anderen übertragen werden kann. Da sie keine direkte Aktivität des Benutzers erfordern, können sie Systeme infizieren, indem sie den TCP-Port 445 angreifen.  Um sich zu infizieren, ist es nicht notwendig, auf einen bösartigen Link zu klicken. Die Malware kann sich von selbst verbreiten und von einem Computer zu einem Drucker gelangen, der mit ihm verbunden ist, und dann weiter auf andere Computer, die sich in der Nähe befinden, möglicherweise mit dem WLAN-Netzwerk verbunden sind, und so weiter.  Aufgrund der Schwachstelle in Port 445 konnte sich die Malware frei im Intranet bewegen und schnell Tausende von Computern infizieren.  Es war einer der ersten groß angelegten Angriffe, bei denen ein Kryptowurm verwendet wurde, und es war der