Nordkoreas Cyberkriminalität und internationale Reaktionen
Nordkorea hat seit Januar 2024 insgesamt 2,84 Milliarden Dollar in Kryptowährung gestohlen, so ein neuer Bericht des Multilateral Sanctions Monitoring Team (MSMT). Dieses Team ist für die Überwachung der Verletzungen von UN-Sanktionen gegen die Demokratische Volksrepublik Korea verantwortlich. Der Bericht stellt fest, dass die DVRK zwischen Januar und September dieses Jahres „mindestens“ 1,65 Milliarden Dollar gestohlen hat. Ein Großteil dieser Summe stammt aus dem Bybit-Hack im Februar.
Das MSMT, das die USA, Japan, Deutschland, Frankreich, Kanada, Australien und andere westliche Staaten als teilnehmende Länder auflistet, berichtet zudem, dass Nordkorea seine Nutzung von Remote-IT-Arbeit ausweitet.
Verstöße gegen UN-Sanktionen
Der Einsatz nordkoreanischer IT-Arbeiter im Ausland verstößt gegen die UN-Sicherheitsratsresolutionen 2375 und 2397, die die Beschäftigung nordkoreanischer Arbeiter verbieten. Dennoch hat die DVRK nicht gezögert, auf den Arbeitsmärkten von mindestens acht Ländern aktiv zu sein. Dazu zählen China, Russland, Laos, Kambodscha, Äquatorialguinea, Guinea, Nigeria und Tansania. Der Bericht beschreibt, dass zwischen 1.000 und 1.500 nordkoreanische Arbeiter in China ansässig waren und dass Pjöngjang plante, bis zu 40.000 Arbeiter nach Russland zu entsenden.
Cyberfähigkeiten Nordkoreas
Das MSMT kommt zu dem Schluss, dass die Cyberkräfte Nordkoreas „ein umfassendes, nationales Programm sind, das auf einem Niveau operiert, das den Cyberprogrammen Chinas und Russlands nahekommt“. Die Mitwirkenden des Berichts bezeugen zudem, dass westliche Behörden und Unternehmen zunehmend auf diese Bedrohung reagieren.
„Während nordkorea-verbundene Hacker eine erhebliche Bedrohung darstellen, wächst die Fähigkeit von Strafverfolgungsbehörden, nationalen Sicherheitsbehörden und dem privaten Sektor, damit verbundene Risiken zu identifizieren und sich zu wehren“,
sagte Andrew Fierman, der Leiter der nationalen Sicherheitsintelligenz bei Chainalysis.
Reaktionen und Maßnahmen
Im Gespräch mit Decrypt nannte Fierman ein Beispiel aus dem August, als das US-Finanzministerium (OFAC) ein betrügerisches Netzwerk von IT-Arbeitern, das mit der DVRK verbunden war, sanktionierte. Er erklärte:
„Diese Akteure wurden aufgrund ihrer Beteiligung an Programmen benannt, die Einnahmen von IT-Arbeitern der DVRK umleiten, um die Waffen der Massenvernichtung und Programme für ballistische Raketen der DVRK zu unterstützen.“
Fierman wies auch darauf hin, dass Hunderte Millionen Dollar an Kryptowährung aus dem Bybit-Hack im Februar zurückgewonnen wurden.
Der private Sektor identifiziert die Bedrohungen durch nordkoreanische IT-Arbeiter effektiver, wie kürzlich durch die Bemühungen von Kraken im Mai 2025 belegt wurde. Im August erklärte der Chief Security Officer von Binance gegenüber Decrypt, dass die Börse täglich Lebensläufe von nordkoreanischen Angreifern, die sich bei der Firma bewerben möchten, aussortiert.
Die Bedeutung der Identifikation nordkoreanischer Aktivitäten
Die Fähigkeit, nordkoreanische Aktivitäten zu identifizieren und zu vereiteln, ist von erheblicher Bedeutung, da, wie der Bericht und Fierman klarstellen, die durch die Aktivitäten der DVRK generierten Mittel in der Regel in ihr Waffenprogramm umgeleitet werden.
„Der MSMT-Bericht beschreibt, wie diese Mittel verwendet werden, um alles von gepanzerten Fahrzeugen bis hin zu tragbaren Luftabwehr-Raketensystemen zu beschaffen,“
sagte Fierman. „In der Zwischenzeit zielen die Cyber-Spionageoperationen der DVRK auf kritische Industrien ab, darunter Halbleiter, Uranverarbeitung und Raketentechnologie, was einen gefährlichen Rückkopplungseffekt zwischen ihren Finanzverbrechen und militärischen Fähigkeiten schafft.“
Empfehlungen zur Bekämpfung der Bedrohung
Angesichts solcher Bedrohungen empfahl Fierman eine verstärkte Zusammenarbeit zwischen öffentlichen und privaten Einrichtungen, was das Produkt des MSMT-Berichts ist, angesichts der Beteiligung von Chainalysis, Google Clouds Mandiant, DTEX, Palo Alto Networks, Upwork und Sekoia.io. Er sagte:
„Datenfreigabeinitiativen, Regierungsberatungen, Echtzeitsicherheitslösungen, fortschrittliche Verfolgungswerkzeuge und gezielte Schulungen können den Beteiligten helfen, böswillige Akteure schnell zu identifizieren und zu neutralisieren, während sie die Resilienz aufbauen, die erforderlich ist, um Krypto-Assets zu schützen.“
Durch die Nutzung von Blockchain-Intelligenz und traditionellen Cybersicherheitsmaßnahmen werden betroffene Parteien in der Lage sein, gestohlene Gelder zu identifizieren und einzufrieren, bevor sie gewaschen werden, während sie auch die finanziellen Netzwerke Nordkoreas kartieren. Basierend darauf empfehlen Fierman und Chainalysis, dass Organisationen
„umfassendes Blockchain-Monitoring implementieren, verbesserte Due-Diligence-Prüfungen für die Einstellung von IT-Auftragnehmern entwickeln, fortschrittliche Bedrohungserkennungssysteme einsetzen, regelmäßige Sicherheitsprüfungen durchführen und klare Protokolle für große Transaktionen festlegen.“
