Lazarus-Gruppe wäscht gestohlene Gelder Hacker der berüchtigten Lazarus-Gruppe versuchen, die beim ByBit-Raub erbeuteten Gelder zu waschen. Die Angreifer, die vermutlich für das nordkoreanische Regime arbeiten, haben bereits mindestens 300 Millionen Dollar (232 Millionen Pfund) aus dem 1,5-Milliarden-Dollar-Hack in Bargeld umgewandelt.
Die Lazarus-Gruppe stahl die riesige Summe digitaler Token bei einem Angriff auf die Kryptobörse ByBit vor zwei Wochen. Seitdem versuchen Ermittler, die Hacker zu stoppen und den Geldfluss zu blockieren.
Sicherheitsexperten berichten, dass das Team fast rund um die Uhr arbeitet. Die gestohlenen Mittel könnten zur Finanzierung der militärischen Entwicklung Nordkoreas dienen.
Ein Wettlauf gegen die Zeit “Jede Minute zählt für die Hacker, die die Geldspur verwischen wollen. Sie agieren extrem geschickt”, erklärt Dr. Tom Robinson, Mitbegründer der Krypto-Analysefirma Elliptic.
Nordkorea gilt als weltweit führend beim Waschen von Kryptowährungen. “Ich stelle mir vor, dass ein ganzer Raum voller Menschen mit automatisierten Tools daran arbeitet”, so Dr. Robinson. “Sie pausieren nur wenige Stunden pro Tag und arbeiten wahrscheinlich in Schichten.”
Die Analyse von Elliptic deckt sich mit den Aussagen von ByBit. Rund 20 % der gestohlenen Gelder seien bereits “unsichtbar” geworden und könnten wohl nie wiedergefunden werden.
Die USA und ihre Verbündeten beschuldigen Nordkorea, in den letzten Jahren Dutzende solcher Hacks durchgeführt zu haben. Ziel sei die Finanzierung von Militär- und Nuklearprojekten.
Am 21. Februar manipulierten die Hacker heimlich die digitale Wallet-Adresse eines ByBit-Zulieferers. Dadurch leiteten sie 401.000 Ethereum-Coins auf ihr eigenes Konto um, statt auf das von ByBit.
ByBit-CEO Ben Zhou beruhigte Kunden: Ihre Gelder seien nicht betroffen. Die Firma ersetzte die gestohlenen Token mit Krediten von Investoren. Zhou erklärte, ByBit führe nun einen “Krieg gegen Lazarus”.
Kampf gegen die Geldwäsche ByBit startete ein Prämienprogramm, um gestohlene Gelder aufzuspüren und einfrieren zu lassen. Da alle Krypto-Transaktionen öffentlich auf der Blockchain sichtbar sind, können Ermittler die Bewegungen des Lazarus-Netzwerks nachverfolgen.
Versuchen die Hacker, ihre Coins bei etablierten Kryptobörsen in Bargeld umzuwandeln, können die Anbieter diese einfrieren, falls ein Zusammenhang mit Kriminalität besteht.
Bereits 20 Personen erhielten über vier Millionen Dollar Prämien für das Identifizieren und Blockieren von 40 Millionen Dollar aus dem gestohlenen Geld. Doch Experten sind skeptisch, ob der Rest der Summe geborgen werden kann. Nordkoreas Hacker verfügen über jahrzehntelange Erfahrung in Cyberkriminalität und Geldwäsche.
“Nordkorea ist ein abgeschottetes Land mit einer geschlossenen Wirtschaft. Sie haben das Hacken und Waschen von Geldern zu einer erfolgreichen Industrie gemacht und kümmern sich nicht um das schlechte Image”, sagt Dr. Dorit Dor von der IT-Sicherheitsfirma Check Point.
Nicht alle Kryptobörsen arbeiten bei der Geldrückgewinnung mit. Die Plattform eXch wird beschuldigt, den Hackern das Abheben der Gelder ermöglicht zu haben.
Mehr als 90 Millionen Dollar wurden bereits über eXch umgeleitet. Dessen Betreiber Johann Roberts bestritt dies per E-Mail. Er räumte jedoch ein, die Transaktionen zunächst nicht gestoppt zu haben, da sein Unternehmen mit ByBit im Streit liegt. Erst später begann er mit der Zusammenarbeit. Er kritisierte etablierte Krypto-Firmen dafür, dass sie die Privatsphäre der Nutzer durch Kundenerkennung aufgeben.
Nordkorea bestreitet jede Verbindung zur Lazarus-Gruppe. Experten glauben jedoch, dass es das einzige Land ist, das gezielt Cyberangriffe zur Geldbeschaffung einsetzt.
Früher hackte die Lazarus-Gruppe vor allem Banken. Seit fünf Jahren konzentriert sie sich auf Kryptowährungen, da diese weniger gut geschützt sind.
Bedeutende Hacks mit Nordkorea-Verbindung:
- 2019: Angriff auf UpBit mit 41 Millionen Dollar Schaden
- 2020: 275 Millionen Dollar aus KuCoin gestohlen (großer Teil wiederhergestellt)
- 2022: 600-Millionen-Dollar-Diebstahl bei Ronin Bridge
- 2023: 100 Millionen Dollar bei Angriff auf Atomic Wallet entwendet
Die USA setzten 2020 mehrere mutmaßliche Lazarus-Mitglieder auf ihre Liste der meistgesuchten Cyberkriminellen. Doch eine Verhaftung ist unwahrscheinlich, solange sie in Nordkorea bleiben.
