Es hätte der vermutlich aufsehenerregendste digitale Bankraub der Geschichte werden können. Die Hackergruppe Lazarus, die Experten zufolge von der nordkoreanischen Regierung kontrolliert wird, hätte der Nationalbank von Bangladesch 2016 beinahe eine Milliarde US-Dollar stehlen können. Letztlich konnten die Angreifer aber lediglich 81 Millionen Dollar erbeuten. Das lag aber weniger an einem Fehler in ihrem ausgeklügelten Plan als vielmehr an einem für sie ungünstigen Zufall.
Einer umfangreichen Recherche der BBC zufolge hatten sich die nordkoreanischen Hacker bereits ein Jahr vor dem eigentlichen Diebstahl Zugriff zu den Computersystemen der Nationalbank von Bangladesch verschafft. Dazu hatten sie ein gefälschtes Bewerbungsschreiben an Mitarbeiter der Bank versendet. Der vermeintliche Lebenslauf enthielt einen Trojaner, der von mindestens einer Person innerhalb der Bank geöffnet wurde.
Anschließend konnte die Lazarus-Gruppe immer weitere Teile des bankinternen Computernetzwerkes übernehmen, bis am Ende nur noch ein Sicherheitsmechanismus im Weg stand. Die Nationalbank druckt Informationen über alle Überweisungen automatisch aus, um ein Backup für den Notfall zu haben. Um zu verhindern, dass dieses Papier-Backup den Bankraub vereitelt, mussten die nordkoreanischen Hacker also auch den Drucker unter ihre Kontrolle bringen – was ihnen am Ende auch gelang.
Pech für die Bankräuber: Straßenname erinnert an iranisches Schiff
Nachdem die letzten Hürden genommen waren, begannen die Angreifer damit, ihre Beute auf fremde Konten zu überweisen. In insgesamt 35 Überweisungen wiesen sie die New Yorker Federal Reserve Bank an, insgesamt 951 Millionen Dollar an verschiedene von der Gruppe kontrollierte Konten zu überweisen. Das entsprach nach Angaben der BBC fast dem Gesamtbetrag der Einlagen der Nationalbank von Bangladesch.
Um etwaige Probleme zu vermeiden, wurde auch der Zeitpunkt der Transaktionen exakt ausgewählt. Da das Wochenende in Bangladesch von Freitag bis Samstag geht, und in den USA von Samstag bis Sonntag, wurden die Überweisungen gezielt an einem Donnerstagabend durchgeführt. „Am Freitag arbeitet New York, und die Bangladesch Bank ist zu. Bis die Bangladesch Bank wieder in Betrieb geht, ist die Federal Reserve Bank geschlossen. Also verzögerte sich die ganze Entdeckung um fast drei Tage“, erläutert der Cybersecurity-Experte Rakesh Asthana gegenüber der BBC das Vorgehen der Hacker.
Durch das gewählte Zeitfenster hätte die Lazarus-Gruppe mehrere Tage gehabt, um das einmal auf ihre Konten überwiesene Geld in Sicherheit zu bringen. Allerdings hatte die betroffene Bank am Ende Glück im Unglück, denn in New York wurde ein Großteil der Transaktionen automatisch aufgehalten. Das lag allerdings nicht daran, dass die Sicherheitssysteme einen digitalen Bankraub erkannt hätten. Vielmehr befand sich eine der Zielbanken in der Jupiter Straße in der philippinischen Hauptstadt Manila. Jupiter wiederum ist auch der Name eines mit US-Sanktionen belegten iranischen Schiffes. Die Erwähnung von Jupiter reichte aus, um in New York eine manuelle Prüfung der Transaktionen auszulösen. Die wiederum führte dann dazu, dass ein Großteil der Überweisungen gestoppt werden konnte. Fünf Transaktionen gingen jedoch durch.
Geldwäsche im Casino
Insgesamt 101 Millionen Dollar hatten die Hacker zu diesem Zeitpunkt auf fremde Konten transferiert. Bei einer der fünf geglückten Überweisungen hatte sich jedoch ein Rechtschreibfehler eingeschlichen, und weitere 20 Millionen Dollar wurden an die ursprünglichen Besitzer zurücküberwiesen.
Ebenfalls interessant: Cyberangriff auf Frankreich: Stecken russische Hacker von Sandworm dahinter?
Von den verbleibenden 81 Millionen Dollar, die am Ende wirklich bei der Lazarus-Gruppe ankamen, gingen nach Ansicht einer Untersuchungskommission der philippinischen Regierung 31 Millionen Dollar an einen chinesischen Staatsbürger, dessen jetziger Aufenthaltsort unbekannt ist.
Weitere 50 Millionen Dollar wurden in ein Casino in Manila eingezahlt. Dort sollte das Geld gewaschen werden. Dazu buchte die Lazarus-Gruppe private Tische, an denen ihre Komplizen mit dem Geld spielten. Die Behörden konnten später 16 Millionen Dollar davon von dem Organisator des Spiels zurückbekommen. Die verbliebenen 34 Millionen Dollar sollen hingegen über die chinesische Sonderverwaltungszone Macau nach Nordkorea transferiert worden sein.
