Vor allem die Hacker der Gruppe Kimsuky haben sich offenbar verschiedene Forschungseinrichtungen, Nichtregierungsorganisationen und die westliche Rüstungsindustrie als Ziele erwählt. Dabei gehe es vornehmlich um klassische Spionage, berichtet unter anderem der Standard.

Schon jemand, der „eine Doktorarbeit über Nordkorea schreibt, sollte damit rechnen, auf ihrer Zielliste zu stehen“, beschreibt Sandra Joyce von der IT-Sicherheitsfirma Mandiant die Zielgruppe der Staatshacker. Es handele sich um „klassische Geheimdiensttätigkeit“ für das nordkoreanische Generalbüro für Aufklärung.

Seitdem Nordkorea nicht zuletzt aus finanziellen Gründen immer mehr Botschaften schließen muss, soll sich das Land auf Hacker stützen, um die so entstehenden Informationslücken zu schießen. Wer zu Nordkorea forsche, dürfe ziemlich sicher davon ausgehen, von den Hackern ins Visier genommen zu werden.

Das traf etwa das Open Nuclear Network (ONN) mit Sitz in Wien, das zur österreichischen Organisation One Earth Future Austria gehört. Das ONN untersucht Nordkorea ausführlich, interessiert sich aber auch für andere Regimes, die im Verdacht stehen, Massenvernichtungswaffen einsetzen zu können. Die jeweiligen Risiken werden von den Expert:innen des ONN eingeschätzt.

Solche Organisationen wie auch Einzelpersonen werden von nordkoreanischen Hackern kontaktiert. Die Hacker täuschen etwa vor, journalistisch zu arbeiten und versuchen die Zielpersonen in einen Mailverkehr einzubinden, der letztlich in dem Versuch, Spionagesoftware zu platzieren, mündet.

Das gelingt in unterschiedlichem Ausmaß. Zuletzt hatte auch das deutsche Bundesamt für Verfassungsschutz (BfV) in einem Schreiben vor den Risiken gewarnt. Ganz aktuell sollen demnach zwei nordkoreanische Hackergruppen die Rüstungsindustrie in den Fokus genommen haben.

Der Verfassungsschutz weist darauf hin, dass Nordkorea „Cyberspionage zunehmend als kostengünstiges Mittel“ einsetze, um „an militärische Technologien zu gelangen“. Gleichlautend warnt der südkoreanische Nachrichtendienst NIS.

Nordkorea nutze die „militärischen Technologien, um konventionelle Waffen zu modernisieren und deren Leistung zu verbessern sowie neue strategische Waffensysteme einschließlich ballistischer Raketen, Aufklärungssatelliten und U-Boote zu entwickeln“, so der NIS.

Wie eine Recherche des Spiegel, des ZDF und des Standard nun bestätigt, nutzten die Nordkoreaner für das „Parken“ der erbeuteten Informationen offenbar die Codeverwaltungsplattform Github. Dort luden sie öffentlich sichtbar Daten hoch, die sie in der Folge wieder löschten.

Das Funktionsprinzip von Github als Versionsverwaltung erlaubte es indes den IT-Sicherheitsexpert:innen der Firma Deutsche Cybersicherheitsorganisation (DCSO), die gelöschten Daten zurückzuholen und zu analysieren. Dokumentiert werden konnte so ein Angriff auf südkoreanische Professoren. Mehrere Monate lang sollen die Hacker ihre Ziele ausspioniert haben.

Dabei scheint die Vorgehensweise in vielen Fällen rätselhaft. Im Falle des ONN etwa hätten die Nordkoreaner die gewünschten Informationen schlicht auf der Website des Netzwerks nachlesen können. Die Einschätzungen der Expertinnen sind ohnehin frei zugänglich.