Nach Krypto-Klau von nordkoreanischen Hackern: USA leitet rechtliche Schritte ein

Nordkoreanische Hacker, die mit der berüchtigten Lazarus-Group in Verbindung stehen, haben Kryptowährungen in Höhe von 2,67 Milliarden US-Dollar gestohlen. Nun geht die USA rechtlich dagegen vor.

Rechtliche Schritte zur Beschlagnahmung der gestohlenen Kryptowährungen

Kryptowährungen im Wert von mehr als 2,67 Milliarden US-Dollar. So viel haben nordkoreanische Hacker, die mit der Lazarus-Group in Verbindung gebracht werden, bisher erbeutet. Die Verbindung zu Lazarus ist dabei prägnant – denn die Gruppe ist schon seit vielen Jahren für ihre Diebstähle bekannt und im Visier der USA. 2022 stahl Lazarus 1,7 Millionen US-Dollar von der unregulierten Handelsplattform Deribit. Ein Jahr später folgte der Raub von 970.000 US-Dollar von der Glücksspielkette Stake.com. Zur Geldwäsche nutzte die Hacker-Group die Software Tornado Cash. Doch damit nicht genug. Laut Analysefirmen wie Chainalysis und TRM Labs haben die Hacker seit 2017 zwischen 3 und 4,1 Milliarden US-Dollar – hauptsächlich von Börsen – gestohlen.

Obwohl die Hacker Mixer und verschiedene Adressen nutzten, um unentdeckt zu bleiben, konnten ihnen die Strafverfolgungsbehörden weiterhin auf den Fersen bleiben. Nun reichte die US-amerikanische Regierung zwei Klagen gegen die nordkoreanischen Hacker ein. Das Ziel: mindestens 1,7 Millionen US-Dollar der gestohlenen Kryptowährungen wieder beschlagnahmen. Bisher wurden bereits mehrere Maßnahmen ergriffen, um die geklauten Gelder zu sperren. Tether setzte beispielsweise im November 2023 374.000 US-Dollar auf die schwarze Liste – da die Verbindung zu Lazarus bestand. Auch zentrale Kryptobörsen froren eine unveröffentlichte Menge an Kryptowährungen ein. Drei von vier Stablecoin-Emittenten setzten im letzten Quartal des vergangenen Jahres 3,4 Millionen US-Dollar auf die schwarze Liste. Das hinderte Lazarus jedoch nicht daran, weiterhin eine Bedrohung zu bleiben.

Die “Lazarus-Lore”: Entwicklung der Lazarus-Group geht bis in die frühen 2000er zurück

Die Hacker sind nicht nur unter der Bezeichnung “Lazarus” bekannt. Auch Namen wie APT38 oder Bluenoroff werden für die Cyberangriff- und Kryptoklau-Gruppe verwendet, die es vermutlich schon seit 2009 oder früher gibt. Die ersten hochkarätigen Angriffe waren der Sony Music Pictures Hack von 2014 (Veröffentlichung vertraulicher Daten) und der Bangladesh Bankraub von 2016 (Diebstahl von 81 Millionen US-Dollar). Nun scheint sich die Gruppe hauptsächlich auf Kryptowährungen zu konzentrieren. Ihre Mitglieder sind hochqualifiziert und verfügen über maßgeschneiderte Mittel und Wege, um ans gewünschte Ziel zu gelangen. Analysten bezeichnen ihre Angriffsart als Social-Engineering vom Feinsten.

Das Perfide: Bei einem Angriff auf Steadifi lud ein Team-Mitglied eine schädliche Datei von einem angeblichen Fondsmanager auf Telegram herunter. Dadurch konnte sich Lazarus Zugang verschaffen. Bei einem anderen Fall verlor die Treasury-Management- und Infrastrukturplattform Coinshift über 900.000 US-Dollar in Ethereum (ETH). Die Gruppe geht dabei besonders schnell vor. Vom eigentlichen Hack bis zur Geldwäsche vergehen in der Regel nur wenige Minuten. Kaum sind die Gelder in Stablecoins umgewandelt, sorgt Lazarus durch Peer-to-Peer-Börsen (P2P) dafür, die Coins in Bargeld umzuwandeln. Das macht die Nachverfolgung schwierig. Jetzt sollen aber Gelder zurückgeholt werden – so die Behörden der USA. Ob das gelingt, bleibt abzuwarten.