[1/2]Auf dieser Abbildung vom 19. Juli 2023 sind Miniaturen von Menschen mit Computern vor der nordkoreanischen Flagge zu sehen. REUTERS/Dado Ruvic/Illustration
WASHINGTON, 20. Juli (Reuters) – Eine von der nordkoreanischen Regierung unterstützte Hackergruppe drang in ein amerikanisches IT-Verwaltungsunternehmen ein und nutzte es als Sprungbrett, um Kryptowährungsunternehmen ins Visier zu nehmen, sagten das Unternehmen und Cybersicherheitsexperten am Donnerstag.
Die Hacker drangen Ende Juni in das in Louisville, Colorado, ansässige Unternehmen JumpCloud ein und nutzten ihren Zugriff auf die Systeme des Unternehmens, um „weniger als fünf“ seiner Kunden ins Visier zu nehmen, heißt es in einem Blogbeitrag.
JumpCloud hat die betroffenen Kunden nicht identifiziert, aber die Cybersicherheitsfirmen CrowdStrike Holdings (CRWD.O) – die JumpCloud unterstützt – und das zu Alphabet gehörende Unternehmen Mandiant (GOOGL.O) – das einen der Kunden von JumpCloud unterstützt – sagten beide, dass die beteiligten Hacker sich bekanntermaßen auf Kryptowährungsdiebstahl konzentrieren.
Zwei mit der Angelegenheit vertraute Personen bestätigten, dass es sich bei den von den Hackern angegriffenen JumpCloud-Kunden um Kryptowährungsunternehmen handelte.
Der Hack zeigt, wie nordkoreanische Cyberspione, die sich einst damit zufrieden gegeben hatten, Stück für Stück digitale Währungsfirmen zu jagen, jetzt gegen Unternehmen vorgehen, die ihnen einen breiteren Zugang zu mehreren nachgelagerten Opfern verschaffen können – eine Taktik, die als „Supply-Chain-Angriff“ bekannt ist.
„Meiner Meinung nach legt Nordkorea wirklich zu“, sagte Tom Hegel, der für die US-Firma SentinelOne (SN) arbeitet und die Zuschreibung von Mandiant und CrowdStrike unabhängig bestätigte.
Pjöngjangs Mission bei den Vereinten Nationen in New York reagierte nicht auf eine Bitte um Stellungnahme. Nordkorea hat zuvor bestritten, Raubüberfälle auf digitale Währungen organisiert zu haben, obwohl zahlreiche gegenteilige Beweise – darunter UN-Berichte – vorliegen.
CrowdStrike identifizierte die Hacker als „Labyrinth Chollima“ – eine von mehreren Gruppen, die angeblich im Auftrag Nordkoreas agieren. Mandiant sagte, die verantwortlichen Hacker arbeiteten für Nordkoreas Reconnaissance General Bureau (RGB), seinen wichtigsten Auslandsgeheimdienst.
Die US-amerikanische Cyber-Überwachungsbehörde CISA und das FBI lehnten eine Stellungnahme ab.
Der Hackerangriff auf JumpCloud – dessen Produkte Netzwerkadministratoren bei der Verwaltung von Geräten und Servern unterstützen – wurde Anfang des Monats erstmals öffentlich bekannt, als das Unternehmen Kunden per E-Mail mitteilte, dass ihre Anmeldedaten „aus großer Vorsicht im Zusammenhang mit einem laufenden Vorfall“ geändert würden.
In einer früheren Version des Blogbeitrags, in dem bestätigt wurde, dass es sich bei dem Vorfall um einen Hackerangriff handelte, führte JumpCloud den Einbruch bis zum 27. Juni zurück. Der auf Cybersicherheit ausgerichtete Podcast Risky Business zitierte Anfang dieser Woche zwei Quellen mit der Aussage, dass Nordkorea ein Verdächtiger des Einbruchs sei.
Labyrinth Chollima ist eine der produktivsten Hackergruppen Nordkoreas und soll für einige der gewagtesten und verheerendsten Cyberangriffe des isolierten Landes verantwortlich sein. Der Diebstahl von Kryptowährungen hat zum Verlust atemberaubender Summen geführt: Das Blockchain-Analyseunternehmen Chainalysis sagte letztes Jahr, dass mit Nordkorea verbundene Gruppen durch mehrere Hacks digitales Bargeld im Wert von schätzungsweise 1,7 Milliarden US-Dollar gestohlen hätten.
Adam Meyers, Senior Vice President für Geheimdienste bei CrowdStrike, sagte, die Hacker-Trupps in Pjöngjang sollten nicht unterschätzt werden.
„Ich glaube nicht, dass dies das letzte Mal sein wird, dass wir in diesem Jahr nordkoreanische Lieferkettenangriffe erleben werden“, sagte er.
Berichterstattung von Christopher Bing und Raphael Satter in Washington; Zusätzliche Berichterstattung von James Pearson in London und Michelle Nichols in New York; Bearbeitung durch Anna Driver, Bernadette Baum, Conor Humphries und Marguerita Choy
Unsere Standards: Die Thomson Reuters Trust Principles.
