Nordkoreas Staatschef Kim Jong-un scheut nicht davor zurück, großangelegte Spionageaktionen weltweit durchzuführen.
IMAGO/Yuri Smityuk

Der Angriff beginnt mit einer E-Mail. In der Betreffzeile steht "Bitte um Einschätzung", ein vermeintlicher Journalist mit dem Namen "William Kim" möchte wissen, wann Nordkorea das nächste Mal eine Atomwaffe testen könnte. Die Mail erreichte das Open Nuclear Network (ONN) mit Sitz in Wien im September 2022. Der Absender setzt eine Frist, er bittet um eine Antwort innerhalb von drei Tagen. Alles wirkt wie eine normale Presseanfrage. Doch William Kim gibt es nicht, hinter dem Pseudonym verbergen sich nordkoreanische Hacker.

Mit dieser E-Mail, die STANDARD, "Spiegel" und ZDF einsehen konnten, beginnt eine ausgeklügelte Kampagne, mit der Forscher weltweit ausspioniert werden sollten. Die Hacker fragen erst freundlich nach einer Einschätzung, bauen Vertrauen auf und schicken dann Spionagesoftware. All dies im Auftrag von Diktator Kim Jong-un. Denn Nordkorea ist das wohl am stärksten abgeschottete Land der Welt, Botschaften werden geschlossen, Diplomaten verlieren Zugang zu wertvollen Informationen, weil sie nicht mehr vor Ort sind. Hacker sollen diese Informationslücke füllen.

Forscher im Visier

"Es ist klassische Geheimdiensttätigkeit", sagt Sandra Joyce von der IT-Sicherheitsfirma Mandiant über das Vorgehen. "Sie arbeiten für das Generalbüro für Aufklärung." Dabei handelt es sich um den Militärnachrichtendienst Nordkoreas. Der Job der Hacker sei es, "strategisch wichtige Fragen zu beantworten", zum Beispiel, wie die Weltgemeinschaft auf Nordkoreas Raketenstarts reagiert. "Diese Informationen tragen sie dann zu ihrem Führungspersonal, damit dieses einen Wissensvorsprung hat", sagt Joyce. Die Hacker – Experten nennen die Gruppe Kimsuky – greifen dabei weitflächig an. "Jemand, der eine Doktorarbeit über Nordkorea schreibt, sollte damit rechnen, auf ihrer Zielliste zu stehen", sagt Joyce.

Das ONN beschäftigt sich intensiv mit Nordkorea, insbesondere den Nuklearwaffen. Es gehört zur österreichischen Organisation One Earth Future Austria. Ihre Experten und Expertinnen liefern Einschätzungen, wann Staaten in einem Konflikt Massenvernichtungswaffen einsetzen könnten.

Das Problem mit der Forschung zu Nordkorea ist: Sobald man bekannt ist, kommen die Hacker. Beim ONN, das 2019 gegründet wurde und sich früh auf die Koreanische Halbinsel spezialisierte, ging es im Jahr 2021 los.

"Wir machen nichts Geheimes, alle Informationen sind für jeden zugänglich", sagt eine Mitarbeiterin, die namentlich nicht genannt werden will. Aber niemand habe die Zeit, sämtliche Quellen durchzuarbeiten und zu analysieren. "Wir machen das aber und wägen ab, ob Informationen ernst zu nehmen sind oder Propaganda." Anschließend publizieren sie die Analysen auf der ONN-Website.

Auch die US-amerikanische Nordkorea-Expertin Jenny Town machte schon unfreiwillig Bekanntschaft mit Kimsuky, sie leitet beim Washingtoner Thinktank Stimson Center das Projekt 38North. Eines Tages kam sie in ihr Arbeitszimmer und bemerkte, dass auf ihrem Monitor Dinge passierten, die sie nicht selbst steuerte: Jemand führte Programme aus und aktivierte die Kamera. "Sie waren in meinem System und hatten Zugang zu allen meinen Dateien", erzählte Town in einem Vortrag über den Vorfall, "offensichtlich wollten sie Informationen sammeln." Die Forscherin dokumentierte den Übergriff mit Screenshots, die sie den Reportern von STANDARD, ZDF und "Spiegel" vorlegte.

Jenny Towns Verdacht fiel sofort auf die Nordkoreaner. Später erfuhr sie, dass ihr E-Mail-Postfach drei Monate lang ausspioniert worden war.

BfV warnte bereits 2023 zum ersten Mal öffentlich

Erst im vergangenen Jahr warnte das deutsche Bundesamt für Verfassungsschutz (BfV) in einem Schreiben davor, dass Kimsuky hinter solchen Angriffen steckt.

Im Schreiben warnte das BfV, "dass der Akteur die hier beschriebene Kampagne unter anderem auf globale Thinktanks für Diplomatie und Sicherheit erweitern könnte". Nach Informationen von STANDARD, "Spiegel" und ZDF ist genau dieser Fall eingetreten. Die Hacker haben beispielsweise neben den Nuklearwaffenforschern beim ONN auch versucht, Mitarbeiter der Berliner Stiftung Wissenschaft und Politik (SWP) über Phishingmails zu ködern. Alle Institutionen betonten, nicht auf die Versuche hereingefallen zu sein.

Heute, Montag, gaben das Bundesamt für Verfassungsschutz und der südkoreanische Nachrichtendienst NIS erneut eine Warnmeldung zu zwei nordkoreanischen Hackergruppen heraus. Die beiden Dienste warnen vor allem vor Wirtschaftsspionage in der Rüstungsindustrie. Das Regime von Diktator Kim Jong-un nutze die "militärischen Technologien, um konventionelle Waffen zu modernisieren und deren Leistung zu verbessern sowie neue strategische Waffensysteme einschließlich ballistischer Raketen, Aufklärungssatelliten und U-Boote zu entwickeln", so die Mitteilung.

Nordkoreanische Hacker versuchen offenbar zunehmend Erkenntnisse zu beschaffen, an die Nordkoreas Geheimdienste nicht mehr anders herankommen. Der Verfassungsschutz warnt, dass Nordkorea "Cyberspionage zunehmend als kostengünstiges Mittel" einsetze, um "an militärische Technologien zu gelangen". Aus finanziellen Gründen hatte Nordkorea in letzter Zeit zahlreiche Botschaften und Konsulate schließen müssen, wo traditionell zahlreiche Agenten stationiert waren, um Informationen zu beschaffen.

Die Hacker verrieten sich durch einfache Fehler

Eine exklusive Recherche von STANDARD, "Spiegel" und ZDF zeigt nun, wie die Hacker der Gruppe Kimsuky vorgingen, um Informationen über politische Positionen zu Nordkorea aus dem Ausland zu erhalten.

Wahrscheinlich dachten die Hacker, sie hätten ihre Spuren ausreichend verwischt. Sie hatten Daten geklaut und offen ins Internet gestellt. Aber dann schließlich gelöscht. Was die Hacker anscheinend vergessen hatten: Gelöscht ist nicht verloren. Die Daten waren noch auffindbar, dank einer Art Zeitmaschine auf Github.

Github ist eine Plattform für Programmierer. Viele Entwickler arbeiten im Team und teilen über Github ihre Codeschnipsel. Funktioniert ein Programm nicht mehr, stellen sie einfach eine alte Version her, eine Reise zurück in die Vergangenheit. Auch Nordkoreas Staatshacker hatten ihre Daten auf Github hochgeladen. Jeder, der ihr Profil kannte, konnte ihr Vorgehen dort nachverfolgen. IT-Sicherheitsexperten der Firma Deutsche Cybersicherheitsorganisation (DCSO) taten genau das, luden den Ordner samt Inhalten herunter und teilten ihn mit STANDARD, "Spiegel" und ZDF.

Zugriff auf Mails, Kalender und Cloud-Speicher

"Im Kern waren es vier Verzeichnisse, dort haben wir gestohlene Daten gefunden", sagt ein Experte von DCSO. "Es war klar ersichtlich, dass es sich um Daten handelt, die von Browsern geklaut worden sind." Mit den Daten – Nutzername, Passwort und Cookies – konnten die Hacker potenziell Accounts übernehmen, also E-Mail-Postfächer lesen, Terminkalender und Kontaktlisten ausspähen, Cloud-Speicher durchwühlen.

Einer Analyse der Ordner zufolge, die DER STANDARD anhand der Daten nachvollziehen konnte, haben die Hacker ab Dezember 2022 über einen Zeitraum von mindestens knapp vier Monaten auf Github ihre Informationen geparkt. Ausgespäht haben sie demnach drei Professoren aus Südkorea. Diese haben auf eine Anfrage nicht reagiert.

In einem Ordner namens "Test" prüften die Hacker, ob ihr Vorgehen funktionieren würde. Erst einige Wochen später begann ihr Angriff. In dem Testordner taucht der Begriff "Kwangmyong" auf, vermutlich das Resultat einer Standortbestimmung über die IP-Adresse. Kwangmyong bezeichnet das nordkoreanische Intranet. "Eine valide Annahme ist, dass die Angreifer sich selber infiziert haben", erklärt der Experte von DCSO – und dabei unabsichtlich ihren Standort preisgegeben haben. Mutmaßlich ein Fehler, der den Rückschluss erlaubt, dass die Hacker tatsächlich aus Nordkorea kamen.

Für die Mitarbeiterin des Wiener Open Nuclear Network kamen die Mails nicht wirklich überraschend: "Wir bearbeiten ein Thema, das sehr heikel ist und Aufmerksamkeit erregt." Sie und ihre Kollegen seien sehr aufmerksam und geschult darauf, mit der IT-Abteilung in Kontakt zu treten, sobald ihnen etwas seltsam vorkomme. Aber was genau die Hacker mit ihren Attacken erreichen wollten, würde sie schon gern wissen: "Im Grunde genommen fragen wir uns, warum diese Angriffe kommen", sagt sie. "Man könnte es auch einfach auf unserer Website lesen." (Hannes Munzinger, Marcel Rosenbach, Jaya Mirani und Hakan Tanriverdi, 19.2.2024)