Geldwäsche für Hacker aus Nordkorea mit deutschen Ausweis

Blick auf Kaesong, die drittgrößte Stadt Nordkoreas. Bild von (stephan) via flickr.com. Lizenz: Creative Commons

Die USA klagt zwei Chinesen an, mehr als 100 Millionen Dollar in Kryptowährungen im Auftrag nordkoreanischer Hacker gewaschen zu haben, die diese von südkoreanischen Börsen geraubt hatten. Die Chinese versuchten, die Spuren von Bitcoin, Ether, Ripple, Zcash und Dogecoins zu verschleiern – sind damit am Ende aber an den Banken gescheitert.

Das Justizministerium der Vereinigten Staaten von Amerika klagt zwei Bürger Chinas an, Kryptowährungen im Wert von mehr als 100 Millionen Dollar für nordkoreanische Hacker gewaschen zu haben. Die beiden Chinesen Tian Yinyin und Li Jiadong haben Bitcoins und andere Krypowährungen, die von südkoreanischen Börsen gestohlen wurden, über eine Vielzahl an Blockchain-Transaktionen zu anderen Börsen überweisen. Bei denen sie waren sie durch manipulierte Selfie-Bilder mit Ausweis angemeldet, unter anderem mit einem aus Deutschland. Über iTunes-Karten sowie Überweisungen auf Konten von chinesischen und US-Banken wollten sie die Kryptowährungen schließlich gegen Fiatgeld wechseln – und verrieten dabei ihre Identität.

Der Ermittlungserfolg verdankt sich vor allem der gründlichen Analyse der Blockchain durch ein Team der US-Steuerfahndung, dem FBI, dem Zoll sowie der südkoreanischen Nationalpolizei. Die Staatsanwaltschaft, die den Fall nun vor ein US-Gericht bringt, wirft den Chinesen die Verschwörung zur Geldwäsche sowie den Betrieb eines unlizensierten Finanzdienstleisters in den USA vor. Die Ermittler haben zudem 113 Accounts und Adressen für Kryptowährungen identifiziert, die den beiden Angeklagten gehören. Einen Teil der darauf befindlichen Guthaben haben sie bereits konfisziert, der Rest soll folgen.

Die US-Ermittler feiern die Anklage als weiteren Erfolg des Rechts über Kryptowährungen. „Die Aktion heute unterstreicht, dass das Justizministerium den Mantel der Anonymität durchlöchert, den Kryptowährungen bieten, und Kriminelle zur Verantwortung zieht, egal wo sie sich befinden,“ tönt General Brian Benczkowski vom Justizministerium. Sein Partner von der Steuerfahndung, Don Fort, stellt sich dabei  auch als Verteidiger von Kryptowährungen dar: „Nordkorea attackiert weiterhin das wachsende globale Ökosystem der virtuellen Währungen, indem es es dazu missbraucht, die Sanktionen zu umgehen, die von den Vereinigten Staaten und dem Weltsicherheitsrat verhängt wurden.“

Die genaue Geschichte hinter dieser Klage ist spannend.

Zunächst einmal wäre da Nordkorea, der Inbegriff des Schurkenstaates. Das Land ist seit langem dafür bekannt, Hackerangriffe gegen das Ausland zu fahren, bevorzugt gegen Südkorea. Die Cyberattacken aus Nordkorea nehmen seit etwa 2008 zu, seit 2016 hat das Land in ihnen eine Methode entdeckt, an Fremdwährungen zu kommen. Wegen der Finanzsanktionen ist es für Nordkorea extrem schwierig, Waren zu exportieren und dafür Devisen zu erhalten, mit denen man Güter aus dem Ausland importieren kann. Kryptowährungen sind in dieser Konstellation nützlich, weil sie Finanzsanktionen ignorieren und an vielen Börsen gegen Fiatwährungen – also echte Devisen – zu tauschen sind.

So steht Nordkorea anscheinend oft hinter den Ransomware-Angriffen, etwa hinter der WannaCry-Pandemie, die im Frühjahr 2017 auch die Anzeigetafeln der deutschen Bahn infiziert hat. Seit 2019 scheinen sich die Cyberkrieger Nordkoreas aber auf ein anderes Ziel fokusiert zu haben: Auf Kryptobörsen. Eine Gruppe von US-Sicherheitsberatern hat 35 Fälle identifiziert, bei denen Hacker aus Nordkorea Börsen, Miner und andere Finanzinstitutionen angegriffen haben, um an Kryptowährungen zu kommen. Erneut richten sich die Angriffe vor allem gegen Südkorea.

So wurde Ende 2018 eine große südkoreanische Börse gehackt. Die Beute betrug 10.777,94 Bitcoin, 218.790 Ether sowie markante Summen anderer Kryptowährungen wie Dogecoin, Ripple, Litcoin oder Ethereum Classic. Der Angriff war clever gestrickt: Ein Hacker hatte sich als potenziellen Kunden der Börse ausgegeben, per E-Mail mit einem Mitarbeiter kommuniziert und diesen schließlich dazu gebracht, eine Malware herunterzuladen. Die Malware breitete sich im System aus, öffnete eine Sicherheitslücke, und das Hacker-Team leerte die Wallets der Börse. In diesem Fall war das ein Jackpot, einer der größten Hacks von Krypto-Börsen überhaupt.

Natürlich informierte die Börse die Polizei, und natürlich begann diese, den Spuren der Coins auf der Blockchain zu folgen. Wie die Gerichtsanklage erklärt, bildeten die Transaktionen eine sogenannte „Peelchain.“ Diese entsteht, „wenn große Mengen Bitcoins, die einer Adresse zugeordnet sind, durch eine Serie von Transaktionen gehen, in denen ein etwas geringerer Betrag an eine neue Adresse überweisen wird. Mit jeder Transaktion schält sich ein Stück Bitcoin zu einer weiteren Adresse ab – oft indem sie auf eine Börse überweisen werden – und das übrige Guthaben wandert zur nächsten Adresse.“ Die nordkoreanischen Hacker – oder bereits die chinesischen Geldwäscher – haben Peel-Chains mit hunderten von Transaktionen gebildet, um zu verschleiern, wohin sie die Coins senden.

Diese Methode verwirrt vielleicht Laienbeobachter, ist aber eher eine primitive Weise, ie Spur von Kryptowährungen zu verwaschen. Daher konnten die Ermittler herausfinden, dass die Coins auf vier, im Bericht nicht namentlich genannten Börsen gelandet sind. Diese Börsen haben den Ermittlern natürlich weitere Infos über die Accounts gegeben. Einer der Accounts wurde mit der E-Mail-Adresse eines Mitarbeiters einer südkoreanischen Konstruktionsfirma erstellt, deren Server zuvor angegriffen wurde. Dieser Account empfing gut 5.600 Bitcoin, 600 Ether, 100 Millionen Dogecoin, 3 Millionen XRP und 1.500 ZEC. Die Altcoins wechselte er in Bitcoin, um sie dann wieder woanders hin zu überweisen.

Mittlerweile ist es Standard, dass große Börsen ein Know-Your-Customer-Programm haben, um die Identität der Kunden zu prüfen, vor allem, wenn es um so große Beträge geht. Es dürfte mittlerweile nirgendwo mehr möglich sein, Summen dieser Größenordnung zu wechseln, ohne durch ein KYC-Verfahren zu gehen. In der Regel geschieht dies durch einen Video-Anruf bei einem Dienstleister oder durch das Einsenden von Selfies mit Ausweis sowie anderen Dokumenten, die irgendwie beweisen sollen, dass man der ist, für den man sich ausgibt. Wer auf verschiedenen Krypto-Börsen handelt, kennt die oft besorgniserweckenden Verfahren zur Genüge. Börse oder andere Plattformen speichern Ausweise auf ihren Servern, und wenn diese einem Hack zum Opfer fallen, landen die Ausweise nicht selten auf Marktplätzen im Darknet.

Die Hacker oder Geldwäscher haben sich auf eine sehr geläufige Methode verifiziert: Sie haben der Börse ein Selfie mit Ausweis gesendet. Neben einem südkoreanischen war dabei etwa auch ein deutscher Ausweis involviert. Die Fotos sahen echt genug aus, um ein KYC-Team der Börsen zu überzeugen. Erst eine Prüfung der Metadaten zeigte, dass die Bilder manipuliert waren.

Dennoch enthüllen die Börsen die Hacker. Zum einen führt von ihnen eine klare Spur nach Nordkorea. Auszahlungen von den Börsen wurden etwa dafür verwendet, um Webdomains zu kaufen, die in Betrugsmanöver involviert waren. So gab es eine Firma, Celas LLC, deren Mitarbeiter auch LinkedIn-Profile hatten und auf Twitter posteten. Die Seite gab vor, eine Börse im Aufbau zu sein und noch Mitarbeiter zu suchen. Bewerber wurden aufgefordert, ein Formular herunterzuladen, in dem dann eine Malware enthalten war. Gleichzeitig haben die Twitter-Accounts von Celas versucht, sich als Krypto-Influencer zu positionieren und dabei Links zu streuen, die ebenfalls zu Malware führen.

Die US-Behörden haben Celas schon zuvor als von Nordkorea ausgehend identifiziert. So benutzte die Celas-Webseite etwa denselben IP-Server, auf dem die Malware Fallchill gehostet war, von welcher das FBI herausgefunden hatte, dass sie in Verbindung mit der Regierung von Landes steht. Zudem sind bestimmte Kommandos in der Celas-App konsistent mit Hacking-Kampagnen von 2016, die Nordkorea zugeschrieben werden.

In die andere Richtung weisend führten die Börsen schließlich auch zu den beiden Chinesen. Diese haben nämlich über Börsen und andere Zahlungsmethoden – etwa iTunes-Karten für Apple – versucht, die Kryptowährungen in Fiatgelder zu tauschen. Um dies zu bewerkstelligen, hatten sie Konten bei Banken in China und in den USA. Über diese Verbindung konnten die US-Ermittler schließlich das pseudonyme Geschehen auf der Blockchain mit den echten Identitäten der beiden Chinesen verbinden.

Über Christoph Bergmann (1791 Beiträge)
Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Christoph hat vor kurzem ein Buch geschrieben: Bitcoin: Die verrückte Geschichte vom Aufstieg eines neuen Geldes. Das Buch stellt Bitcoin in seiner ganzen Pracht dar. Ihr könnt es direkt auf der Webseite Bitcoin-Buch.org bestellen - natürlich auch mit Bitcoin - oder auch per Amazon. Natürlich freuen wir uns auch über Spenden in Bitcoin, Bitcoin Cash oder Bitcoin SV an die folgende Adresse: 1BergmanNpFqZwALMRe8GHJqGhtEFD3xMw. Wer will, kann uns auch Hier mit Lightning spenden. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s