Die USA wirft Hacker der Demokratischen Volksrepublik Nordkorea vor, eine Fülle von Cyberverbrechen begangen zu haben: Vom Hack einer Kryptobörse über Ransomware zum ICO-Betrug. Die Aussichten, die Hacker tatsächlich vor Gericht zu bringen, sind winzig – doch dies dürfte auch nicht das Ziel der spektakulären Anklage gewesen sein.
Wenn die Organe des amerikanischen Justizwesens eine Pressemitteilung veröffentlichen, folgen sie in der Regel einem bestimmten Schema: Zunächst wird der Fall dargestellt, meist relativ trocken und ohne eine erkennbare Dramaturgie. Dann jedoch folgt eine Batterie an Zitaten, in denen sich die Direktoren der beteiligten Behörden darin überbieten, in großspurigen Worten die Bedeutung einer Klage oder Verhaftung so weit wie möglich aufzublähen.
Die Klage, die das Justizministerium letzte Woche vor dem Bezirksgericht in Los Angeles eingereicht hat, macht da keine Ausnahme. Der Fall sei ein „hell strahlendes Beispiel dafür, wie eine nationale Regierung mit hochprofessionellen Cyberkriminellen zusammenarbeitet“, tönt Michael R. D’Ambrosio, Assistenz-Direktor des Secret Services. Die öffentlich-private Partnerschaft in Nordkorea habe „finanzielle und Cyberverbrechen in einer fürwahr beispiellosen Breite“ begangen.
Die Klage ist aber auch sensationell; Weltpolitik in einer Nussschale: Die drei Nordkoreaner Jon Chang Hyok (전창혁), 31, Kim Il (김일), 27, und Park Jin Hyok (박진혁), 36, werden angeklagt, als Mitglieder des Reconnaissance General Bureau (RGB), einer Einheit des militärischen Nachrichtendienstes der Demokratischen Volksrepublik Nordkorea, eine endlose Reihe von Cyberdelikten begangen zu haben. Die nordkoreanischen Agenten „verwenden Tastaturen, anstatt Gewehre, und sie stehlen Kryptowährungen, anstatt Säcke voll Bargeld“, erklärt Generalanwalt John C. Demer von der Nationalen Sicherheitsabteilung des Justizministeriums (NSI). Die „größten Bankräubern der Welt“ haben laut der Klage
- Sony angegriffen, um zu versuchen, die Ausstrahlung des Films „The Interview“ zu verhindern,
- mehr als 1,2 Milliarden Dollar von Banken durch einen Hack der lokalen Clienten für das SWIFT-System gestohlen (wir haben damals schon über den Fall geschrieben), von dem vor allem Banken aus der dritten Welt betroffen waren,
- Geldatomaten gehackt und Bargeld ausgezahlt, beispielsweise 6,1 Millionen Dollar in Pakistan,
- Ransomware versendet, etwa WannaCry 2.0, das im Mai 2017 um die Welt ging und etwa durch Anzeigetafeln der Bahn berühmt wurde,
- Unternehmen erpresst, indem sie sensible Daten gestohlen und Ransomware eingesetzt haben,
- verschiedene gefälschte Krypto-Apps veröffentlicht, um durch diese Malware zu streuen,
- hunderte von Krypto-Unternehmen angegriffen und zum Teil auch Kryptowährungen gestohlen, unter anderem 75 Millionen Dollar von einer Börse aus Slowenien sowie 11,8 Millionen Dollar von einem New Yorker Finanzunternehmen,
- das Marine Chain Token durch ein ICO herausgegeben. Mit diesem Token konnten Investoren (angeblich) Anteile an nordkoreanischen Frachtschiffen erwerben, was es dem Land erlaubte, die Finanzsanktionen durch die USA zu unterlaufen.
Für diese Taten wirft das US-Justizministerium den drei Nordkoranern Computerbetrug und bandenmäßiger Finanzbetrug vor, zwei Straftaten, auf die zusammen bis zu 35 Jahre Gefängnis stehen.
Die Anschuldigung ist dabei alles andere als neu. Es gilt seit Jahren als erwiesen, dass Nordkorea hinter Hacks auf Börsen, hinter Ransomware, dem Marine Chain Token sowie Fake-Apps steht. In der Cybersicherheits-Szene ist die nordkoreanische Hacking-Gruppe schon lange unter den Codenamen Lazarus und Advanced Persistent Threat 39 bekannt. Unklar ist aber natürlich, wie konkret die Verflechtung zwischen den Hackern und der Regierung Nordkoreas ist.
Man wüsste auch gerne, wie die Ermittler von FBI und NSI den Hackern auf die Spur kamen, und wie stichhaltig die Beweise dafür sind, dass tatsächlich ein Organ der nordkoreanischen Regierung hinter dieser Fülle an Cyberverbrechen steht. Schließlich wirft man einer anderen Regierung nicht leichtfertig vor, der Kopf einer Bande virtueller Ganoven zu sein. Bei diesem Thema jedoch bleibt die Pressemitteilung vage. Sie schreibt lediglich von „Ermittlungen“ unter Führung des FBI-Büros von Los Angeles, das eng mit anderen FBI-Büros zusammengearbeitet und die Unterstützung des Secret Service und eines „Global Investigative Operations Center“ genossen habe.
Offenbar legten FBI und Staatsanwaltschaft dem Gericht aber genügend Beweise vor, um die Genehmigung dafür zu erhalten, Kryptowährungen zu beschlagnahmen, welche die Hacker dem New Yorker Finanzdienstleister gestohlen hatte. Das Justizministerium konfiszierte einen Account auf einer Krypto-Börse, auf dem rund 1,9 Millionen Dollar in verschiedenen Coins lag. Diese werden, verspricht die Pressemitteilung, am Ende den Opfern zurückgegeben.
Die drei Hacker hingegen sind weiterhin auf freiem Fuß. Das FBI hat für Jon Chang Hyok, Kim Il und Park Jin Hyok Fahndungsfotos veröffentlicht, doch dürften die Aussichten, ihrer habhaft zu werden, eher gering sein. Zwar wurden sie in der Vergangenheit schon in China, Russland oder Singapur gesehen, doch in der Regel bleiben sie offenbar in Nordkorea. Park Jin Hyok wird schon seit 2018 erfolglos wegen der Beteiligung an WannaCry gesucht.
Was jedoch bleibt ist die Beschlagnahmung von 1,9 Millionen Dollar in Kryptowährungen. Die US-Regierung macht, was sie machen kann, um die Interessen der New Yorker Finanzunternehmen zu schützen – auch dann, wenn es um Kryptowährungen geht. Vermutlich ist das die entscheidende Botschaft hinter den markigen Worten der Presseerklärung.