Lazarus-Gruppe wäscht gestohlene Gelder in Katz-und-Maus-Spiel
Hacker der berüchtigten Lazarus-Gruppe versuchen verzweifelt, ihre erbeuteten Gelder aus dem ByBit-Raub zu waschen. Cyberkriminelle, die vermutlich für das nordkoreanische Regime arbeiten, haben bereits mindestens 300 Millionen Dollar (232 Millionen Pfund) aus ihrem Rekord-Crypto-Raub von 1,5 Milliarden Dollar ausgezahlt.
Die Verbrecher, bekannt als Lazarus-Gruppe, erbeuteten die riesige Menge an digitalen Token vor zwei Wochen in einem Angriff auf die Krypto-Börse ByBit. Seitdem versuchen Ermittler, die Hacker zu verfolgen und zu verhindern, dass sie die Kryptowährung in nutzbares Bargeld umwandeln.
Experten berichten, dass das berüchtigte Hackerteam nahezu rund um die Uhr arbeitet, um die Mittel möglicherweise in die militärische Entwicklung des Regimes fließen zu lassen.
“Jede Minute zählt für die Hacker, die versuchen, die Geldspur zu verschleiern. Sie sind extrem geschickt in dem, was sie tun”, erklärt Dr. Tom Robinson, Mitgründer der Krypto-Ermittlungsfirma Elliptic.
Von allen kriminellen Gruppen im Bereich Kryptowährung ist Nordkorea am besten darin, gestohlene Krypto-Assets zu waschen, so Dr. Robinson.
“Ich stelle mir vor, dass sie einen ganzen Raum voller Leute haben, die mit automatisierten Tools und jahrelanger Erfahrung arbeiten. Ihre Aktivitäten zeigen, dass sie nur wenige Stunden Pause am Tag machen, möglicherweise in Schichten arbeiten, um das Krypto-Vermögen schnell in Bargeld umzuwandeln.”
Elliptic bestätigt ByBits Analyse, dass 20 % der gestohlenen Gelder “unsichtbar” geworden sind, was bedeutet, dass sie wahrscheinlich nicht wiederhergestellt werden können.
Cyberangriffe finanzieren Nordkoreas militärische Entwicklung
Die USA und ihre Verbündeten werfen Nordkorea vor, in den letzten Jahren Dutzende von Cyberangriffen durchgeführt zu haben, um sein Militär- und Atomprogramm zu finanzieren.
Am 21. Februar hackten die Kriminellen einen Zulieferer von ByBit und änderten heimlich die digitale Wallet-Adresse, an die 401.000 Ethereum-Coins gesendet werden sollten.
ByBit glaubte, die Gelder in die eigene Wallet zu überweisen, leitete sie jedoch stattdessen direkt an die Hacker weiter.
Ben Zhou, CEO von ByBit, versicherte den Kunden, dass ihre Gelder nicht betroffen seien. Das Unternehmen hat die gestohlenen Coins durch Kredite von Investoren ersetzt und erklärt laut Zhou einen “Krieg gegen Lazarus”.
ByBit hat das “Lazarus-Bounty-Programm” ins Leben gerufen, das die Öffentlichkeit ermutigt, die gestohlenen Gelder zu verfolgen und einzufrieren.
Da alle Krypto-Transaktionen in einer öffentlichen Blockchain sichtbar sind, ist es möglich, die Bewegungen der Lazarus-Gruppe nachzuvollziehen. Wenn die Hacker versuchen, einen etablierten Krypto-Dienst zu nutzen, um ihre Coins in normale Währung wie Dollar umzuwandeln, können die betroffenen Unternehmen die Transaktionen einfrieren, falls sie kriminelle Verbindungen feststellen.
Bisher haben 20 Personen über 4 Millionen Dollar an Belohnungen erhalten, weil sie 40 Millionen Dollar der gestohlenen Gelder identifiziert und Krypto-Firmen gewarnt haben, die Transfers zu blockieren.
Doch Experten sehen geringe Chancen, den Rest der Beute wiederzubekommen, da Nordkorea auf Hacking und Geldwäsche spezialisiert ist.
“Nordkorea ist ein abgeschottetes Land mit einer isolierten Wirtschaft, wodurch es eine florierende Industrie für Cyberkriminalität aufgebaut hat. Sie kümmern sich nicht um die negativen Folgen”, erklärt Dr. Dorit Dor vom Cyber-Sicherheitsunternehmen Check Point.
Uneinigkeit in der Krypto-Welt erleichtert Geldwäsche
Ein weiteres Problem ist, dass nicht alle Krypto-Unternehmen bereit sind, bei der Verhinderung der Geldwäsche zu helfen.
Die Krypto-Börse eXch wird von ByBit und anderen beschuldigt, nicht ausreichend gegen die Geldwäsche der Kriminellen vorzugehen. Mehr als 90 Millionen Dollar wurden erfolgreich durch diese Plattform geschleust.
Der schwer erreichbare eXch-Besitzer Johann Roberts bestreitet diese Vorwürfe per E-Mail. Er gibt zu, dass sein Unternehmen die Gelder zunächst nicht blockierte, da es in einem langjährigen Streit mit ByBit liegt. Er behauptet, sein Team sei sich unsicher gewesen, ob die Coins wirklich aus dem Hack stammen.
Er erklärt, dass er nun kooperiert, aber argumentiert, dass etablierte Krypto-Unternehmen durch Kundenidentifikation die Privatsphäre und Anonymität der Kryptowährung untergraben.
Nordkorea hat nie offiziell zugegeben, hinter der Lazarus-Gruppe zu stehen, gilt jedoch als das einzige Land, das Cyberkriminalität gezielt zur finanziellen Bereicherung nutzt.
Früher griff die Lazarus-Gruppe hauptsächlich Banken an, doch in den letzten fünf Jahren haben sie sich auf Angriffe auf Krypto-Firmen spezialisiert. Die Branche ist weniger geschützt und hat kaum Mechanismen, um Geldwäsche effektiv zu verhindern.
Jüngste Hacks mit mutmaßlichem Nordkorea-Bezug:
- 2019: UpBit-Hack für 41 Millionen Dollar
- 2020: 275 Millionen Dollar Diebstahl von der Krypto-Börse KuCoin (großer Teil der Gelder wurde wiederhergestellt)
- 2022: Ronin-Bridge-Angriff mit 600 Millionen Dollar Beute
- 2023: 100 Millionen Dollar Diebstahl aus Atomic Wallet
Im Jahr 2020 setzte die US-Regierung mutmaßliche Lazarus-Mitglieder auf ihre Liste der meistgesuchten Cyberkriminellen. Die Chancen, diese Personen zu verhaften, bleiben jedoch gering, solange sie Nordkorea nicht verlassen.
