Alles, was Sie über Office 121 wissen müssen

Büro 121 ist Nordkoreas führende Hacker-Einheit. Die elitäre militärische Hacker-Einheit operiert unter dem Kommando des Reconnaissance General Bureau, kurz RGB, der geheimen nordkoreanischen Spionagebehörde.

Es wird angenommen, dass die Cyber-Operationen des Büros eine kosteneffektive Möglichkeit für Nordkorea darstellen, eine asymmetrische militärische Option aufrechtzuerhalten und Geheimdienstinformationen zu sammeln. Hauptziele ihrer Spionagetätigkeiten sind Südkorea, Japan und die Vereinigten Staaten. Darüber hinaus nutzt Nordkorea seine Cyber-Kriegsfähigkeiten Berichten zufolge auch zur Spionage und zur Unterstützung seiner Propaganda.

Die Einheit nimmt verschiedene Sektoren ins Visier, darunter Pharma-Hersteller, Forschungseinrichtungen, Finanzinstitute, IT-Unternehmen, Regierungsorganisationen und große Biotechnologie-Unternehmen. Ihr Hauptzweck besteht darin, weltweit destruktive Aktivitäten und Spionage gegen Zielnetzwerke und -systeme durchzuführen. 

Büro 121 hat vier hauptsächliche untergeordnete Einheiten: die Andariel-Gruppe, die Bluenoroff-Gruppe, ein Regiment zur elektronischen Kriegsführung und Störung und die Lazarus-Gruppe.

Kurze Geschichte des Bureau 121

Seit der Gründung des Bureau 121 in den 1980er Jahren hat es sich ab 1998 rasch ausgeweitet. Ein Teil der Einheit ist manchmal als die DarkSeoul Gang bekannt. Obwohl Nordkorea eines der ärmsten Länder bleibt, investiert es viel in das Bureau 121. Die Einheit hat eine geschätzte Mitgliederbasis von 6.000 Mitgliedern und ist die einzige nordkoreanische Organisation, die außerhalb ihrer Grenzen operiert. Das Bureau 121 führt Operationen durch, um mit verschiedenen Taktiken Geld von Organisationen aus der ganzen Welt zu extrahieren.

Die Cyberstreitmacht von Nordkorea umfasst laut Berichten zwischen 3.000 und 6.000 Mitglieder, die im Bureau 121 tätig sind, welches zum geheimnisvollen Generalaufklärungsbüro des Landes gehört. Zu den bekanntesten Erfolgen gehören Angriffe auf südkoreanische Banken und Medienunternehmen, die diese 2013 für mehrere Tage offline zwangen. 

Das RGB (Reconnaissance General Bureau) ist der Hauptmilitärnachrichtendienst Nordkoreas. Das Bureau 121 soll laut Berichten zusammen mit dem RGB für den WannaCry-Ransomware-Angriff in 2017, den Cyberangriff auf Sony Pictures Entertainment in 2014 und zahlreiche Cyberverbrechen verantwortlich sein. Es wird geschätzt, dass das RGB über 6.000 Hacker kontrolliert, die von mehr als 1.000 technischen Mitarbeitern unterstützt werden.

Angeblich hat die RGB Mitglieder für das Bureau121 aufgrund ihrer Fähigkeiten im Bereich Hacking und Informatik handverlesen. Diese Hackergruppe wird weltweit gefürchtet, aufgrund ihrer Fähigkeit, kommerzielle Organisationen, Finanzinstitutionen und Militärsysteme zu infiltrieren und zu lahmlegen.

Das Bureau 121 ist spezialisiert auf Sabotage und Spionage im Ausland. Dies umfasst Cyberkriegsführung, physische Angriffe auf Schlüsselpersonal und sogar die Erpressung von Überläufern, die aus Nordkorea in den Westen geflüchtet sind. Um einen ‚geheimen Krieg‘ zu führen, wirkt das Bureau 121 auf Sabotage oder Spionage gegen die Feinde Pjöngjangs hin.

Angeblich erfolgreiche Angriffe des Bureau 121 

Das Bureau 121 hat eine Reihe von Angriffen durchgeführt, insbesondere während seiner aktiven Jahre. Ihm werden Angriffe sowohl im privaten als auch im öffentlichen Sektor in verschiedenen Ländern zugeschrieben. 

Sony Pictures

Im November 2014 griff eine Gruppe von Hackern Sony Pictures Entertainment an. Sie drangen unerlaubt in das Firmennetzwerk ein und knackten private Informationen und Festplatten. Die Hacker forderten, dass Sony den Film „The Interview“ zurückzieht. Die Datenpanne hatte erhebliche Auswirkungen. Persönliche Informationen und Gehälter, Firmen-Emails und unveröffentlichte Filme, Pläne und Skripte wurden gehackt. Darüber hinaus wurden auch mehrere unveröffentlichten Filme im Netz veröffentlicht, darunter „Fury“, „Annie“ und „Mr. Turner“. Auch Sonys Computerinfrastruktur wurde zerstört.

Das FBI ermittelte und die US-Regierung machte Nordkorea für den Vorfall verantwortlich.

Neben dem Stehlen sensibler Informationen vom Filmstudio und deren Veröffentlichung für die Öffentlichkeit, zwangen die Hacker viele von SPEs Computersystemen offline — einschließlich E-Mails.  

Während des Hacks forderte die Organisation, dass Sony seinen damals bevorstehenden Film „The Interview“ – eine Komödie über ein Attentatskomplott gegen den nordkoreanischen Führer Kim Jong-un – fallen lässt und drohte mit terroristischen Anschlägen auf Kinos, die den Film zeigen. Nachdem viele große US-Kinoketten sich aufgrund dieser Drohungen entschieden hatten, „The Interview“ nicht zu zeigen, stornierte Sony die formelle Premiere und den allgemeinen Veröffentlichungstermin des Films. Stattdessen entschied man sich direkt für eine digitale Version zum Download, gefolgt von einer limitierten Kinoveröffentlichung am nächsten Tag.

Sonys Entscheidung, die Kinoverteilung von „The Interview“ zu stoppen, führte zu enormen finanziellen Strafen. Allerdings hatte das Filmstudio bereits einen erheblichen Ansehensverlust erlitten.

Die US-Regierung kam zu dem Schluss, dass die nordkoreanische Regierung hinter dem Angriff steckte, hat jedoch niemals öffentlich Beweise vorgelegt, die solche Vorwürfe stützen. Dennoch haben private Sicherheitsfirmen Hinweise gefunden, die auf das Büro 121 hinweisen.

SWIFT Banking

In den Jahren 2015/2016 wurde eine Reihe von Cyberangriffen aufgedeckt, die das SWIFT-Bankennetzwerk ausnutzten und erfolgreich Millionen von Dollar stahlen. Sie wurden der nordkoreanischen Regierung zugeschrieben und falls dies bestätigt würde, wäre es der erste bekannte Fall von staatlich unterstütztem Cyberverbrechen.

Experten vermuten jedoch, dass die Hackergruppe Lazarus Group (eine Tochtergesellschaft des Bureau 121) für aufsehenerregende Verbrechen wie den Hack von Sony Pictures, den Diebstahl bei der Bangladesh Bank sowie mehrere andere Cyberangriffe weltweit verantwortlich ist.

Die Hacker nutzten Schadsoftware und Phishing-E-Mails, um in die Banksysteme einzudringen und Konten mit hohen Beträgen zu kapern. Würde die Zuschreibung an Nordkorea bestätigt, wäre dies die erste Instanz eines staatlichen Akteurs, der Cyberangriffe zum Diebstahl von Geldern nutzt. Die Hacker setzten anspruchsvolle Schadsoftware und Spear-Phishing-Nachrichten ein, um in Banknetze einzudringen. Anschließend manipulierten sie SWIFT-Nachrichten, um Gelder zu transferieren.

Die nordkoreanische Regierung wies angeblich ihre Cyber-Hacker an, Banken in etwa 18 Ländern ins Visier zu nehmen, in einem Versuch, Geld aufzutreiben, um internationale Sanktionen zu umgehen.

Die internationale Gemeinschaft hat Nordkorea aufgrund seiner ballistischen Raketentests und Atomtests sanktioniert. Dies bedeutet natürlich, dass die abgeschottete Nation vom internationalen Bankensystem ausgeschlossen ist. Um dies zu umgehen, vermuten Experten, dass nordkoreanische Beamte Hacker beauftragt haben, Banken in etwa 18 Ländern anzuzielen. Den Hackern wurde aufgetragen, so viel Geld wie möglich durch betrügerische Mittel zu stehlen, damit die nordkoreanische Regierung es zur Finanzierung ihrer Militärprogramme nutzen kann.

Die Angreifer nutzten zahlreiche Schwachstellen in den Banksystemen der beteiligten Banken aus. Dies ermöglichte es ihnen, die Swift-Anmeldedaten der Banken zu übernehmen. Anschließend verwendeten die Diebe diese Anmeldedaten, um SWIFT-Geldtransferanfragen an andere Banken zu senden. Von dort aus wurde das Geld auf Konten überwiesen, die von den Hackern kontrolliert wurden, wobei darauf vertraut wurde, dass die Nachrichten authentisch sind.

WannaCry Ransomware-Angriff

Im Mai 2017 wurden Computer auf der ganzen Welt von einer Ransomware namens WannaCry angegriffen. Der Cyberangriff nutzte eine Software-Schwachstelle, die angeblich von der US-amerikanischen National Security Agency (NSA) identifiziert und einen Monat zuvor von der Hacker-Organisation The Shadow Brokers veröffentlicht wurde.

Die Cyber-Angreifer verschlüsselten Daten und forderten Lösegeldzahlungen in der Kryptowährung Bitcoin. Der WannaCry-Ransomware-Angriff war ein großer digitaler „Weckruf“, der Computer und Netzwerke mit dem Windows-Betriebssystem ins Visier nahm. Darüber hinaus bedrohte die Malware ältere Systeme, die noch einen vom US-amerikanischen NSA entwickelten Exploit nutzten, welcher von den Shadow Brokers gestohlen und veröffentlicht wurde.

Die Ransomware verbreitete sich weltweit und infizierte Computer mit älteren Windows-Betriebssystemen, indem sie Dateien verschlüsselte. Sie richtete Verwüstungen in Krankenhäusern in Großbritannien an, FedEx in den USA und viele weitere Opfer weltweit. Viele Nutzer verloren während dieser Angriffe den Zugang zu ihren Dateien und konnten diesen nur durch die Zahlung des Lösegeldes in Bitcoin wiedererlangen.

Viele der Patches waren jedoch bereits sechs Monate vor dem Angriff verfügbar. Bis Mitte 2016 hatten alle unterstützten Versionen die Schwachstellen gepatcht. Dennoch war es weiterhin eine Bedrohung für diejenigen, die ungepatchte oder nicht unterstützte Systeme wie Windows XP betrieben. Es lässt vermuten, dass es an „Reverse Engineering“ fehlte, um die unbekannte Malware zu untersuchen, indem ihre Decryptoren gescannt und ihre Malware-Codes bei der ersten Entdeckung eingesehen wurden.

Der Angriff begann im Mai 2017 und war kein einmaliges Ereignis. Er infizierte mehr als 230.000 Computer in über 150 Ländern und verursachte allein am ersten Tag Verluste von mehr als 4 Milliarden Dollar. US-amerikanische Bundesanwälte gaben am nächsten Tag bekannt, dass Nordkorea hinter dem Angriff steckte.

Südkorea Angriff 

Am oder um den 20. März 2013 wurde durch einen mutmaßlichen nordkoreanischen Cyberangriff drei südkoreanischen Fernsehsendern und einer Bank die Nutzung ihrer Computerterminals verwehrt. Es wird vermutet, dass es sich hierbei um einen Akt der Cyberkriegsführung handelte.

Ungefähr 19.000 Computer und Server bei großen südkoreanischen Sendeanstalten und Banken waren betroffen. 

KBS, MBC und YTN sendeten etwa 15 Minuten lang einen leeren Bildschirm. Die Banken – Shinhan, Nonghyup und Jeju Bank – konnten ebenfalls nicht arbeiten, da der Angriff ihre Computer-Netzwerke stark beeinträchtigt hatte. Außerdem wurden viele Geldautomaten außer Betrieb gesetzt, was daran erinnerte, dass kritische Infrastrukturen wie Bankensysteme anfällig für Cyber-Angriffe sind.

Alle betroffenen Organisationen waren mit einem gemeinsamen Netzwerk verbunden, was darauf hindeutet, dass die Hacker wahrscheinlich eine Schwachstelle in diesem Netzwerk anvisiert haben. Die Angreifer scheinen sich darauf konzentriert zu haben, Dateien zu löschen, anstatt ein Lösegeld zu fordern. Derzeit ist unklar, wie die Gruppe vorgegangen ist oder wer dahinter steckt. Die Angriffe ereigneten sich gegen 20 Uhr am 20. März und wurden nach 17 Stunden unter Kontrolle gebracht.

Schadhaften Code wurde durch Browser- oder Webseite-Schwachstellen in Benutzercomputer eingeschleust. Der Code wurde nur aktiviert, wenn bestimmte Webseiten aufgerufen wurden. Er führte den Angriff durch, indem er Dateien auf Festplatten löschte.

Die Festplatten von großen Rundfunkanstalten und Banken in Südkorea wurden systematisch gelöscht, was 32.000 Computer betraf. Die Angreifer haben die wichtigsten Dateien von drei KBS, MBC und YTN gelöscht. Auch zwei Banken – die Shinhan Bank und die Jeju Bank – wurden betroffen. Der Angriff wird als staatlich gesponserter synthetischer Angriff angesehen, der mehrere verschiedene Malware-Stämme nutzte. Obwohl Nordkorea als Angreifer vermutet wurde, gibt es noch keine offizielle Aussage dazu.

Schlussfolgerung

Bureau 121 ist eine streng geheime nordkoreanische Organisation von Experten für Computerhacking. Ihnen wird vorgeworfen, in den letzten Jahren internationale Banken und verschiedene Firmen gehackt zu haben. Bureau 121 sucht nach traditionellen Wunderkindern. Die Gruppe rekrutiert hauptsächlich junge Menschen und bildet sie zu herausragenden Hackern aus. Sie werden dann weltweit eingesetzt, um bei ihren Gegnern Chaos anzurichten.