Ein nordkoreanischer Geheimdienstmitarbeiter namens Rim Jong Hyok wurde am Donnerstag von einer Grand Jury eines Bundesgerichts in Kansas City im US-Bundesstaat Kansas angeklagt, weil er angeblich in verschiedene amerikanische und internationale Organisationen eingedrungen ist, darunter Gesundheitsdienstleister, die NASA, US-Militärstützpunkte sowie Rüstungs- und Energieunternehmen in China, Taiwan und Südkorea.
Die Anklage wirft Hyok vor, vertrauliche Informationen gestohlen und eingesetzt zu haben Ransomware zur Generierung von Mitteln für weitere CyberangriffeEinem Bericht der Associated Press zufolge wird ihm außerdem vorgeworfen, über eine chinesische Bank Geld gewaschen zu haben, um Computerserver zu kaufen und weitere Angriffe auf Verteidigungs-, Technologie- und Regierungsbehörden weltweit zu finanzieren.
Laut Bundesanwälten zielten Hyok und andere Mitglieder der Andariel-Einheit des nordkoreanischen Generalbüros für Aufklärung auf 17 Einrichtungen in elf US-Bundesstaaten ab, darunter die NASA und US-Militärstützpunkte sowie Rüstungs- und Energieunternehmen in China, Taiwan und Südkorea. Die Anklageschrift gibt an, dass diese Hackerangriffe auf amerikanische Krankenhäuser und andere Gesundheitsdienstleister die Behandlung von Patienten störten. Sie extrahierten über 17 Gigabyte nicht klassifizierter Daten und infiltrierten auch die Computersysteme von Rüstungsunternehmen in Michigan und Kalifornien sowie der Randolph Air Force Base in Texas und der Robins Air Force Base in Georgia.
Die gestohlenen Daten, darunter Informationen über Kampfflugzeuge, Raketenabwehrsysteme, Satellitenkommunikation und Radarsysteme, wurden Berichten zufolge an den nordkoreanischen Militärgeheimdienst geschickt, um die militärischen und nuklearen Ambitionen des Landes zu unterstützen. „Während Nordkorea diese Art von Cyberkriminalität nutzt, um internationale Sanktionen zu umgehen und seine politischen und militärischen Ambitionen zu finanzieren, haben die Auswirkungen dieser mutwilligen Taten direkte Auswirkungen auf die Bürger von Kansas“, sagte Stephen A. Cyrus, ein FBI-Agent aus Kansas City.
Rim Jong Hyok, der in Nordkorea gelebt und in den Büros des militärischen Geheimdienstes in Pjöngjang und Sinuiju gearbeitet hat, ist noch immer auf freiem Fuß. In den Online-Gerichtsakten ist kein Anwalt für ihn aufgeführt. Für Hinweise, die darauf schließen lassen, dass er oder andere ausländische Regierungsbeamte kritische US-Infrastrukturen angreifen, ist eine Belohnung von bis zu 10 Millionen Dollar ausgesetzt.
Das Justizministerium hat mehrere Fälle im Zusammenhang mit nordkoreanischem Hacking verfolgt und dabei oft ein profitorientiertes Motiv hervorgehoben, das diese Cyberkriminellen von denen in Russland und China unterscheidet. Im Jahr 2021 wurden beispielsweise drei nordkoreanische Computerprogrammierer wegen verschiedener Hacks angeklagt, darunter ein zerstörerischer Angriff auf ein amerikanisches Filmstudio und Versuche, über 1,3 Milliarden Dollar von Banken und Unternehmen weltweit zu stehlen und zu erpressen.
Das FBI wurde im Mai 2021 durch einen Angriff auf ein medizinisches Zentrum in Kansas auf die Aktivitäten von Hyok aufmerksam. Hacker hatten Dateien und Server verschlüsselt und damit den Zugriff auf Patientenakten, Labortestergebnisse und für den Krankenhausbetrieb notwendige Computer verhindert. Auch ein Gesundheitsdienstleister in Colorado war von derselben Maui-Ransomware-Variante betroffen.
In einem an das Krankenhaus in Kansas gesendeten Lösegeldbrief wurde die Zahlung von Bitcoins im Wert von damals etwa 100.000 US-Dollar an eine angegebene Kryptowährungsadresse gefordert.
„Andernfalls werden alle Ihre Dateien im Internet veröffentlicht, was zu einem Reputationsverlust und Problemen für Ihr Unternehmen führen kann“, hieß es in der Notiz. „Bitte verschwenden Sie nicht Ihre Zeit! Sie haben nur 48 Stunden! Danach wird der Hauptserver Ihren Preis verdoppeln.“
Bundesermittler verfolgten Blockchains, um die Spur der Lösegeldzahlung zu verfolgen. Ein ungenannter Mitverschwörer überwies die Bitcoins an eine virtuelle Währungsadresse, die zwei Hongkong Einwohner. Es wurde in chinesische Währung umgetauscht und auf eine chinesische Bank überwiesen. Das Geld wurde dann an einem Geldautomaten in China in der Nähe der chinesisch-koreanischen Freundschaftsbrücke, die China und Nordkorea verbindet, abgehoben, wie Gerichtsakten zeigen.
Im Jahr 2022 gab das Justizministerium an, dass das FBI Lösegeldzahlungen in Höhe von etwa 500.000 US-Dollar von Geldwäschekonten beschlagnahmt habe. Dazu gehörte auch die gesamte Lösegeldzahlung des Krankenhauses in Kansas.
Analysten halten Hyoks Verhaftung für unwahrscheinlich. Die Anklage könnte jedoch zu Sanktionen führen, die Nordkoreas Fähigkeit, Lösegeld einzutreiben, erschweren könnten. Allan Liska, ein Cybersicherheitsanalyst bei Recorded Future, erklärte, dies könnte die Motivation für künftige Cyberangriffe auf Einrichtungen wie Krankenhäuser beseitigen.
„Das wird sie leider dazu zwingen, noch mehr Kryptowährungsdiebstähle zu begehen. Es wird ihre Aktivitäten also nicht stoppen. Aber die Hoffnung ist, dass Krankenhäuser nicht durch Ransomware-Angriffe gestört werden, weil sie wissen, dass sie nicht bezahlt werden können“, sagte Liska.
Er wies auch darauf hin, dass es sich bei einem der Opfer um ein chinesisches Unternehmen handelte, und fragte, wie China, ein Verbündeter Nordkoreas, auf die Angriffe reagieren würde.
„China kann darüber nicht besonders begeistert sein“, sagte er.
Die Anklage wirft Hyok vor, vertrauliche Informationen gestohlen und eingesetzt zu haben Ransomware zur Generierung von Mitteln für weitere CyberangriffeEinem Bericht der Associated Press zufolge wird ihm außerdem vorgeworfen, über eine chinesische Bank Geld gewaschen zu haben, um Computerserver zu kaufen und weitere Angriffe auf Verteidigungs-, Technologie- und Regierungsbehörden weltweit zu finanzieren.
Laut Bundesanwälten zielten Hyok und andere Mitglieder der Andariel-Einheit des nordkoreanischen Generalbüros für Aufklärung auf 17 Einrichtungen in elf US-Bundesstaaten ab, darunter die NASA und US-Militärstützpunkte sowie Rüstungs- und Energieunternehmen in China, Taiwan und Südkorea. Die Anklageschrift gibt an, dass diese Hackerangriffe auf amerikanische Krankenhäuser und andere Gesundheitsdienstleister die Behandlung von Patienten störten. Sie extrahierten über 17 Gigabyte nicht klassifizierter Daten und infiltrierten auch die Computersysteme von Rüstungsunternehmen in Michigan und Kalifornien sowie der Randolph Air Force Base in Texas und der Robins Air Force Base in Georgia.
Die gestohlenen Daten, darunter Informationen über Kampfflugzeuge, Raketenabwehrsysteme, Satellitenkommunikation und Radarsysteme, wurden Berichten zufolge an den nordkoreanischen Militärgeheimdienst geschickt, um die militärischen und nuklearen Ambitionen des Landes zu unterstützen. „Während Nordkorea diese Art von Cyberkriminalität nutzt, um internationale Sanktionen zu umgehen und seine politischen und militärischen Ambitionen zu finanzieren, haben die Auswirkungen dieser mutwilligen Taten direkte Auswirkungen auf die Bürger von Kansas“, sagte Stephen A. Cyrus, ein FBI-Agent aus Kansas City.
Rim Jong Hyok, der in Nordkorea gelebt und in den Büros des militärischen Geheimdienstes in Pjöngjang und Sinuiju gearbeitet hat, ist noch immer auf freiem Fuß. In den Online-Gerichtsakten ist kein Anwalt für ihn aufgeführt. Für Hinweise, die darauf schließen lassen, dass er oder andere ausländische Regierungsbeamte kritische US-Infrastrukturen angreifen, ist eine Belohnung von bis zu 10 Millionen Dollar ausgesetzt.
Das Justizministerium hat mehrere Fälle im Zusammenhang mit nordkoreanischem Hacking verfolgt und dabei oft ein profitorientiertes Motiv hervorgehoben, das diese Cyberkriminellen von denen in Russland und China unterscheidet. Im Jahr 2021 wurden beispielsweise drei nordkoreanische Computerprogrammierer wegen verschiedener Hacks angeklagt, darunter ein zerstörerischer Angriff auf ein amerikanisches Filmstudio und Versuche, über 1,3 Milliarden Dollar von Banken und Unternehmen weltweit zu stehlen und zu erpressen.
Das FBI wurde im Mai 2021 durch einen Angriff auf ein medizinisches Zentrum in Kansas auf die Aktivitäten von Hyok aufmerksam. Hacker hatten Dateien und Server verschlüsselt und damit den Zugriff auf Patientenakten, Labortestergebnisse und für den Krankenhausbetrieb notwendige Computer verhindert. Auch ein Gesundheitsdienstleister in Colorado war von derselben Maui-Ransomware-Variante betroffen.
In einem an das Krankenhaus in Kansas gesendeten Lösegeldbrief wurde die Zahlung von Bitcoins im Wert von damals etwa 100.000 US-Dollar an eine angegebene Kryptowährungsadresse gefordert.
„Andernfalls werden alle Ihre Dateien im Internet veröffentlicht, was zu einem Reputationsverlust und Problemen für Ihr Unternehmen führen kann“, hieß es in der Notiz. „Bitte verschwenden Sie nicht Ihre Zeit! Sie haben nur 48 Stunden! Danach wird der Hauptserver Ihren Preis verdoppeln.“
Bundesermittler verfolgten Blockchains, um die Spur der Lösegeldzahlung zu verfolgen. Ein ungenannter Mitverschwörer überwies die Bitcoins an eine virtuelle Währungsadresse, die zwei Hongkong Einwohner. Es wurde in chinesische Währung umgetauscht und auf eine chinesische Bank überwiesen. Das Geld wurde dann an einem Geldautomaten in China in der Nähe der chinesisch-koreanischen Freundschaftsbrücke, die China und Nordkorea verbindet, abgehoben, wie Gerichtsakten zeigen.
Im Jahr 2022 gab das Justizministerium an, dass das FBI Lösegeldzahlungen in Höhe von etwa 500.000 US-Dollar von Geldwäschekonten beschlagnahmt habe. Dazu gehörte auch die gesamte Lösegeldzahlung des Krankenhauses in Kansas.
Analysten halten Hyoks Verhaftung für unwahrscheinlich. Die Anklage könnte jedoch zu Sanktionen führen, die Nordkoreas Fähigkeit, Lösegeld einzutreiben, erschweren könnten. Allan Liska, ein Cybersicherheitsanalyst bei Recorded Future, erklärte, dies könnte die Motivation für künftige Cyberangriffe auf Einrichtungen wie Krankenhäuser beseitigen.
„Das wird sie leider dazu zwingen, noch mehr Kryptowährungsdiebstähle zu begehen. Es wird ihre Aktivitäten also nicht stoppen. Aber die Hoffnung ist, dass Krankenhäuser nicht durch Ransomware-Angriffe gestört werden, weil sie wissen, dass sie nicht bezahlt werden können“, sagte Liska.
Er wies auch darauf hin, dass es sich bei einem der Opfer um ein chinesisches Unternehmen handelte, und fragte, wie China, ein Verbündeter Nordkoreas, auf die Angriffe reagieren würde.
„China kann darüber nicht besonders begeistert sein“, sagte er.