Sechs Monate lang prasselte eine Angriffsserie auf den Krypto-Dienstleister Coinspaid ein. Ende Juli drangen die Hacker durch. 37 Millionen US-Dollar wurden gestohlen. Nun scheint klar: Nordkoreas berüchtigte Hackergruppe Lazarus steckt hinter den Angriffen. Ein detaillierter Bericht zeigt das perfide Vorgehen. Systeme wurden angegriffen, Mitarbeiter manipuliert – ein Weckruf für die Krypto-Branche.

Und täglich grüßt das Lazarus-Kollektiv

Seit März wurde Coinspaid mit Hackerangriffen überhäuft. Die Angreifer zogen alle Register: Mitarbeiter wurden beeinflusst – bekannt als Social Engineering – Passwörter über Phishing abgegriffen, bösartige Softwareprogramme eingeschleust, Systeme mit DDoS- und BruteForce-Attacken lahmgelegt. Die Angreifer gingen offenbar gezielt und organisiert vor.

Zunächst sollen es die Hacker auf sensible Informationen zur technischen Infrastruktur abgesehen haben. Dazu gaben sie sich als Mitarbeiter eines ukrainischen Krypto-Startups aus. Im April kam es zu “vier größeren Angriffen”. Dabei versuchten die Angreifer, sich Zugang zu den Konten von Coinspaid-Mitarbeitern und Kunden zu verschaffen. Die Spam- und Phishing-Angriffe gegen Mitarbeiter seien “konstant und sehr aggressiv” gewesen.

Wir wissen jetzt, dass Lazarus, die mutmaßliche Hackergruppe hinter dem Angriff, ein halbes Jahr lang versucht hat, in die Coinspaid-Systeme einzudringen und Schwachstellen zu finden.

Zwischen Juni und Juli kam es zu einer weiteren Angriffswelle. Dabei wurde versucht, “Mitarbeiter des Unternehmens zu bestechen”. Anfang Juli soll es schließlich zu einem “massiven, sorgfältig geplanten und vorbereiteten Angriff auf die Infrastruktur und Anwendungen von CoinsPaid” gekommen sein. Dabei wurden 37 Millionen US-Dollar in Krypto-Assets gestohlen.

Social Engineering: “Die gefährlichste Bedrohung für die Sicherheit”

Besonders perfide waren die Täter beim sogenannten Social Engineering, Manipulationstechniken, durch die Vertrauen bei Mitarbeitern aufgebaut wird. Diese wurden über gefälschte LinkedIn-Profile kontaktiert, unter dem Vorwand hochdotierter Jobangebote. Während der Vorstellungsgespräche “versuchten die Täter, die Kandidaten dazu zu bringen, den JumpCloud-Agenten oder ein spezielles Programm zu installieren, um eine technische Aufgabe zu erfüllen”, so Coinspaid. Über die schädliche Software wurden Passwörter gestohlen. Dadurch konnten sich die Angreifer Zugang zum System verschaffen und Transaktionen autorisieren.

“In der modernen, hoch digitalisierten Welt ist es viel einfacher, einen Menschen auszutricksen als eine Computersoftware”, so Coinspaid. Letztlich sei es den Angreifern “durch die Manipulation eines Mitarbeiters” gelungen, die Infrastruktur anzugreifen.

Die Gelder wurden über Token-Swaps durch mehrere Blockchains geschleust. Dabei wurden Adressen verwendet, die bereits beim Hack der Atomic Wallet verwendet wurden. Sie werden Nordkoreas Hackerkollektiv Lazarus zugeschrieben. Außerdem habe es große Übereinstimmung bei den Vorgehensweisen gegeben. Die gleichen Swap-Dienste und Mixer sollen verwendet worden sein.

Wettlauf gegen die Zeit

Zwei Erkenntnisse lassen sich mitnehmen. Mitarbeiter werden immer häufiger zur Zielscheibe. Obendrein scheinen die Sicherheitsvorkehrungen nicht ausreichend gewappnet. “Obwohl viele Kryptounternehmen KYC-Maßnahmen ergreifen und Blockchain-Risiko-Scoring-Systeme verwenden, um verdächtige Aktivitäten zu erkennen, gelang es den Tätern dennoch, das Geld erfolgreich zu waschen”.

Laut Coinspaid wurden die Adressen der Hacker markiert. Dadurch soll verhindert werden, dass sich die Spur des Geldes verliert. Bis die Adressen registriert sind, dauert es jedoch etwa eine Stunde. In der Zeit wurden die Gelder längst auf neue Adressen verteilt. “Aufgrund dieser Schwachstelle ist das Blockchain-Scoring weitgehend unwirksam”, resümiert Coinspaid.

Finanzierung von Atomwaffen

Lazarus wird eine Reihe von Hackingangriffen zugeschrieben. Besonders folgenschwer war ein Angriff auf die “Ronin Bridge”, eine Ethereum-Sidechain für das NFT-Game Axie Infinity. Dabei wurden über 600 Millionen US-Dollar gestohlen.

Einem UN-Bericht zufolge hat Lazarus 1,7 Milliarden US-Dollar durch Hacks im letzten Jahr erbeutet. Die Gruppe untersteht dem Regime von Kim Jong-un. Gelder aus Cyber-Angriffen sollen zur Finanzierung von Atomwaffenprogrammen verwendet werden.