NORD KOREA
Von Andrés Ochoa
26. August 2023, 16:58 ET (20:58 GMT).
(ANFELIA_INVESTMENTV) – Ein Team südkoreanischer Spione und amerikanischer Privatdetektive traf sich im Januar in aller Stille beim südkoreanischen Geheimdienst, nur wenige Tage nachdem Nordkorea drei ballistische Raketen ins Meer abgefeuert hatte.
Sie hatten monatelang den Diebstahl von 100 Millionen US-Dollar von einem kalifornischen Kryptowährungsunternehmen namens Harmony verfolgt und darauf gewartet, dass nordkoreanische Hacker die gestohlenen Kryptowährungen auf Konten überwiesen, die in Dollar oder chinesische Yuan umgewandelt werden konnten, eine harte Währung, mit der das Programm finanziert werden konnte illegale Raketen des Landes.
Als die Zeit gekommen war, hatten die Spione und Detektive, die in einem Regierungsbüro in der Stadt Pangyo, bekannt als Südkoreas Silicon Valley, arbeiteten, nur wenige Minuten Zeit, um bei der Beschlagnahmung des Geldes zu helfen, bevor es über eine Reihe von Konten gewaschen und unantastbar werden konnte .
Schließlich übertrugen die Hacker Ende Januar einen Teil ihrer Beute auf ein an den Dollar gekoppeltes Kryptowährungskonto und gaben damit vorübergehend ihre Kontrolle ab. Spione und Ermittler griffen die Transaktion an und machten die US-Sicherheitskräfte darauf aufmerksam, die kurz davor standen, das Geld einzufrieren.
Pangyos Team half an diesem Tag, etwas mehr als eine Million Dollar zu beschlagnahmen. Obwohl Analysten CNN mitteilen, dass der Großteil der gestohlenen 100 Millionen US-Dollar in Form von Kryptowährungen und anderen von Nordkorea kontrollierten Vermögenswerten weiterhin außerhalb der Reichweite Nordkoreas liegt, handelte es sich um die Art von Beschlagnahmung, die die Vereinigten Staaten und ihre Verbündeten benötigen werden, um Pjöngjang daran zu hindern, große Gewinne zu erzielen.
Die verdeckte Operation, die CNN von privaten Ermittlern bei Chainalysis, einem in New York ansässigen Blockchain-Tracking-Unternehmen, beschrieben und vom südkoreanischen National Intelligence Service bestätigt wurde, bietet einen seltenen Einblick in die düstere Welt der Kryptowährungsspionage und der aufkeimenden Bemühungen, sie zu stoppen was für das autoritäre Regime Nordkoreas zu einem milliardenschweren Geschäft geworden ist.
Berichten der Vereinten Nationen (UN) und privater Unternehmen zufolge haben nordkoreanische Hacker in den letzten Jahren Milliarden von Dollar von Banken und Kryptowährungsunternehmen gestohlen. Wie Forscher und Aufsichtsbehörden erkannt haben, testet das nordkoreanische Regime immer ausgefeiltere Methoden, um das gestohlene digitale Geld zu waschen und in harte Währung umzuwandeln, sagen US-Beamte und private Experten gegenüber CNN.
Die Unterbrechung des Kryptowährungsflusses aus Nordkorea ist für die Vereinigten Staaten und Südkorea schnell zu einem nationalen Sicherheitsgebot geworden. Die Fähigkeit des Regimes, gestohlenes digitales Geld – oder Überweisungen von nordkoreanischen IT-Mitarbeitern im Ausland – zur Finanzierung seiner Waffenprogramme zu verwenden, ist Teil der üblichen Reihe von Geheimdienstprodukten, die hochrangigen US-Beamten vorgelegt werden, darunter gelegentlich auch Präsident Joe Biden, so a hochrangiger US-Beamter.
Kim Jong Un und seine Tochter nehmen an einer Militärparade zur Feier des Jahrestages der Gründung der nordkoreanischen Armee teil, bei der die neuesten Waffen des Regimes zur Schau gestellt wurden. (Quelle: Rodong Sinmun)
Die Nordkoreaner „brauchen Geld, also werden sie weiterhin kreativ sein“, sagte der Beamte gegenüber CNN. „Ich glaube nicht, dass sie aufhören werden, nach illegalen Wegen zu suchen, um an Geld zu kommen, denn es handelt sich um ein autoritäres Regime, das starken Sanktionen unterliegt.“
Nordkoreas Kryptowährungs-Hacking war eines der Hauptthemen bei einem Treffen am 7. April in Seoul, bei dem US-amerikanische, japanische und südkoreanische Diplomaten eine gemeinsame Erklärung herausgaben, in der sie beklagten, dass das Kim-Regime Jong Un weiterhin „seine knappen Ressourcen in seine Massenvernichtungswaffen (MVW) steckt Massenvernichtungswaffen) und Programme für ballistische Raketen.
„Wir sind auch zutiefst besorgt darüber, wie Nordkorea diese Programme unterstützt, indem es Gelder stiehlt und wäscht und durch böswillige Cyberaktivitäten Informationen sammelt“, heißt es in der trilateralen Erklärung, wobei das Akronym DPRK für die nordkoreanische Regierung verwendet wird.
Nordkorea hatte zuvor ähnliche Vorwürfe zurückgewiesen. CNN schickte eine E-Mail und rief die nordkoreanische Botschaft in London an, um eine Stellungnahme zu erhalten.
„North Korea Inc“ wird virtuell
Seit Ende der 2000er Jahre durchsuchen US-Beamte und ihre Verbündeten internationale Gewässer nach Anzeichen dafür, dass Nordkorea Sanktionen durch den Handel mit Waffen, Kohle oder anderen wertvollen Gütern entgeht – eine Praxis, die weiterhin besteht. Nun bieten Hacker und Geldwäscher aus Pjöngjang einerseits und Geheimdienste und Strafverfolgungsbehörden von Washington bis Seoul andererseits eine sehr moderne Variante dieses Wettbewerbs.
Das FBI und der Secret Service haben diese Bemühungen in den Vereinigten Staaten angeführt (beide Behörden lehnten eine Stellungnahme ab, als CNN fragte, wie sie nordkoreanische Geldwäsche verfolgen). Das FBI gab im Januar bekannt, dass es einen nicht näher bezeichneten Teil der 100 Millionen US-Dollar eingefroren hat, die Harmony gestohlen wurden.
Experten zufolge hat die Nachfolge von Mitgliedern der Kim-Familie, die Nordkorea in den letzten 70 Jahren regiert hat, alle Staatsunternehmen genutzt, um die Familie zu bereichern und das Überleben des Regimes zu sichern.
Es ist ein Familienunternehmen, das der Akademiker John Park „North Korea Inc.“ nennt.
Kim Jong Un, der derzeitige Diktator Nordkoreas, „nutzte Cyber-Fähigkeiten und Kryptowährungsdiebstahl verstärkt als Einnahmequelle für sein Familienregime“, sagte Park, der das Korea-Projekt am Belfer Center der Harvard Kennedy School leitet. „North Korea Inc. wurde virtuell“ .
Im Vergleich zum Kohlehandel, auf den Nordkorea in der Vergangenheit als Einnahmen angewiesen war, sei der Diebstahl von Kryptowährungen viel weniger arbeits- und kapitalintensiv, sagte Park. Und die Vorteile sind astronomisch.
Laut Chainalysis wurden im vergangenen Jahr weltweit Kryptowährungen im Rekordwert von 3,8 Milliarden US-Dollar gestohlen. Fast die Hälfte dieses Betrags, 1,7 Milliarden US-Dollar, sei das Werk von Hackern mit Verbindungen zu Nordkorea gewesen, sagte das Unternehmen.
Der gemeinsame Analyseraum des National Cybersecurity Cooperation Center des National Intelligence Service of South Korea. (Quelle: National Intelligence Service of South Korea)
Es ist nicht bekannt, wie viel von den Milliarden gestohlener Kryptowährung Nordkorea in Bargeld umwandeln konnte. In einem Interview lehnte es ein Beamter des US-Finanzministeriums, der sich auf Nordkorea konzentrierte, ab, eine Schätzung abzugeben. Die öffentlichen Aufzeichnungen über Blockchain-Transaktionen helfen US-Beamten dabei, die Bemühungen mutmaßlicher nordkoreanischer Agenten zur Übertragung von Kryptowährungen zu verfolgen, sagte der Beamte des Finanzministeriums.
Aber wenn Nordkorea Hilfe von anderen Ländern erhält, um dieses Geld zu waschen, sei das „unglaublich besorgniserregend“, sagte der Beamte. (Sie lehnten es ab, ein bestimmtes Land zu nennen, aber die Vereinigten Staaten haben im Jahr 2020 zwei Chinesen angeklagt, weil sie angeblich mehr als 100 Millionen US-Dollar für Nordkorea gewaschen haben.)
Laut einem von CNN überprüften privaten UN-Bericht vom Februar haben Hacker aus Pjöngjang auch die Netzwerke mehrerer ausländischer Regierungen und Unternehmen auf der Suche nach wichtigen technischen Informationen durchsucht, die für ihr Atomprogramm nützlich sein könnten.
Starke Maßnahmen
Ein Sprecher des südkoreanischen Geheimdienstes sagte gegenüber CNN, dass der Geheimdienst ein „schnelles Informationsaustauschsystem“ mit Verbündeten und privaten Unternehmen entwickelt habe, um auf die Bedrohung zu reagieren, und nach neuen Wegen suche, um den Schmuggel gestohlener Kryptowährungen nach Nordkorea zu verhindern .
Die jüngsten Bemühungen konzentrierten sich auf die Nutzung sogenannter Mixing-Dienste durch Nordkorea, öffentlich zugängliche Tools, mit denen die Herkunft von Kryptowährungen verschleiert werden soll.
Am 15. März gaben das Justizministerium und die europäischen Strafverfolgungsbehörden die Schließung eines Mischdienstes namens ChipMixer bekannt, mit dem die Nordkoreaner angeblich einen nicht näher bezeichneten Betrag der rund 700 Millionen US-Dollar gewaschen haben, die Hacker bei drei verschiedenen Kryptowährungsdiebstählen, darunter dem Diebstahl, gestohlen hatten 100 Millionen US-Dollar von Harmony, dem kalifornischen Kryptowährungsunternehmen.
Private Ermittler nutzen Blockchain-Tracking-Software – und ihre eigenen Augen, wenn die Software sie alarmiert –, um genau zu bestimmen, wann gestohlene Gelder die Hände der Nordkoreaner verlassen und beschlagnahmt werden können. Diese Ermittler benötigen jedoch vertrauensvolle Beziehungen zu Strafverfolgungsbehörden und Kryptowährungsunternehmen, um schnell genug handeln und die Gelder zurückfordern zu können.
Einer der bisher größten US-Gegenangriffe erfolgte im August, als das Finanzministerium einen Kryptowährungs-„Mischdienst“ namens Tornado Cash sanktionierte, der angeblich 455 Millionen US-Dollar für nordkoreanische Hacker gewaschen hatte.
Tornado Cash war besonders wertvoll, weil es liquider als andere Dienste war und es so ermöglichte, nordkoreanisches Geld leichter in anderen Geldquellen zu verstecken. Tornado Cash wickelt jetzt weniger Transaktionen ab, nachdem die Sanktionen des Finanzministeriums Nordkoreaner gezwungen haben, andere Mischdienste in Anspruch zu nehmen.
Laut Chainalysis haben mutmaßliche nordkoreanische Agenten im Dezember und Januar 24 Millionen US-Dollar über einen neuen Mischdienst, Sinbad, überwiesen, aber es gibt noch keine Anzeichen dafür, dass Sinbad beim Geldtransfer genauso effektiv ist wie Tornado Cash.
Die Leute hinter Mixing-Diensten, wie Roman Semenov, Entwickler von Tornado Cash, bezeichnen sich oft als Befürworter der Privatsphäre, die argumentieren, dass ihre Kryptowährungstools wie jede Technologie zum Guten oder zum Bösen eingesetzt werden können. Doch das hat die Sicherheitskräfte nicht davon abgehalten, hart durchzugreifen. Im August verhaftete die niederländische Polizei einen weiteren mutmaßlichen Schöpfer von Tornado Cash, dessen Name nicht bekannt gegeben wurde, wegen angeblicher Geldwäsche.
Private Kryptowährungs-Tracking-Unternehmen wie Chainalysis verlassen sich zunehmend auf ehemalige amerikanische und europäische Strafverfolgungsbeamte, die ihre Erkenntnisse aus der Geheimwelt anwenden, um die Geldwäsche in Pjöngjang aufzuspüren.
Elliptic, ein in London ansässiges Unternehmen, das ehemalige Polizeibeamte beschäftigt, sagte, es habe dazu beigetragen, 1,4 Millionen US-Dollar an nordkoreanischem Geld zu beschlagnahmen, das im Rahmen des Harmony-Hacks gestohlen wurde. Elliptic-Analysten sagten gegenüber CNN, dass sie das Geld im Februar in Echtzeit verfolgen konnten, als es kurzzeitig zu zwei beliebten Kryptowährungsbörsen, Huobi und Binance, wechselte. Analysten sagen, sie hätten die Märkte schnell benachrichtigt, woraufhin das Geld eingefroren wurde.
„Es ist ein bisschen wie große Drogenimporte“, sagte Tom Robinson, Mitbegründer von Elliptic, gegenüber CNN. „Die Nordkoreaner sind bereit, einen Teil des Geldes zu verlieren, aber das meiste geht wahrscheinlich aufgrund des Umfangs und der Geschwindigkeit verloren, mit der sie es tun, und sie sind ziemlich raffiniert.“
Die Nordkoreaner versuchen nicht nur, Kryptowährungsunternehmen zu bestehlen, sondern auch direkt andere Kryptowährungsdiebe.
Nachdem ein unbekannter Hacker im März 200 Millionen US-Dollar vom britischen Unternehmen Euler Finance gestohlen hatte, versuchten mutmaßliche nordkoreanische Agenten, eine Falle zu stellen: Sie schickten dem Hacker eine Nachricht auf der Blockchain, die eine Schwachstelle aufwies, die ein Versuch gewesen sein könnte, an die Gelder zu gelangen zu Elliptisch. (Der Trick hat nicht funktioniert.)
Nick Carlsen, der sich bis 2021 als FBI-Geheimdienstanalyst auf Nordkorea konzentrierte, schätzt, dass es in diesem Land möglicherweise nur ein paar Hundert Menschen gibt, die sich auf die Aufgabe konzentrieren, Kryptowährungen auszunutzen, um Sanktionen zu umgehen.
Angesichts der internationalen Bemühungen, unehrliche Kryptowährungsbörsen zu sanktionieren und gestohlenes Geld zu beschlagnahmen, befürchtet Carlsen, dass Nordkorea auf weniger auffällige Formen des Betrugs zurückgreifen könnte. Anstatt 500 Millionen Dollar von einer Kryptowährungsbörse zu stehlen, könnten die Agenten Pjöngjangs, so schlug er vor, ein Schneeballsystem auf die Beine stellen, das viel weniger Aufmerksamkeit erregen würde.
Doch selbst bei geringen Gewinnspannen sei der Diebstahl von Kryptowährungen immer noch „enorm profitabel“, sagte Carlsen, der jetzt bei der Betrugsermittlungsfirma TRM Labs arbeitet. „Sie haben also keinen Grund, damit aufzuhören.“