Nordkoreanische Hacker führen umfangreiche, staatlich geförderte Raubzüge durch, um die Wirtschaft und das Nuklearprogramm des Landes zu finanzieren

Nordkoreasechsmonatige Infiltrationskampagne bei Drift erschütterte eine Kryptoindustrie, die sich bereits von milliardenschweren Angriffen erholte.

Aber als sich die Nachrichten beruhigten, eine größere Frage rückte in den Fokus: Warum kehrt Nordkorea überhaupt immer wieder zum Thema Kryptowährungen zurück, und warum unterscheidet sich sein Vorgehen so stark von allen anderen staatlich unterstützten Hackeroperationen weltweit?

Die kurze Antwort, laut Sicherheitsexperten, ist, dass Krypto dem Regime eine Einnahmequelle verschafft und es finanziell über Wasser hält.

„Nordkorea hat nicht den Luxus der Geduld“, sagte Dave Schwed, Chief Operating Officer bei SVRN und Gründer des Cybersecurity-Masterprogramms an der Yeshiva University. „Das Land steht unter umfassenden internationalen Sanktionen und benötigt harte Währung, um Waffenprogramme zu finanzieren. Die UN und mehrere Geheimdienste “haben bestätigt, dass Krypto-Diebstahl eine Hauptfinanzierungsquelle darstellt" Mechanismus für ihre nukleare und ballistische Raketentwicklung."

Diese Dringlichkeit erklärt eine Dynamik, die Ermittler seit Langem ratlos macht: warum Nordkoreanische Hacker führen umfangreiche, nachvollziehbare Raubzüge auf öffentlichen Blockchains anstelle der stillschweigenden Nutzung von Krypto zur Umgehung von Sanktionen, wie es andere staatliche Akteure tun.

Die Antwort, argumentiert Schwed, ist struktureller Natur. Russland verfügt weiterhin über eine funktionierende Wirtschaft: Öl-, Gas- und Rohstoffexporte sowie Handelspartner, die bereit sind, Umgehungslösungen zu nutzen. Es benötigt Kryptowährungen als Zahlungsweg, jedoch kaum darüber hinaus. Auch der Iran hat Waren zu bewegen – sanktioniertes Öl, Finanzierung über Stellvertreternetzwerke, bereitwillige Vermittler im Nahen Osten. Nordkorea hingegen hat kaum noch etwas zu verkaufen.

"Ihre Exporte sind nahezu vollständig sanktioniert. Sie verfügen nicht über eine funktionsfähige Wirtschaft, die ein Zahlungssystem benötigt. Sie benötigen direkte Einnahmen", sagte Schwed. "Krypto-Diebstahl verschafft ihnen sofortigen Zugang zu liquiden Werten weltweit, ohne dass ein Geschäftspartner bereit sein muss, mit ihnen Geschäfte zu machen."

Diese Unterscheidung — Krypto als Infrastruktur versus Krypto als Ziel — ist es, die Nordkorea nicht nur von Russland, sondern auch von Iran unterscheidet. Während Russland weiterleitetGeld durch Krypto transferieren, um Sanktionen zu umgehen, und Iran nutzt es zur Finanzierung von Proxy-Netzwerken über der Nahostregion , Nordkorea führt etwas näher an einer staatlich unterstützten Raubzugoperation.

"Ihre Ziele sind Börsen, Wallet-Anbieter, DeFi-Protokolle sowie die einzelnen Ingenieure und Gründer, die Unterschriftsbefugnis oder Zugang zur Infrastruktur besitzen", sagte Alexander Urbelis, Chief Information Security Officer bei ENS Labs und Professor für Cybersicherheit am King’s College London. "Das Opfer ist derjenige, der die Schlüssel oder den Zugang zur Infrastruktur besitzt, die die Schlüssel verwahrt."

Russland und Iran hingegen betrachten Kryptowährungen als nebensächlich, ein Mittel zu weiter gefassten geopolitischen Zielen.

"Russland zielt auf Wahlen, Energieinfrastruktur und Regierungssysteme ab. Der Iran geht gegen Dissidenten und regionale Gegner vor", sagte Urbelis. "Wenn einer von beiden die Kryptowährungen berührt, dann um Geld zu bewegen, nicht um es aus dem Ökosystem zu stehlen."

Dieser unerschütterliche Fokus hat nordkoreanische Agenten dazu veranlasst, Taktiken zu übernehmen, die eher mit Geheimdiensten als mit kriminellen Hackern in Verbindung gebracht werden: monatelange Beziehungsarbeit, erfundene Identitäten und Infiltration der Lieferkette.

Die Drift-Kampagne ist nur das jüngste Beispiel.

„Sie verteidigen sich nicht gegen eine Phishing-E-Mail von einem beliebigen Betrüger“, sagte Urbelis. „Sie verteidigen sich gegen jemanden, der sechs Monate damit verbracht hat, eine Beziehung aufzubauen, um gezielt eine Person zu kompromittieren, die über den Zugang verfügt, den Sie schützen müssen.“

Die eigene Architektur von Crypto macht es zu einem einzigartig attraktiven Jagdrevier. Im traditionellen Finanzwesen stoßen selbst erfolgreiche Hacks auf Hindernisse in Form von Compliance-Prüfungen, Korrespondenzbank-Checks, Abwicklungsverzögerungen und der Möglichkeit, betrügerische Überweisungen rückgängig zu machen. Als Nordkoreas Hacker über den Raubüberfall auf die Bangladesh Bank im Jahr 2016, der Raubzug benötigte Tage zur Abwicklung, und die meisten Gelder wurden letztlich wiederhergestellt oder blockiert. Im Kryptobereich existieren keine dieser Schutzmechanismen auf Protokollebene.

„Sobald eine Transaktion unterzeichnet und bestätigt ist, ist sie endgültig“, sagte Urbelis. Die Bybit-Exploit Anfang letzten Jahres bewegte innerhalb von etwa 30 Minuten 1,5 Milliarden US-Dollar – ein Tempo und ein Umfang, die im traditionellen Bankensystem nahezu unmöglich wären.

Diese Endgültigkeit verändert die Sicherheitsabwägung grundlegend. Im Bankwesen kann eine angemessene Verteidigung über Prävention, Erkennung und Reaktion aufgebaut werden, da stets ein Zeitfenster besteht, um Gelder einzufrieren oder eine Überweisung rückgängig zu machen. Im Kryptobereich existiert dieses Zeitfenster kaum, was bedeutet, dass das Stoppen eines Angriffs, bevor er geschieht, nicht nur wünschenswert ist – es ist im Wesentlichen die einzige Option.

Und während Banken unter jahrzehntelanger regulatorischer Aufsicht und Prüfungsanforderungen operieren, improvisieren viele Krypto-Projekte noch — oft mit dem Fokus auf Geschwindigkeit und Innovation statt auf Governance und Kontrollen.

Diese Lücke schafft ein Umfeld, in dem selbst hochentwickelte Teams anfällig sein können, insbesondere gegenüber den langfristigen Infiltrationstaktiken, die Nordkorea verfeinert hat.

"Dies ist derzeit das schwierigste operative Sicherheitsproblem im Bereich der Kryptowährungen“, sagte Urbelis bezüglich der Herausforderung, gegen ausgeklügelte gefälschte Identitäten und Drittmittler vorzugehen. „Ich glaube nicht, dass die Branche dieses Problem gelöst hat.“

Weiterlesen: Wie Nordkoreas sechsmonatiges geheimes Spionageprogramm die Krypto-Community dazu bringt, die Sicherheit neu zu überdenken