13:20 min
Politik | frontal:Sicherheitsrisiko Kritische Infrastruktur
von Beate Frenkel und Michael Haselrieder
"Kimsuky"-Cyberangriffe:Nordkoreas Hacker: Diehl Defence im Visier
von Hakan Tanriverdi
|
Fake-Jobangebote und eine gefälschte Website: Hacker von "Kimsuky" haben offenbar versucht, sensible Daten zur Militärtechnik des Rüstungskonzerns Diehl Defence zu stehlen.
Militärtechnik von Diehl Defence: Nordkorea lässt sich offenbar durch Hacker Daten beschaffen.
Quelle: Reuters
Flugabwehrraketen der baden-württembergischen Firma Diehl Defence schützen die ukrainische Hauptstadt vor russischen Angriffen - offenbar recht erfolgreich. "Jeder Schuss ein Treffer", kommentierte Kiews Bürgermeister Vitali Klitschko im März 2023 die deutsche Militärtechnik im Verteidigungskrieg gegen Russland.
Auch die Bundesregierung plant mit Technik von Diehl. So sollen drei neue Regierungsflieger mit einem Raketenabwehrsystem aufgerüstet werden.
"Kimsuky"-Hacker im Auftrag Nordkoreas
Nach Recherchen von ZDF frontal und "Spiegel" haben nordkoreanische Hacker in einer monatelangen Operation versucht, Informationen zur Militärtechnik des deutschen Rüstungskonzerns zu erbeuten.
Die Hacker haben mit Spionagesoftware versehene Fake-Jobangebote verschickt, versucht, Passwörter zu stehlen und ihr Vorgehen trickreich getarnt. Die Hackergruppe wird in Sicherheitskreisen "Kimsuky" genannt und arbeitet demnach für den militärischen Nachrichtendienst Nordkoreas. Sie soll im Auftrag der Regierung sensible Informationen beschaffen.
IT-Experten beobachten "Kimsuky" schon länger
Bereits im ersten Quartal 2024 konnten IT-Sicherheitsexperten der Firma Mandiant die Hacker von "Kimsuky" beobachten. Sie hätten sich für "bestimmte Postleitzahlen" interessiert und Informationen gesucht, "wie man in Deutschland Telefonnummern registriert", sagt Michael Barnhart, ein IT-Sicherheitsexperte der Firma, die zu Google gehört.
Recherchen zeigen, dass die Hacker Mitte April eine Webseite aufgesetzt haben, die Rückschlüsse darauf zulässt, auf wen es "Kimsuky" abgesehen hatte. Die Webseite nutzte den Namen des Rüstungskonzerns, allerdings falsch geschrieben: Dihl Defence - ein "e" fehlt.
Spionage-Software über Fake-Jobangebote
Die Hacker verschickten Fake-Jobangebote: Als Sicherheitsbeauftragter in Berlin solle man bis zu 100.000 US-Dollar Gehalt bekommen, bei einer Arbeitszeit von "fünf bis sieben Stunden". Wer das Dokument öffnete, tappte in eine Falle und landete auf dem Server der Hacker. Von dort lud sich unbemerkt Spionage-Software auf den Rechner.
Der Server der Hacker trug Überlingen im Webseiten-Namen. In Überlingen hat Diehl Defence seinen Firmensitz. Die Spionage-Software kann unter anderem Screenshots aufnehmen, sämtliche Dateien anzeigen lassen und zusätzliche Software nachladen.
Auf dieser "Überlingen"-Seite setzten die Hacker zudem ein Login-Portal auf, angeblich von der Deutschen Telekom. Wer versuchte, sich dort mit seinen Telekom-Daten einzuloggen, übergab diese Information unwissentlich an die Hacker. So wollten die Hacker von "Kimsuky" an Nutzernamen und Passwörter gelangen.
Diehl Defence äußert sich nicht
Auf Anfrage wollte sich Diehl Defence nicht äußern. Ein Sprecher teilte mit, dass man sich "allgemein gegen alle Bedrohungen" wappne. Zu Einzelheiten bezog der Konzern keine Stellung. Das Bundesamt für Sicherheit in der Informationstechnik bestätigt auf Anfrage, über eine seit Mai 2024 laufende "Deutschland-Kampagne" der Hacker in Kenntnis zu sein.
Bereits im Februar hatten ZDF, "Spiegel" und der österreichische "Standard" berichtet, dass die Hacker von "Kimsuky" Nuklearwaffenforscher, die Berliner Stiftung Wissenschaft und Politik und auch Rüstungskonzerne im Fokus hatten. Diese neuen Aktivitäten zeigen: Nordkorea braucht weiter sensible Informationen, "Kimsuky" soll sie besorgen.
Thema
Mehr zu Cyberkriminalität
Exklusiv
Rüstungsunternehmen im Visier:Nordkoreas Hacker mit deutschen Zielen
von Julia Klaus, Hannes Munzinger und Hakan Tanriverdi