Der Verfassungsschutz hat Forschungseinrichtungen und Unternehmen der Rüstungsindustrie vor aufwendigen Cyberattacken zweier nordkoreanischer Hackergruppen gewarnt.

Ziel der Spionageangriffe sei der "Diebstahl fortschrittlicher Rüstungstechnologien", heißt es in einem Sicherheitshinweis, den das Bundesamt für Verfassungsschutz am Montag gemeinsam mit dem südkoreanischen Geheimdienst (NIS) veröffentlichte. Dabei gehe es Nordkorea darum, "konventionelle Waffen zu modernisieren und deren Leistung zu verbessern sowie neue strategische Waffensysteme einschließlich ballistischer Raketen, Aufklärungssatelliten und U-Boote zu entwickeln".

Da Rüstungskonzerne in der Regel besonders große Anstrengungen unternehmen, um ihre Daten vor unerlaubtem Zugriff zu schützen, pirscht sich die unter dem Namen "Lazarus" bekannte Gruppierung den Angaben zufolge über Umwege an ihre Opfer heran. Zuerst werde ein Profil in einem Online-Jobportal erstellt, um den Eindruck zu erwecken, man habe es hier mit einem Headhunter zu tun, der auf der Suche nach Programmierern und anderen Fachkräften sei. Über das Portal nehme "Lazarus" dann Kontakt zu einem Mitarbeiter des Rüstungsunternehmens auf und verleitet ihn schließlich nach einem längeren schriftlichen Austausch dazu, auf einen anderen Kanal wie etwa Skype, WhatsApp oder Telegram zu wechseln. Über diesen Kanal sende der Angreifer dann eine Datei oder einen Link mit versteckter Schadsoftware zu, unter dem Vorwand, detaillierte Informationen zu der angebotenen Stelle oder eine Programmieraufgabe im Rahmen des Rekrutierungsprozesses übermitteln zu wollen.

Nach Angaben aus Sicherheitskreisen gab es solche sogenannten Social-Engineering-Angriffe auch schon gegen deutsche Firmen, während eine andere bereits im Ausland beobachtete Methode des Eindringens über einen Dienstleister nach Informationen der Deutschen Presse-Agentur in Deutschland zumindest noch nicht aufgefallen ist. In einem dazu veröffentlichten Beispiel war laut Verfassungsschutz ein vermutlich nordkoreanischer Cyberakteur zunächst über gezieltes Phishing in das Netz eines Unternehmens eingedrungen, das für die Wartung des Webservers eines Forschungszentrums für See- und Schifffahrtstechnologie verantwortlich war, um dann dort Daten zu stehlen.