In der Kryptowährung Ökosystem haben Münzen eine Geschichte, die in den unveränderlichen Blockchains verfolgt wird, die ihre Wirtschaft untermauern. Die einzige Ausnahme ist in gewissem Sinne Kryptowährung, die durch die Rechenleistung ihres Besitzers neu generiert wurde. Es stellt sich also heraus, dass nordkoreanische Hacker damit begonnen haben, einen neuen Trick anzuwenden, um die Münzen zu waschen, die sie Opfern auf der ganzen Welt stehlen: Zahlen Sie ihre schmutzigen, gestohlenen Münzen an Dienste, die es ihnen ermöglichen, unschuldige neue abzubauen.
Heute veröffentlichte die Cybersicherheitsfirma Mandiant einen Bericht über eine produktive, vom Staat Nordkorea geförderte Hacking-Gruppe, die sie jetzt APT43 nennt, die manchmal unter den Namen Kimsuky und Thallium bekannt ist. Die Gruppe, deren Aktivitäten darauf hindeuten, dass ihre Mitglieder im Dienst der nordkoreanischen Spionagebehörde Reconnaissance General Bureau arbeiten, konzentriert sich seither hauptsächlich auf Spionage, das Hacken von Denkfabriken, Akademikern und der Privatindustrie von den USA bis nach Europa, Südkorea und Japan mindestens 2018, hauptsächlich mit Phishing-Kampagnen, die darauf abzielen, Anmeldeinformationen von Opfern zu sammeln und Malware auf ihren Computern zu installieren.
Wie viele nordkoreanische Hackergruppen unterhält auch APT43 laut Mandiant eine Nebenbeschäftigung in der gewinnorientierten Cyberkriminalität und stiehlt jede Kryptowährung, die das nordkoreanische Regime bereichern oder auch nur die eigenen Operationen der Hacker finanzieren kann. Und während die Regulierungsbehörden weltweit ihren Griff auf Börsen und Geldwäschedienste verschärft haben, die Diebe und Hacker verwenden, um kriminell verdorbene Münzen auszuzahlen, scheint APT43 eine neue Methode auszuprobieren, um die gestohlenen Gelder auszuzahlen und gleichzeitig zu verhindern, dass sie beschlagnahmt oder eingefroren werden: Es zahlt diese gestohlene Kryptowährung in „Hashing-Dienste“ ein, die es jedem ermöglichen, Zeit auf Computern zu mieten, die zum Schürfen von Kryptowährung verwendet werden, und neu geschürfte Münzen zu ernten, die keine offensichtliche Verbindung zu kriminellen Aktivitäten haben.
Dieser Mining-Trick ermöglicht es APT43, die Tatsache auszunutzen, dass Kryptowährung relativ leicht zu stehlen ist, und gleichzeitig die forensische Spur von Beweisen zu vermeiden, die sie auf Blockchains hinterlässt, was es Dieben erschweren kann, Geld auszuzahlen. „Es unterbricht die Kette“, sagt Joe Dobson, ein Mandiant Threat Intelligence Analyst. „Das ist wie ein Bankräuber, der Silber aus einem Banktresor stiehlt und dann zu einem Goldschürfer geht und den Schürfer mit gestohlenem Silber bezahlt. Alle suchen nach dem Silber, während der Bankräuber mit frischem, neu geschürftem Gold herumläuft.“
Mandiant sagt, dass es im August 2022 zum ersten Mal Anzeichen für die miningbasierte Wäschetechnik von APT43 sah. Seitdem sind Kryptos im Wert von Zehntausenden von Dollar in Hashing-Dienste geflossen – Dienste wie NiceHash und Hashing24, die es jedem ermöglichen, Rechenleistung zu kaufen und zu verkaufen um die als „Hashes“ bekannten mathematischen Zeichenfolgen zu berechnen, die zum Schürfen der meisten Kryptowährungen erforderlich sind – von dem, was es für APT43-Krypto-Wallets hält. Mandiant sagt, es seien auch ähnliche Beträge aus Mining-„Pools“ in APT43-Wallets geflossen, Dienste, die es Minern ermöglichen, ihre Hashing-Ressourcen einer Gruppe beizusteuern, die einen Anteil an jeder Kryptowährung auszahlt, die die Gruppe gemeinsam abbaut. (Mandiant lehnte es ab, die Hashing-Dienste oder die Mining-Pools zu nennen, an denen APT43 beteiligt war.)
Theoretisch sollten die Auszahlungen aus diesen Pools sauber sein, ohne Verbindungen zu den Hackern von APT43 – das scheint schließlich der Punkt der Geldwäsche der Gruppe zu sein. Aber in einigen Fällen von operativer Schlamperei stellte Mandiant fest, dass die Gelder dennoch mit Krypto in Wallets vermischt waren, die es zuvor durch seine jahrelange Verfolgung von APT43-Hacking-Kampagnen identifiziert hatte.