Eine zu Weihnachten erstellte Schadsoftware verbreitet sich derzeit in aller Welt. Das ausführbare Programm schürft auf den Zielrechnern die Kryptowährung Monero und versucht das Guthaben an die Kim-Il-sung-Universität in Pjöngjang zu schicken. Wie die Sicherheitsforscher von AlienVault berichten, misslingt dies aber in den meisten Fällen.

Bislang ist unklar, ob es sich tatsächlich um nordkoreanische Hacker handelt oder ob jemand lediglich versucht, es so aussehen zu lassen. Wie AlienVault berichtet, misslang der Transfer des geschürften Monero-Guthabens bisher, weil der im Quellcode eingetragene Host unbekannt ist. Möglicherweise lief der Installer zunächst ausschließlich in einem abgeschlossenen Netzwerk, die Adresse des Zielrechners existiert nicht mehr oder aber, was am wahrscheinlichsten ist, jemand versucht die Sicherheitsforscher zu täuschen und es so aussehen zu lassen, als ob Nordkorea hinter der neuen Malware-Attacke steckt.

Es könnte auch sein, dass es sich um eine frühe Beta-Version des Programms handelt, die ungewollt im Netz verbreitet wurde. Oder aber das Minen auf den Zielrechnern geschah mit Einwilligung der Eigentümer der Computer. All das würde zumindest erklären, warum das geschürfte Guthaben nicht mit Erfolg an die nordkoreanische Kim-Il-sung-Universität in Pjöngjang geschickt werden kann. Auch das von den Hackern benutzte Passwort „KJU" zielt überdeutlich auf Nordkorea ab, weil dies die Anfangsbuchstaben des Machthabers Kim Jong-un sind. Allerdings ist fraglich, warum der Hinweis so überaus deutlich platziert werden sollte.

In Anbetracht der Wirtschaftssanktionen ist der Einsatz von Kryptowährungen für Nordkorea hochgradig interessant. Insbesondere beim Einsatz von Monero kann niemand der Spur des Geldes folgen. Laut Medienberichten soll sich Nordkorea derzeit auf das Hacken von Wallets konzentrieren, um zu Vermögen zu kommen. Der südkoreanische Geheimdienst hat schon mehrfach ausgesagt, dass Nordkorea in Cyberangriffe auf südkoreanische Online-Handelsplätze verwickelt ist. Die jüngsten Opfer sind die Handelsplätze YouBit und bithumb, um nur zwei Beispiele zu nennen. Verdächtigt werden auch die nordkoreanischen Hackergruppen Bluenorroff und Andariel, die nach der erfolgreichen Übernahme mehrerer Firmenserver dort zunächst Schadsoftware zum Schürfen von Monero installiert haben. Mit der jetzigen Schadsoftware haben diese Angriffe aber nichts zu tun. Der momentan verbreitete Installer wurde laut AlienVault recht amateurhaft in Visual Basic programmiert. Dieses Vorgehen sieht nach Ansicht der Sicherheitsforscher keiner der genannten Hackergruppen ähnlich.