Nordkorea offline: Ein Hacker attackiert eine Nation

Beobachter des nordkoreanischen Internets haben in den vergangenen Wochen seltsames festgestellt. Wichtige Internet-Infrastruktur ist immer mal wieder offline gegangen, kam dann wieder online und wurde dann wieder vom Netz getrennt. Zeitweise seien sogar sämtliche Verbindungen des Landes nach aussen gekappt worden. Waren Raketentests irgendwie verantwortlich?

Anscheinend nicht. Angeblich war es ein Amerikaner, der sich P4x nennt. Er hat dem Magazin «Wired» erzählt, wie und wieso er angeblich einen Cyberangriff auf einen Staat gestartet hat.

P4x kämpft einen Kampf an zwei Fronten. Zum einen nimmt er es mit dem Regime Kim Jong-Un auf, auf der anderen Seite fordert er von der US-Regierung mehr Aktivität oder mindestens mehr Kommunikation.

Ein Jahr bis zum Hack

P4x hat sich Nordkorea nicht zufällig ausgesucht. Im Januar 2021 spielt ihm ein Hacker ein Tool zu, das er ausprobieren wollte. Kurz darauf liest P4x ein Security Advisory, dass nordkoreanische Hacker – allesamt Staatsangestellte – versuchen, in die Systeme von Sicherheitsexperten einzudringen und deren Tools zu stehlen.

Der Nordkorea-Hacker hat Glück. Er hat das Tool aus Vorsicht in einer Virtual Machine geöffnet und so erhielt das nordkoreanische Remote Access Tool (RAT) keinen Zugriff auf sein System. Er meldet diesen Vorfall dem FBI. P4x wird mit «We take security very seriously» oder etwas Ähnlichem abgespeist. Das ist ein Satz, der beruhigend wirken soll, aber nach unzähligen Hacks zur leeren Worthülse verkommen ist.

P4x hat gewartet. Ein Jahr lang. Auf ein Statement der Regierung. Einen Gegenschlag. Irgendwas. Doch nichts geschah. P4x hat nie wieder vom FBI oder der ebenfalls eingeschalteten Cybersecurity and Infrastructure Security Agency (CISA) gehört.

Derweil werden Sicherheitsexperten von Nordkorea angegriffen, ihre Tools gestohlen. Diese können von einem, der Böses im Schilde führt, missbraucht werden. Der ehemalige NSA-Hacker und Autor Dave Aitel beschreibt die möglichen Ausmasse des Tool-Diebstahls als «zweites SolarWinds». Diese Schwachstelle in der gleichnamigen Software hat im Jahr 2020 Hackern unbefugten Zutritt zu tausenden Regierungssystemen und Netzwerken von Firmen ermöglicht. Der Schaden war enorm.

Im Januar 2022, ein Jahr nach dem Angriff, hat P4x genug. Er sinnt nicht auf Rache, aber er will ein Zeichen setzen. Er will Nordkorea zeigen, dass das Land nicht einfach straflos Hacker angreifen kann. Und er will dem FBI und der CISA zeigen, dass sie ihre Verantwortung nicht wahrgenommen haben. Ihre Aufgabe sei der Schutz des amerikanischen Volkes. Es ginge nicht, dass nordkoreanische Hacker straflos davonkommen.

Der Hack, der keiner ist

Welche Schwachstellen er ausgenutzt hat, will P4x Wired nicht verraten. «Sonst könnte Nordkorea diese Lücken stopfen», sagt der Mann, der sich nicht in der Schuld fühlt, einen internationalen Hacker-Angriff lanciert zu haben.

Er habe Prinzipien, sagt er. Er wolle nicht, dass das nordkoreanische Volk zu Schaden kommt. Ihm gehe es darum, dem Regime unter Diktator Kim Jong-Un einen Riegel zu schieben.

Es sei einfach, das Land lahmzulegen. Das liege zum einen an der einzigartigen Infrastruktur des Netzes namens 광명, umgeschrieben Kwangmyong, zum anderen daran, dass viele Systeme Nordkoreas veraltet seien.

Der US-amerikanische Hacker hat schnell Schwachstellen gefunden. Da sei eine Version von Nginx im Einsatz, die eine Schwachstelle in HTTP Headers hat. Diese auszunutzen sei einfach gewesen. So konnte er alleine eine effektive Denial-of-Service-Attacke auf ein ganzes Land starten. Er hat die Headers dazu genutzt, Nginx zu überlasten. Dann sei die Serversoftware abgestürzt und habe die Verbindung zu anderen Computern unterbrochen.

P4x sieht den Angriff nicht nur als Angriff. Er betreibt Forschung. Er will genau wissen, wie das nordkoreanische Internet auf technologischer Ebene funktioniert. Seine Informationen sollen so detailliert wie möglich sein, er will jede Schwachstelle kennen. Er vermutet im nordkoreanischen Betriebssystem Red Star OS Schwachstellen und hat begonnen, dieses zu untersuchen. Red Star OS basiert auf Linux – vermutlich Fedora – und ist laut allen international vorhandenen Informationen uralt. Die aktuellste Version des Archivdienstes ArchiveOS datiert die dort gehostete Version von Red Star OS auf 2019.

Die Angriffe aus dem Wohnzimmer P4xs sind grösstenteils automatisiert. «Das ist wie ein kleiner bis mittelgrosser Pentest», sagt er zu Wired und deutet darauf hin, dass er im echten Leben Security Researcher ist oder war. Denn ein Pentest ist ein Kürzel für einen Penetration Test.

«Es ist überraschend einfach, in Nordkorea irgendeinen Effekt zu erzielen», sagt er. Und er gibt an, dass er mit den Denial-of-Service-Angriffen noch nicht am Ende ist.

P4x gründet das FUNK Project im Darknet

Die Angriffe P4xs sorgten für Kritik. «Die Hacker, die P4x vergangenes Jahr angegriffen haben, sind höchstwahrscheinlich in China», sagt Martyn Williams, Forscher beim 38 North Project, einer Analysestelle für alles Nordkoreanische. P4x gibt zu, dass seine Aktionen dem nordkoreanischen Regime höchstens auf den Nerv gehen, aber sonst nichts. Kein Schaden, kein nachhaltiger Eindruck. «Was ich bisher gemacht habe,entspricht in etwa dem Herunterreissen eines Propagandaposters oder einem Graffiti», sagt P4x gegenüber Wired.

Bisher.

Doch P4x hat Blut geleckt. In einer nächsten Phase – aktuell sei er in der Analysephase – will er in nordkoreanische Systeme eindringen und Daten stehlen. Diese sollen dann Experten zur Verfügung gestellt werden, was ihnen hoffentlich wichtige Informationen über das verschlossene Land bringt. Er hofft auf Hilfe aus der Hacker Community und hat das FUNK Project gegründet. Auf der Darknet-Seite ruft er Hacker aller Länder auf, zu helfen.

Das FUNK Project – der Name steht für «Fuck You North Korea» – soll nicht nur Schwachstellen im nordkoreanischen Internet aufzeigen und Daten stehlen. Sein Ziel: «Keeping North Korea honest». Auf der Seite des FUNK Projects schreibt P4x, dass eine Person schon einen Unterschied machen kann. Das Ziel ist es, proportionale Attacken auf Nordkorea auszuführen und Informationen zu sammeln, damit Nordkorea nicht ungehindert die westliche Welt hacken kann.»

Zudem hofft er, dass der Hacktivismus des FUNK Projects nicht nur die Nordkoreaner warnen soll, sondern auch die US-Regierung. Die Cyberattacken des Projekts seien nicht nur eine Reaktion auf den Hackerangriff Nordkoreas, sondern sollen auch aufzeigen, dass die US-Regierung kontinuierlich dabei versagt, das eigene Volk – in diesem Falle Sicherheitsexperten – zu schützen.

«Wenn mir keiner hilft, dann helfe ich mir selbst», schreibt P4x.