»Lazarus-Gruppe« im Verdacht Nordkorea soll Impfstoffhersteller gehackt haben

Der Hersteller eines mittlerweile zugelassenen Corona-Impfstoffes wurde im Herbst gehackt. Den IT-Sicherheitsforschern von Kaspersky zufolge kommen die Täter »mit hoher Wahrscheinlichkeit« aus Nordkorea.
Impfzentrum in Köln

Impfzentrum in Köln

Foto: via www.imago-images.de / imago images/Political-Moments

Wer etwas mit den Impfstoffen gegen das Coronavirus zu tun hat, ist ein naheliegendes Ziel für staatlich unterstützte oder kriminelle Hacker, davor warnen Behörden und IT-Sicherheitsunternehmen seit Wochen oder gar Monaten. Erste Vorfälle sind auch schon bestätigt, etwa der Angriff auf die EU-Arzneimittelbehörde Ema, bei dem es zu einem »unrechtmäßigen Zugriff« auf Impfstoffdokumente von Biontech gekommen ist.

Die russische IT-Sicherheitsfirma Kaspersky gab am Mittwoch bekannt , man habe bereits im Herbst zwei erfolgreiche »Angriffe auf Einrichtungen identifiziert, die mit der Covid-19-Forschung in Verbindung stehen«. Es handele sich um ein Gesundheitsministerium sowie ein Pharmaunternehmen. Als Täter habe man »mit hoher Wahrscheinlichkeit« die nordkoreanische »Lazarus-Gruppe« ausgemacht, so Kaspersky. Jene Hackergruppierung wird unter anderem für den Sony-Hack 2014, für die Ransomware »WannaCry« und für den Diebstahl von Kryptowährungen verantwortlich gemacht.

Im nicht genannten Gesundheitsministerium sind demnach am 27. Oktober zwei Windows-Server »mit ausgefeilter Malware kompromittiert« worden. Es handele sich um die »bereits bekannte Malware WAgent«, teilte Kaspersky mit, und der Hack sei vergleichbar zu früheren Angriffen »auf Unternehmen im Kryptowährungssektor«, die der »Lazarus-Gruppe« zugeschrieben werden.

Die Liste der möglichen Opfer ist kurz

Bereits am 25. September wurde Kasperskys Telemetriedaten zufolge ein Pharmaunternehmen angegriffen. »Das Unternehmen entwickelt einen Covid-19-Impfstoff und hat bereits die Berechtigung erhalten, diesen zu produzieren und zu vertreiben«, heißt es in der Mitteilung von Kaspersky.

Um das Mainzer Unternehmen Biontech geht es jedoch nicht, wie eine Sprecherin dem SPIEGEL sagte. Der US-Anbieter Moderna hat auf eine Anfrage noch nicht geantwortet. Die anderen Hersteller, auf die Kasperskys Beschreibung zutrifft, sind die chinesischen Firmen Sinopharm und Sinovac, sowie Biontechs Partner Pfizer (USA) und Fosun Pharma (China). Der russische Impfstoff wurde von einer staatlichen Einrichtung entwickelt.

Im betroffenen Unternehmen wurde die Schadsoftware Bookcode eingesetzt, die, so schreibt es Kaspersky, »schon einmal mit Lazarus, im Rahmen eines Angriffs über die Lieferkette eines südkoreanischen Softwareunternehmens, in Verbindung stand«. Beide Schadprogramme seien vergleichbar mächtig und ermöglichten den Angreifern das Einschleusen weiterer Malware, um letztlich »den Computer des Opfers auf nahezu beliebige Weise steuern« zu können. Mithilfe von Bookcode hätten die Täter unter anderem Informationen zu Nutzern des befallenen Systems gesammelt und extrahiert.

»Diese beiden Vorfälle zeigen das Interesse von Lazarus an Informationen im Zusammenhang mit Covid-19«, zitiert Kaspersky seinen Sicherheitsexperten Seongsu Park. Und weiter: »Während die Gruppe bisher vor allem für ihre Aktivitäten im Finanzbereich bekannt ist, zeigt dies, dass auch strategische Forschung für sie Relevanz hat.«

pbe

Mehr lesen über

Hacker Nordkorea Corona-Impfstoff Coronavirus Eugene (Jewgenij) Kaspersky
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten