Ein Risikokapitalgeber, ein Unternehmensvermittler und ein neu eingestellter Remote-IT-Mitarbeiter scheinen nicht viel gemeinsam zu haben, aber laut Sicherheitsermittlern wurden sie alle als Betrüger gefasst, die heimlich für das nordkoreanische Regime arbeiten.
Am Freitag präsentierten Sicherheitsforscher auf der Cyberwarcon, einer jährlichen Konferenz in Washington D.C., die sich auf disruptive Bedrohungen im Cyberspace konzentriert, ihre aktuellste Einschätzung der Bedrohung durch Nordkorea. Ermittler warnen vor einem anhaltenden Versuch der Hacker des Landes, sich als potenzielle Mitarbeiter auf der Suche nach Arbeit bei multinationalen Unternehmen auszugeben, mit dem Ziel, Geld für das nordkoreanische Regime zu verdienen und Unternehmensgeheimnisse zu stehlen, die seinem Waffenprogramm zugute kommen. Diese Betrüger haben im letzten Jahrzehnt Milliarden von Dollar an gestohlenen Kryptowährungen gesammelt, um das Atomwaffenprogramm des Landes zu finanzieren und gleichzeitig eine Reihe internationaler Sanktionen zu umgehen.
Der Microsoft-Sicherheitsforscher James Elliott sagte in einem Vortrag auf der Cyberwarcon, dass nordkoreanische IT-Mitarbeiter „Hunderte“ von Organisationen auf der ganzen Welt infiltriert hätten, indem sie gefälschte Identitäten erstellt hätten, während sie sich auf in den USA ansässige Vermittler verlassen hätten, um mit den vom Unternehmen bereitgestellten Arbeitsplätzen und Einnahmen umzugehen das Problem überwinden. Finanzsanktionen, die gegen Nordkoreaner gelten.
Ermittler, die sich mit den Cyberfähigkeiten des Landes befassen, sehen die wachsende Bedrohung durch Nordkorea heute in einer nebulösen Masse verschiedener Hackergruppen mit unterschiedlichen Taktiken und Techniken, aber mit dem gemeinsamen Ziel, Kryptowährungen zu stehlen. Das Regime ist durch seine Cyberangriffe kaum einem Risiko ausgesetzt – das Land wird bereits von Sanktionen geplagt.
Eine Gruppe nordkoreanischer Hacker, die Microsoft „Ruby Sleet“ nennt engagierte Luft- und Raumfahrt- und Verteidigungsunternehmen mit dem Ziel, Industriegeheimnisse zu stehlen, die zur Weiterentwicklung seiner Waffen und Navigationssysteme beitragen könnten.
Detaillierte Microsoft in einem Blogbeitrag eine weitere Gruppe nordkoreanischer Hacker namens „Sapphire Sleet“, die sich als Personalvermittler und Risikokapitalgeber in Kampagnen verkleideten, die darauf abzielten, Kryptowährungen von Einzelpersonen und Unternehmen zu stehlen. Nachdem die nordkoreanischen Hacker mit einem ersten Lockmittel oder einer Offenlegung Kontakt zu ihrem Ziel aufgenommen hatten, organisierten sie ein virtuelles Treffen, das jedoch eigentlich so konzipiert war, dass es nicht richtig geladen wurde.
Im Fake-VC-Szenario würde der Betrüger das Opfer unter Druck setzen, Malware herunterzuladen, die als Tool getarnt ist, um das kaputte virtuelle Meeting zu reparieren. In der Kampagne des gefälschten Personalvermittlers forderte der Betrüger den potenziellen Kandidaten auf, eine Kompetenzbewertung herunterzuladen und auszufüllen, die tatsächlich Malware enthielt. Sobald die Malware installiert ist, kann sie auf andere Materialien auf dem Computer zugreifen, einschließlich Kryptowährungs-Wallets. Laut Microsoft haben Hacker in nur sechs Monaten Kryptowährungen im Wert von mindestens 10 Millionen US-Dollar gestohlen.
Die bei weitem hartnäckigste und am schwierigsten zu bekämpfende Kampagne ist jedoch der Versuch nordkoreanischer Hacker, bei großen Unternehmen als Fernarbeiter eingestellt zu werden und dabei den Fernarbeitsboom zu nutzen, der während der Covid-19-Pandemie begann.
Microsoft hat nordkoreanische IT-Arbeiter als „dreifache Bedrohung“ eingestuft, da sie in der Lage sind, auf betrügerische Weise eine Anstellung bei großen Unternehmen zu erlangen und Geld für das nordkoreanische Regime zu verdienen, während sie Unternehmensgeheimnisse und geistiges Eigentum stehlen und Unternehmen mit der Drohung, die Informationen preiszugeben, erpressen.
Von den Hunderten von Unternehmen, die versehentlich einen nordkoreanischen Spion angeheuert haben, haben sich nur eine Handvoll Unternehmen öffentlich als Opfer gemeldet. sagte das Sicherheitsunternehmen KnowBe4 Anfang dieses Jahres wurde er dazu verleitet, einen nordkoreanischen Mitarbeiter einzustellenDoch das Unternehmen sperrte den Fernzugriff des Arbeitnehmers, nachdem es feststellte, dass er betrogen worden war, und gab an, dass keine Unternehmensdaten abgerufen wurden.
Wie nordkoreanische IT-Mitarbeiter Unternehmen dazu verleiten, sie einzustellen
Eine typische nordkoreanische Kampagne von IT-Experten erstellt eine Reihe von Online-Konten, etwa ein LinkedIn-Profil und eine GitHub-Seite, um ein gewisses Maß an beruflicher Glaubwürdigkeit zu schaffen. Der IT-Experte kann mithilfe von KI gefälschte Identitäten generieren, einschließlich der Verwendung von Face-Swap- und Voice-Change-Technologie.
Nach der Einstellung versendet das Unternehmen den neuen Laptop des Mitarbeiters an eine Privatadresse in den Vereinigten Staaten, die, ohne dass das Unternehmen davon weiß, von einem Vermittler verwaltet wird, der die Aufgabe hat, Sätze von vom Unternehmen bereitgestellten Laptops zusammenzustellen. Der Moderator installiert außerdem eine Fernzugriffssoftware auf den Laptops, die es nordkoreanischen Spionen am anderen Ende der Welt ermöglicht, sich aus der Ferne einzuloggen, ohne ihren wahren Standort preiszugeben.
Microsoft sagte, es habe auch die Spione des Landes beobachtet, die nicht nur in Nordkorea, sondern auch in Russland und China, zwei engen Verbündeten des separatistischen Staates, operieren, was es für Unternehmen schwieriger macht, mutmaßliche nordkoreanische Spione in ihren Netzwerken zu identifizieren.
Elliott von Microsoft sagte, das Unternehmen habe einen Glücksfall gehabt, als es versehentlich ein öffentliches Archiv eines nordkoreanischen IT-Mitarbeiters erhalten habe, das Tabellenkalkulationen und Dokumente enthielt, die die Kampagne detailliert beschrieben, einschließlich der Dossiers gefälschter Ausweise und Lebensläufe der nordkoreanischen IT-Mitarbeiter die für die Einstellung verwendet wurden und wie viel Geld während der Operation gesammelt wurde. Elliott beschrieb die Repositories als „vollständige Handlungsanweisungen“, mit denen Hacker Identitätsdiebstahl begehen können.
Die Nordkoreaner würden auch Tricks anwenden, die sie als Fälschungen entlarven könnten, wie etwa die sofortige Überprüfung der LinkedIn-Konten ihrer gefälschten Identitäten, sobald sie eine Firmen-E-Mail-Adresse erhalten hätten, um den Konten einen größeren Eindruck von Legitimität zu verleihen.
Dies war nicht das einzige von Forschern angeführte Beispiel für die Nachlässigkeit von Hackern, das dazu beitrug, die wahre Natur ihrer Operationen aufzudecken.
Ein Sicherheitsforscher namens SttyK sagte, er habe verdächtige nordkoreanische IT-Mitarbeiter identifiziert, unter anderem indem er sie kontaktiert habe, um Fehler in ihren gefälschten Identitäten aufzudecken, die nicht immer sorgfältig konstruiert seien.
In seinem Vortrag auf der Cyberwarcon sagte SttyK, er habe mit einem mutmaßlichen nordkoreanischen IT-Mitarbeiter gesprochen, der behauptete, Japaner zu sein, in seinen Nachrichten jedoch sprachliche Fehler gemacht habe, etwa durch die Verwendung von Wörtern oder Phrasen, die in der japanischen Sprache nicht von Natur aus vorkommen. Die Identität des IT-Mitarbeiters wies weitere Mängel auf, etwa die Angabe, ein Bankkonto in China zu haben, aber eine IP-Adresse zu haben, die die Person in Russland lokalisierte.
Die US-Regierung hat es bereits getan hat in den letzten Jahren Sanktionen gegen mit Nordkorea verbundene Organisationen verhängt als Reaktion auf den Betrug mit IT-Mitarbeitern. Auch das FBI warnte davor, dass böswillige Akteure häufig KI-generierte Bilder verwendenoder „Deepfakes“, oft mit gestohlenen Identitäten, um Jobs in der Technologiebranche zu bekommen. Im Jahr 2024 erhob die US-Staatsanwaltschaft Anklage gegen mehrere Personen mit Betrieb der Laptop-Farmen die es einfacher machen, Sanktionen zu umgehen.
Aber auch Unternehmen müssten ihre potenziellen Mitarbeiter besser einschätzen, betonten die Forscher.
„Sie werden nicht verschwinden“, sagte Elliott. „Sie werden noch lange hier bleiben.“
