Ein Risikokapitalgeber, ein Personalvermittler eines großen Unternehmens und ein neu eingestellter Remote-IT-Mitarbeiter scheinen möglicherweise nicht viel gemeinsam zu haben, aber laut Sicherheitsforschern wurden alle als Betrüger gefasst, die heimlich für das nordkoreanische Regime arbeiteten.
Am Freitag gaben Sicherheitsforscher auf der Cyberwarcon, einer jährlichen Konferenz in Washington DC, die sich auf störende Bedrohungen im Cyberspace konzentriert, ihre aktuellste Einschätzung der Bedrohung durch Nordkorea ab. Die Forscher warnten vor einem anhaltenden Versuch der Hacker des Landes, sich als potenzielle Mitarbeiter auszugeben, die Arbeit bei multinationalen Konzernen suchen, mit dem Ziel, Geld für das nordkoreanische Regime zu verdienen und Unternehmensgeheimnisse zu stehlen, die seinem Waffenprogramm zugute kommen. Diese Betrüger haben im letzten Jahrzehnt Milliarden von Dollar an gestohlener Kryptowährung erbeutet, um das Atomwaffenprogramm des Landes zu finanzieren und dabei einer Reihe internationaler Sanktionen entgangen.
Der Microsoft-Sicherheitsforscher James Elliott sagte in einem Cyberwarcon-Vortrag, dass nordkoreanische IT-Mitarbeiter bereits „Hunderte“ von Organisationen auf der ganzen Welt infiltriert hätten, indem sie falsche Identitäten geschaffen hätten, während sie sich auf in den USA ansässige Vermittler verlassen hätten, um ihre vom Unternehmen ausgegebenen Arbeitsplätze und Einnahmen zu umgehen Finanzsanktionen, die gegen Nordkoreaner gelten.
Forscher, die die Cyberfähigkeiten des Landes untersuchen, sehen die zunehmende Bedrohung durch Nordkorea heute in einer nebulösen Masse verschiedener Hackergruppen mit unterschiedlichen Taktiken und Techniken, aber mit dem gemeinsamen Ziel, Kryptowährungen zu stehlen. Das Regime ist durch seine Hackerangriffe kaum einem Risiko ausgesetzt – das Land ist bereits mit Sanktionen belegt.
Eine Gruppe nordkoreanischer Hacker, die Microsoft „Ruby Sleet“ nennt kompromittierte Luft- und Raumfahrt- und Verteidigungsunternehmen mit dem Ziel, Industriegeheimnisse zu stehlen, die zur Weiterentwicklung seiner Waffen und Navigationssysteme beitragen könnten.
Microsoft detailliert in einem Blogbeitrag eine weitere Gruppe nordkoreanischer Hacker, die sie „Sapphire Sleet“ nennen und die sich als Personalvermittler und Risikokapitalgeber in Kampagnen ausgab, die darauf abzielten, Kryptowährungen von Einzelpersonen und Unternehmen zu stehlen. Nachdem die nordkoreanischen Hacker ihr Ziel mit einem Köder oder einer ersten Kontaktaufnahme kontaktiert hatten, vereinbarten sie ein virtuelles Treffen, das jedoch eigentlich darauf ausgelegt war, nicht ordnungsgemäß geladen zu werden.
Im Fake-VC-Szenario würde der Betrüger das Opfer dann unter Druck setzen, Malware herunterzuladen, die als Tool getarnt ist, um das kaputte virtuelle Meeting zu reparieren. In der Fake-Recruiter-Kampagne forderte der Betrüger den potenziellen Kandidaten auf, eine Kompetenzbewertung herunterzuladen und auszufüllen, die tatsächlich Malware enthielt. Sobald die Malware installiert ist, kann sie auf andere Materialien auf dem Computer zugreifen, einschließlich Kryptowährungs-Wallets. Laut Microsoft haben die Hacker allein innerhalb von sechs Monaten Kryptowährungen im Wert von mindestens 10 Millionen US-Dollar gestohlen.
Aber die bei weitem hartnäckigste und am schwierigsten zu bekämpfende Kampagne ist der Versuch nordkoreanischer Hacker, als Remote-Arbeiter bei großen Unternehmen eingestellt zu werden und damit den Boom der Remote-Arbeit zu nutzen, der während der Covid-19-Pandemie begann.
Microsoft bezeichnete die nordkoreanischen IT-Mitarbeiter als „dreifache Bedrohung“, da sie in der Lage seien, auf betrügerische Weise eine Anstellung bei großen Unternehmen zu finden und Geld für das nordkoreanische Regime zu verdienen, während sie gleichzeitig Unternehmensgeheimnisse und geistiges Eigentum stahlen und die Unternehmen dann mit der Drohung erpressten, diese Informationen preiszugeben Information.
Von den Hunderten von Unternehmen, die versehentlich einen nordkoreanischen Spion angeheuert haben, haben sich nur eine Handvoll Unternehmen öffentlich als Opfer gemeldet. sagte das Sicherheitsunternehmen KnowBe4 Anfang des Jahres gab es Hinweise darauf, dass das Unternehmen dazu verleitet wurde, einen nordkoreanischen Mitarbeiter einzustellenaber das Unternehmen blockierte den Fernzugriff des Arbeitnehmers, als es feststellte, dass es sich um einen Betrug handelte, und gab an, dass keine Unternehmensdaten erfasst wurden.
Wie nordkoreanische IT-Mitarbeiter Unternehmen dazu verleiten, sie einzustellen
Eine typische Kampagne für nordkoreanische IT-Mitarbeiter erstellt eine Reihe von Online-Konten, wie ein LinkedIn-Profil und eine GitHub-Seite, um ein gewisses Maß an beruflicher Glaubwürdigkeit zu schaffen. Der IT-Mitarbeiter kann mithilfe von KI falsche Identitäten generieren, einschließlich der Verwendung von Face-Swapping- und Voice-Change-Technologie.
Nach der Einstellung versendet das Unternehmen den neuen Laptop des Mitarbeiters an eine Privatadresse in den Vereinigten Staaten, die, ohne dass das Unternehmen davon weiß, von einem Vermittler geleitet wird, der mit der Einrichtung von Farmen mit vom Unternehmen ausgegebenen Laptops beauftragt ist. Der Moderator installiert außerdem Fernzugriffssoftware auf den Laptops, die es den nordkoreanischen Spionen am anderen Ende der Welt ermöglicht, sich aus der Ferne einzuloggen, ohne ihren wahren Standort preiszugeben.
Microsoft sagte, es habe außerdem beobachtet, dass die Spione des Landes nicht nur von Nordkorea aus operieren, sondern auch von Russland und China aus, zwei engen Verbündeten des abtrünnigen Landes, was es für Unternehmen schwieriger macht, mutmaßliche nordkoreanische Spione in ihren Netzwerken zu identifizieren.
Elliott von Microsoft sagte, das Unternehmen habe einen glücklichen Zufall gehabt, als es versehentlich ein öffentliches Archiv eines nordkoreanischen IT-Mitarbeiters erhalten habe, das Tabellenkalkulationen und Dokumente enthielt, die die Kampagne im Detail aufschlüsselten, einschließlich der Dossiers falscher Identitäten und Lebensläufe der nordkoreanischen IT-Mitarbeiter die für die Anstellung verwendet wurden und wie viel Geld während der Operation verdient wurde. Elliott beschrieb die Repos als „vollständige Handlungsspielräume“, mit denen Hacker Identitätsdiebstahl begehen können.
Die Nordkoreaner würden auch Tricks anwenden, die sie als Fälschungen entlarven könnten, wie etwa die sofortige Verifizierung der LinkedIn-Konten ihrer falschen Identität, sobald sie eine Firmen-E-Mail-Adresse erhalten, um den Konten einen größeren Eindruck von Legitimität zu verleihen.
Dies war nicht das einzige Beispiel, das Forscher für die Schlamperei der Hacker anführten, die dabei half, die wahre Natur ihrer Operationen aufzudecken.
Ein Sicherheitsforscher namens SttyK sagte, er habe verdächtige nordkoreanische IT-Mitarbeiter identifiziert, unter anderem indem er sie kontaktiert habe, um Lücken in ihren falschen Identitäten aufzudecken, die nicht immer sorgfältig konstruiert seien.
In ihrem Cyberwarcon-Vortrag sagte SttyK, sie hätten mit einem mutmaßlichen nordkoreanischen IT-Mitarbeiter gesprochen, der behauptete, Japaner zu sein, aber in seinen Nachrichten sprachliche Fehler machen würde, wie zum Beispiel die Verwendung von Wörtern oder Phrasen, die in der japanischen Sprache nicht von Natur aus vorkommen. Die Identität des IT-Mitarbeiters wies weitere Mängel auf, beispielsweise die Behauptung, ein Bankkonto in China zu besitzen, aber über eine IP-Adresse zu verfügen, die die Person in Russland lokalisierte.
Die US-Regierung hat in den letzten Jahren als Reaktion auf das Programm für IT-Arbeiter bereits Sanktionen gegen mit Nordkorea verbundene Organisationen verhängt. Das FBI hat außerdem gewarnt, dass böswillige Akteure häufig KI-generierte Bilder oder „Deepfakes“ verwenden, die häufig aus gestohlenen Identitäten stammen, um Jobs im Technologiesektor zu ergattern. Im Jahr 2024 erhob die US-Staatsanwaltschaft Anklage gegen mehrere Personen mit Betrieb der Laptop-Farmen die die Umgehung von Sanktionen erleichtern.
Aber auch die Unternehmen müssten ihre potenziellen Mitarbeiter besser prüfen, forderten die Forscher.
„Sie werden nicht verschwinden“, sagte Elliott. „Sie werden noch lange hier bleiben.“