Nordkoreanische Hackergruppen nutzen zunehmend Social Engineering, um IT-Firmen, insbesondere im Kryptowährungs-Bereich, anzugreifen und Kryptowährungen zu stehlen. Sie tarnen sich beispielsweise als Risikokapitalgeber oder Recruiter, um über gefälschte Meetings oder Skill-Assessments Malware einzuschleusen. Experten warnen vor der wachsenden Bedrohung und fordern stärkere Abwehrmaßnahmen sowie eine energischere Reaktion auf diese Cyberangriffe.
Mehrere Berichte beleuchten die zunehmende Bedrohung durch nordkoreanische Hackergruppen, die Social-Engineering-Taktiken gegen IT-Unternehmen einsetzen. Wie cryptonews.net berichtet, führen diese Hacker komplexe und ausgeklügelte Operationen durch, um Informationen über Mitarbeiter zu sammeln, Beziehungen aufzubauen und letztendlich Malware einzuschleusen, um Kryptowährungen zu stehlen.
Die Hackergruppen konzentrieren sich gezielt auf Unternehmen im DeFi- und Kryptowährungs-Bereich. Sie versuchen, Mitarbeiter durch Social Engineering dazu zu bewegen, ihnen unautorisierten Zugriff auf Unternehmensnetzwerke zu gewähren. Potenzielle Opfer werden im Vorfeld über Social-Media-Aktivitäten, insbesondere auf beruflichen Netzwerkplattformen, ausgekundschaftet.
Das FBI warnt laut therecord.media vor diesen „hochgradig maßgeschneiderten, schwer zu erkennenden Social-Engineering-Kampagnen“. Selbst IT-Unternehmen mit fortschrittlichen technischen Fähigkeiten können Opfer dieser Angriffe werden. Besonders im Visier sind Unternehmen, die mit Kryptowährungs-ETFs und ähnlichen Finanzprodukten arbeiten.
Microsoft beschreibt in seinem Security Blog die Aktivitäten der nordkoreanischen Hackergruppe "Sapphire Sleet". Diese tarnt sich als Risikokapitalgeber und täuscht Interesse an Investitionen vor. Nach der Vereinbarung von Online-Meetings werden den Opfern unter dem Vorwand der Behebung von Verbindungsproblemen schädliche Skripte zugespielt. Eine weitere Masche ist die Kontaktaufnahme als Recruiter über Plattformen wie LinkedIn, wobei die Opfer unter dem Vorwand eines Skill-Assessments Malware herunterladen sollen.
Die Heritage Foundation hebt hervor, dass Nordkoreas Cyber-Aktivitäten, trotz wiederholter Angriffe auf Regierungen, Finanzinstitute und verschiedene Branchen, im Vergleich zu seinen Raketen- und Nuklearwaffenprogrammen weniger Reaktionen und Sanktionen hervorgerufen haben. Die Stiftung plädiert für eine umfassende Strategie, die in Zusammenarbeit mit anderen Regierungen und dem privaten Sektor die Cyberabwehr stärkt und energischer auf Angriffe reagiert.
Steptoe & Johnson LLP betont in seinem "Risk Outlook" die wachsende Gefahr durch die Infiltration nordkoreanischer IT-Arbeiter in Unternehmen und Organisationen. Diese operieren hauptsächlich von China und Russland aus und nutzen ihre Positionen, um sensible Daten zu stehlen und dem nordkoreanischen Regime finanzielle Mittel zuzuführen. Die Kanzlei fordert fortschrittliche Erkennungssysteme zur Bekämpfung dieser Insider-Bedrohungen.
Unit 42 von Palo Alto Networks analysiert die Taktiken, Techniken und Verfahren (TTPs) dieser nordkoreanischen IT-Arbeiter. Sie verwenden gestohlene oder synthetische Identitäten, gefälschte Dokumente, VPNs und andere Tools, um ihren wahren Standort zu verschleiern. Freiberuflerplattformen und Jobbörsen dienen ihnen zur Suche nach potenziellen Zielen, und gefälschte Firmenwebsites sollen ihre Glaubwürdigkeit erhöhen.
Quellen:
