Nordkoreanische Hackergruppen verstärken ihre Angriffe auf IT-Firmen mittels ausgeklügelter Social-Engineering-Taktiken, um Kryptowährungen zu stehlen und an sensible Informationen zu gelangen. Sie tarnen sich oft als IT-Fachkräfte, Risikokapitalgeber oder Personalvermittler und nutzen gefälschte Profile und Dokumente, um in Unternehmen einzudringen und Schaden anzurichten. Diese Aktivitäten stellen eine wachsende Bedrohung für die Cybersicherheit dar und werden von verschiedenen Organisationen wie dem FBI und Microsoft beobachtet.
Mehrere Berichte belegen eine zunehmende Aktivität nordkoreanischer Hackergruppen, die Social-Engineering-Taktiken gegen IT-Unternehmen einsetzen. Laut Cointelegraph warnt das FBI vor "hochgradig maßgeschneiderten, schwer zu erkennenden Social-Engineering-Kampagnen", die sich gegen Unternehmen im Bereich Dezentrale Finanzdienstleistungen (DeFi) und verwandte Branchen richten. Obwohl diese Unternehmen über ein "ausgeprägtes technisches Verständnis" verfügen, können sie dennoch Opfer von Social Engineering werden. Die Hacker führen "komplexe und aufwendige" Operationen durch, um Informationen über Mitarbeiter zu sammeln und Beziehungen aufzubauen. Das FBI gibt an, dass das letztendliche Ziel darin besteht, "Malware einzuschleusen und die Kryptowährungen des Unternehmens zu stehlen". Cointelegraph führt weiter aus, dass die Hacker potenzielle Opfer gezielt über deren Aktivitäten in sozialen Medien, insbesondere auf beruflichen Netzwerk- oder Jobplattformen, identifizieren.
Die Taktiken der nordkoreanischen Hacker sind vielfältig und umfassen unter anderem die Rekrutierung falscher IT-Mitarbeiter, das Abzweigen von Geldern aus Play-to-Earn-Spielen, das Hacken gängiger Apps und das Verstecken von Schadcode in von Softwareentwicklern genutzten Repositories. Ihnen werden auch Ransomware-Angriffe und Geldwäsche zugeschrieben. Das FBI betont, dass Nordkorea ausgefeilte Methoden zum Diebstahl von Kryptowährungen einsetzt und eine anhaltende Bedrohung für Unternehmen darstellt, die Zugriff auf große Mengen an Kryptowährungswerten oder -produkten haben.
Auch Microsoft Threat Intelligence berichtet über die Aktivitäten nordkoreanischer Hackergruppen, die unter den Namen "Sapphire Sleet" und "Ruby Sleet" operieren. Sapphire Sleet konzentriert sich auf den Diebstahl von Kryptowährungen, indem sie sich als Risikokapitalgeber oder Personalvermittler ausgeben und Malware über manipulierte Skripte oder gefälschte Skills-Assessments verbreiten. Ruby Sleet hingegen zielt auf Unternehmen ab, die mit Satelliten- und Waffensystemen in Verbindung stehen, und verwendet dabei unter anderem Backdoored-VPN-Clients und speziell entwickelte Schadsoftware.
Ein weiterer Aspekt der nordkoreanischen Cyberstrategie ist die Infiltration von IT-Unternehmen durch im Ausland arbeitende nordkoreanische IT-Fachkräfte, die Geld für das Regime verdienen. Diese IT-Arbeiter stellen eine dreifache Bedrohung dar: Neben dem Geldverdienen erhalten sie auch Zugang zu sensiblem geistigen Eigentum und Geschäftsgeheimnissen und können Daten stehlen oder Unternehmen erpressen. Microsoft Threat Intelligence beobachtet nordkoreanische IT-Arbeiter, die von Nordkorea, Russland und China aus operieren.
Die Heritage Foundation unterstreicht in einem Bericht die Gefahr, die von nordkoreanischen Cyberangriffen ausgeht. Nordkorea führe einen Cyber-Guerillakrieg, um geheime militärische Informationen zu stehlen, Milliarden von Dollar an Geld und Kryptowährung zu entwenden, Computersysteme als Geiseln zu nehmen und Computernetzwerken erheblichen Schaden zuzufügen. Die USA hätten bisher nur begrenzte Maßnahmen gegen nordkoreanische Hacker und die Länder ergriffen, die ihnen erlauben, zu operieren und Geld aus Cyberverbrechen zu waschen.
Steptoe & Johnson LLP berichtet ebenfalls über die Infiltration von Unternehmen durch nordkoreanische IT-Mitarbeiter und die damit verbundenen Risiken für die Cybersicherheit und die Durchsetzung von Sanktionen. Der Bericht hebt hervor, dass diese Taktik seit 2020 deutlich zugenommen hat und es den nordkoreanischen Hackern gelingt, durch gestohlene Identitäten und gefälschte Dokumente in Unternehmen einzudringen und dort erheblichen Schaden anzurichten.
Unit 42 von Palo Alto Networks analysiert die Taktiken, Techniken und Verfahren (TTPs) der nordkoreanischen IT-Arbeiter und gibt Empfehlungen zur Erkennung und Abwehr dieser Bedrohung. Die Hacker verwenden gestohlene oder synthetische Identitäten, gefälschte Dokumente, VPNs und andere Tools, um ihre wahre Identität und ihren Standort zu verschleiern. Sie nutzen Jobbörsen und Freelancer-Plattformen, um potenzielle Arbeitgeber zu finden, und erstellen gefälschte Firmenwebsites, um ihre Glaubwürdigkeit zu erhöhen.
Quellen:
