Bereits im Mai warnte die US-Regierung davor, dass nordkoreanische IT-Mitarbeiter:innen versuchen sollen, im Ausland freiberuflich tätig zu werden, indem sie sich als nicht-nordkoreanische Staatsangehörige ausgeben.
Dabei solle unter anderem Geld für staatliche Waffenentwicklungsprogramme beschafft werden. Nun bestätigt eine US-amerikanische Cybersecurity-Firma, Mandiant Inc., diese Warnungen, wie Bloomberg berichtet.
Lebensläufe von Linkedin und Indeed plagiiert
Die nordkoreanischen IT-Arbeiter:innen sollen sich primär in China und Russland aufhalten, ein kleiner Teil in Afrika und Südostasien. Abgesehen hätten sie es, so die US-Regierung, auf Verträge mit Firmen in wohlhabenden Ländern in Nordamerika und Europa. Sie geben sich dabei als südkoreanische, chinesische, japanische, osteuropäische oder US-amerikanische Telearbeiter:innen aus.
Dafür kopieren sie laut den Cybersecurity-Expert:innen Lebensläufe tatsächlicher User:innen auf Linkedin und Indeed, teilweise inklusive identischer Formulierungen. Besonders beliebt sind Lebensläufe, die Fähigkeiten für komplexe Arbeiten wie die Entwicklung von Apps, Spielen oder Kryptobörsen bescheinigen.
Von Krypto-Jobs zur Geldwäsche
Laut den Mandiant-Forscher:innen können die Betrüger:innen Informationen bei den Krypto-Unternehmen sammeln, beispielsweise über kommende Krypto-Trends. Dazu gehören Daten zur Währung Ethereum, NFT und potenzielle Sicherheitslücken.
Diese Daten könnten der nordkoreanischen Regierung einen Vorteil verschaffen, um Kryptowährung so zu waschen, dass Sanktionen umgangen werden – diese Einschätzung äußert der leitende Analyst bei Mandiant, Joe Dobson, gegenüber Bloomberg. Die nordkoreanische Regierung dagegen bestreitet, in jegliche Cyber-Scams involviert zu sein.
„Es läuft auf Insider-Bedrohungen hinaus“, sagte Dobson weiter. Wer Hauptentwickler:in in einem Krypto-Projekt würde, könne Dinge stark beeinflussen – zum Positiven wie zum Negativen. Bei Mandiant hätten sie auch Personen identifiziert, die bereits als freie Mitarbeiter:innen eingestellt worden seien.
Fälschungen und GitHub-Aktivitäten
Neben den Kopien wurde auch schlicht gefälscht: Die Analysten fanden gefälschte berufliche Qualifikationen. Einige Personen gaben an, ein Whitepaper über Bibox veröffentlicht zu haben, andere behaupteten, leitende Softwareentwickler:innen bei Beratungsunternehmen für Blockchain-Technologien zu sein.
Dazu berichtete Google im März von Bemühungen seitens Gruppen von Hacker:innen mit Unterstützung durch die nordkoreanische Regierung, Jobseiten zu klonen, um Daten abzuführen. Auf Pseudo-Jobseiten wie indeedus[.]org oder disneycareers[.]net würden Jobsuchende dazu verleitet, ihre Lebensläufe einzusenden. Damit hätten sie eine Konversation begonnen, über die Hacker:innen entweder Zugriff auf die Geräte erhalten und/oder Daten stehlen können.
Von den Personen, die angeblich Programmierkenntnisse haben, stellten viele auf GitHub Fragen zu größeren Krypto-Trends.
Phishing-Mails mit Schadsoftware
Zudem meldete das Sicherheitsunternehmen Qualys bereits eine Phishing-Kampagne. Dabei zielte eine Gruppe vom nordkoreanischen Regime unterstützter Hacker:innen auf Bewerber:innen verschiedener IT-Firmen. Es wurden Mails versendet, die angeblich von den Unternehmen stammten. Anhänge, die angeblich weiterführende Informationen zur Firma sein sollten, enthielten Schadsoftware.
Der Fokus von Nordkorea auf den Diebstahl von Kryptowährung käme daher, dass Hacker:innen jahrelang Geld aus dem globalen Finanzsystem gestohlen hätten, so die Mandiant-Analysten. Banken allerdings seien sicherer geworden, während Krypto ein völlig neuer Markt sei.
John Wu von Aztec Network hat, so vermutet er, ein Interview mit einem nordkoreanischen Betrüger geführt. In diesem Thread berichtet er von seinen Erfahrungen: