Wie nordkoreanische Hacker Kryptowährungen in Milliardenhöhe ergaunert haben
Dass Nordkorea Hackerbanden im großen Stil einsetzt, um im Westen Geld in Kryptowährungen zu erbeuten, ist schon länger bekannt. Damit finanziert das Regime in Pjöngjang unter anderem sein Raketenprogramm. In den letzten zehn Jahren kamen so Milliarden von Dollars zusammen. Wie raffiniert sie dabei vorgehen, skizzierten gerade Speaker:innen auf der Cybersicherheitskonferenz Cyberwarcon in Washington D.C.
Falsche IT-Fachkräfte als mehrfache Bedrohung
Laut James Elliott von Microsoft Security hat Nordkorea etwa in hunderte internationale Organisationen Akteur:innen als IT-Fachkräfte eingeschleust. Sie erschlichen sich die Positionen durch gefälschte Profile, mit denen sie sich für Remote-Jobs bewerben. Dabei setzten sie auch Künstliche Intelligenz ein, wie Face-Swapping Tools.
Cybersicherheitsexpert:innen sehen die aus Nordkorea eingeschleusten IT-Kräfte als „dreifache Bedrohung“, wie es in einem Blogbeitrag von Microsoft Security heißt. Erstens können sie mit ganz regulärer IT-Arbeit Geld für das Regime verdienen. So umgehen sie Sanktionen gegen das Land.
Darüber hinaus können sie in den Firmen und Organisationen, die sie infiltriert haben, geheime Daten, Quellcode oder urheberrechtlich geschützte Inhalte erbeuten. Und drittens können sie Lösegeld für sensible Daten verlangen, die sie den Unternehmen entwendet haben.
Fake-Meeting mit angeblichem Kapitalgeber
Nordkoreanische Bedrohungsakteure unterwandern westliche Firmen nicht nur von innen, sondern hacken sie auch von außen. Und das mit perfiden Methoden. Microsoft Security berichtet von einer Masche der Hackergruppe Sapphire Sleet, bei der vermeintliche Risikokapitalgeber Unternehmen kontaktieen
Der Hacker arrangiert dabei ein Videomeeting. Doch der Link, den er der Zielperson schickt, führt zu einer Fehlermeldung. Die leitet zu einem Fake-Administrator oder einem vermeintlichen Supportteam weiter. Das schickt dem arglosen Benutzer zur scheinbaren Problembehebung ein Skript, zum Beispiel eine SCPT- oder VBS-Datei. Dieses ist mit Malware verseucht. Hat das Opfer die heruntergeladen, bekommen die Hacker:innen Zugriff auf Krypto-Wallets.
Angebliche Recruiter:innen treten in Kontakt mit Opfern
Sapphire Sleet treten laut Microsoft Security zudem als angebliche Recruiter:innen auf. Auf Jobplattformen wie Linkedin treten sie mit Fake-Profilen als HR-Managerin:innen auf, die an Opfer herantreten. Die locken sie dann auf eine Webseite, auf der sie einen Test machen sollen, mit dem sie ihre Kompetenz beweisen sollen.
Jobsuche: Diese KI-Apps erstellen deine Bewerbungsmappe
Bei der Anmeldung auf dieser Fake-Seite müssen die Bewerber:innen einen Code herunterladen. Damit schleusen die Bedrohungsakteure Malware auf dessen Rechner.
Mit diesen Tricks sollen nordkoreanische Hackergruppen innerhalb von 18 Monaten Kryptowährung im Wert von mindestens 10 Millionen Euro erbeutet haben.