So versuchen nordkoreanische Agenten, US-Kryptofirmen zu infiltrieren

Der Mann am anderen Ende, ein FBI-Agent, sagte Devin, dass der scheinbar seriöse Softwareentwickler, den er im vergangenen Sommer eingestellt hatte, ein nordkoreanischer Agent war, der Zehntausende von Dollar seines Gehalts an das autoritäre Regime des Landes geschickt hatte.

Verblüfft legte Devin auf und sperrte den Mitarbeiter sofort von den Firmenkonten, sagte er.

„Er hat einen guten Beitrag geleistet“, beklagte Devin, verwirrt von dem Mann, der behauptet hatte, Chinese zu sein, und mehrere Vorstellungsrunden bestanden hatte, um eingestellt zu werden. (CNN verwendet ein Pseudonym für Devin, um die Identität seines Unternehmens zu schützen).

Von der nordkoreanischen Regierung unterstützte Hacker haben umgerechnet Milliarden von Dollar gestohlen in den letzten Jahren durch Überfälle auf Kryptowährungsbörsen, so die Vereinten Nationen. In einigen Fällen konnten sie bei einem einzigen Überfall Hunderte Millionen Dollar erbeuten, das FBI und sagen Privatermittler.

Jetzt warnen US-Bundesermittler öffentlich vor einer Schlüsselsäule der nordkoreanischen Strategie, in der das Regime Agenten in Tech-Jobs in der gesamten Informationstechnologiebranche einsetzt.

Das FBI, das Finanzministerium und die Außenministerien gab einen seltenen öffentlichen Ratgeber heraus im Mai über Tausende von „hochqualifiziertem“ IT-Personal, das Pjöngjang „eine wichtige Einnahmequelle“ verschafft, die dabei hilft, die „höchsten wirtschaftlichen und sicherheitspolitischen Prioritäten“ des Regimes zu finanzieren.

Es ist ein ausgeklügeltes System zum Geldverdienen, das sich auf Scheinfirmen, Auftragnehmer und Täuschung stützt, um eine volatile Branche auszunutzen, die immer auf der Suche nach Top-Talenten ist. Nordkoreanische Tech-Arbeiter können jährlich mehr als $300.000 verdienen – das Hundertfache des Durchschnittseinkommens eines nordkoreanischen Bürgers – und bis zu 90% ihres Lohns gehen an das Regime, so das US-Gutachten.

„(Die Nordkoreaner) nehmen das sehr ernst“, sagte Soo Kim, ein ehemaliger Nordkorea-Analyst bei der CIA. „Es ist nicht nur irgendein Rando in seinem Keller, der versucht, Kryptowährung abzubauen“, fügte sie hinzu und bezog sich auf den Prozess der Generierung von digitalem Geld. "Es ist eine Lebensweise."

Der Wert der Kryptowährung ist in den letzten Monaten stark gesunken, Erschöpfung der nordkoreanischen Beute um viele Millionen Dollar. Laut Chainalysis, einem Unternehmen, das digitale Währungen verfolgt, ist der Wert der nordkoreanischen Bestände in Kryptowährungs-„Brieftaschen“ oder Konten, die nicht ausgezahlt wurden, seit Ende letzten Jahres um mehr als die Hälfte gesunken, von $170 Millionen auf etwa $65 Millionen.

Analysten sagen jedoch, dass die Kryptowährungsindustrie aufgrund der relativ schwachen Cyber-Abwehr der Branche und der Rolle, die Kryptowährung bei der Umgehung von Sanktionen spielen kann, ein zu wertvolles Ziel für nordkoreanische Agenten ist, um sich davon abzuwenden.

US-Beamte haben in den letzten Monaten eine Reihe von privaten Briefings mit ausländischen Regierungen wie Japan und mit Technologiefirmen in den USA und im Ausland abgehalten, um Alarm zu schlagen über die Bedrohung durch nordkoreanisches IT-Personal, einen Beamten des Finanzministeriums, der auf Nordkorea spezialisiert ist Korea gegenüber CNN.

Die Liste der von Nordkoreanern ins Visier genommenen Unternehmen deckt nahezu jeden Aspekt des freiberuflichen Technologiesektors ab, einschließlich Zahlungsabwickler und Personalbeschaffungsfirmen, sagte der Beamte.

Pjöngjang setzt seit Jahren auf seine ausländischen Tech-Mitarbeiter, um Einnahmen zu erzielen. Aber die Coronavirus-Pandemie – und die gelegentliche Sperrung es hat in Nordkorea verursacht – hat, wenn überhaupt, die Tech-Diaspora zu einer wichtigeren Finanzierungsquelle für das Regime gemacht, sagte der Beamte des Finanzministeriums gegenüber CNN.

„Das Finanzministerium wird weiterhin auf die Einnahmen generierenden Bemühungen der DVRK abzielen, einschließlich ihres illegalen IT-Arbeiterprogramms und der damit verbundenen bösartigen Cyberaktivitäten“, sagte Brian Nelsonc, Unterstaatssekretär des Finanzministeriums für Terrorismus und Finanzinformationen, in einer Erklärung gegenüber CNN unter Verwendung des Akronyms für Nordkorea.

„Unternehmen, die mit [nordkoreanischen] Tech-Arbeitern Geschäfte tätigen oder Transaktionen für [nordkoreanische Tech]-Arbeiter abwickeln, riskieren, US- und UN-Sanktionen ausgesetzt zu sein“, fügte Nelson hinzu. die sich letzten Monat getroffen haben mit südkoreanischen Regierungsbeamten, um Möglichkeiten zur Bekämpfung der Geldwäsche- und Cyberkriminalität des Nordens zu erörtern.

CNN hat die nordkoreanische Botschaft in London per E-Mail kontaktiert und angerufen, um einen Kommentar zu erhalten.

Bundesermittler halten auch Ausschau nach Amerikanern, die geneigt sein könnten, Nordkorea ihre Expertise in digitalen Währungen zur Verfügung zu stellen.

Im April wurde ein 39-jähriger amerikanischer Computerprogrammierer namens Virgil Griffith wegen Verstoßes gegen die US-Sanktionen gegen Nordkorea zu mehr als fünf Jahren Gefängnis verurteilt, nachdem er dort 2019 auf einer Blockchain-Konferenz darüber gesprochen hatte, wie man Sanktionen umgehen kann. Griffith bekannte sich schuldig und drückte in einer Erklärung, die er dem Richter vor der Verurteilung vorlegte, „tiefes Bedauern“ und „Scham“ für seine Taten aus, die er seiner Besessenheit zuschrieb, Nordkorea zu sehen, „bevor es fällt“.

Aber die langfristige Herausforderung, vor der US-Beamte stehen, ist viel subtiler als auffällige Blockchain-Konferenzen in Pjöngjang. Es beinhaltet den Versuch, die diffusen Finanzierungsquellen einzuschränken, die die nordkoreanische Regierung von ihrer Tech-Diaspora erhält.

Zweischneidiges Schwert

Die nordkoreanische Regierung profitiert seit langem davon, dass Außenstehende die Fähigkeit des Regimes unterschätzen, für sich selbst zu sorgen, auf dem Schwarzmarkt erfolgreich zu sein und die Informationstechnologie auszubeuten, die die Grundlage der Weltwirtschaft bildet.

Das Regime hat einen beachtlichen Kader von Hackern aufgebaut Aussonderung vielversprechender Mathematik- und Naturwissenschaftsstudenten in der Schule, Nordkorea reinstecken das gleiche Gespräch wie Iran, China und Russland, wenn US-Geheimdienstmitarbeiter über Cybermächte diskutieren.

Auf diesem von der nordkoreanischen Regierung bereitgestellten Foto nimmt der nordkoreanische Führer Kim Jong Un am 27. April 2022 an einer Fotosession mit Offizieren und Soldaten teil.

Einer der berüchtigtsten nordkoreanischen Hacks ereignete sich 2014 mit der Lahmlegung der Computersysteme von Sony Pictures Entertainment als Vergeltung für „The Interview“, einen Film mit einer fiktiven Handlung zur Ermordung von Kim Jong Un. Zwei Jahre später stahlen nordkoreanische Hacker etwa $81 Millionen von der Bank of Bangladesh, indem sie das SWIFT-System für die Überweisung von Bankgeldern ausnutzten.

Nordkoreas Hacking-Teams haben in den vergangenen Jahren den Boom-and-Bust-Kryptowährungsmarkt ins Visier genommen.

Die Renditen waren zeitweise astronomisch.

Mit Pjöngjang verbundene Hacker stahlen im März das Äquivalent von $600 Millionen in Kryptowährung von einem in Vietnam ansässigen Videospielunternehmen. laut FBI. Laut dem Blockchain-Analyseunternehmen Elliptic steckten wahrscheinlich nordkoreanische Hacker hinter einem $100-Millionen-Überfall auf eine in Kalifornien ansässige Kryptowährungsfirma.

„Die meisten dieser Kryptofirmen und -dienste sind noch weit entfernt von der Sicherheitslage, die wir bei traditionellen Banken und anderen Finanzinstituten sehen“, sagte Fred Plan, Chefanalyst der Cybersicherheitsfirma Mandiant, die mutmaßliche nordkoreanische Tech-Mitarbeiter untersuchte und teilte einige seiner Ergebnisse mit CNN.

Die Tausenden von nordkoreanischen Technologiearbeitern im Ausland geben Pjöngjang ein zweischneidiges Schwert: Sie können Gehälter verdienen, die UN- und US-Sanktionen umgehen und direkt zum Regime gehen, während sie gleichzeitig nordkoreanischen Hackern gelegentlich Zugang zu Kryptowährungen oder anderen Technologiefirmen bieten. Die IT-Mitarbeiter leisten manchmal „logistische“ Unterstützung für die Hacker und transferieren Kryptowährung, heißt es in der jüngsten Empfehlung der US-Regierung.

„Die Gemeinschaft qualifizierter Programmierer in Nordkorea mit der Erlaubnis, Westler zu kontaktieren, ist sicherlich ziemlich klein“, sagte Nick Carlsen, der bis letztes Jahr ein auf Nordkorea konzentrierter Geheimdienstanalyst des FBI war, gegenüber CNN.

„Diese Jungs kennen sich. Selbst wenn ein bestimmter IT-Mitarbeiter kein Hacker ist, kennt er ihn mit Sicherheit“, sagte Carlsen, der jetzt bei TRM Labs arbeitet, einer Firma, die Finanzbetrug untersucht. „Jede Schwachstelle, die sie in den Systemen eines Kunden identifizieren könnten, wäre einem ernsthaften Risiko ausgesetzt.“

Und sowohl Tech-Mitarbeiter als auch Hacker aus Nordkorea haben die relativ offene Natur des Jobsuche-Prozesses – bei dem jeder auf Plattformen wie LinkedIn vorgeben kann, irgendjemand zu sein – zu ihrem Vorteil genutzt. Ende 2019 gaben sich beispielsweise mögliche nordkoreanische Hacker als Jobvermittler auf LinkedIn aus, um auf sensible Daten von Mitarbeitern zweier europäischer Luft- und Raumfahrtunternehmen abzuzielen. laut Forschern bei der Cybersicherheitsfirma ESET.

„Wir suchen aktiv nach Anzeichen für staatlich geförderte Aktivitäten auf der Plattform und ergreifen schnell Maßnahmen gegen schlechte Akteure, um unsere Mitglieder zu schützen“, sagte LinkedIn in einer Erklärung gegenüber CNN. „Wir warten nicht auf Anfragen, unser Threat-Intelligence-Team entfernt gefälschte Konten mithilfe von Informationen, die wir aufdecken, und Informationen aus einer Vielzahl von Quellen, einschließlich Regierungsbehörden.“

Lernen, rote Fahnen zu erkennen

Einige in der Kryptowährungsbranche werden vorsichtiger, wenn sie nach neuen Talenten suchen. Im Fall von Jonathan Wu hat ihn ein Videoanruf mit einem Stellenbewerber im April möglicherweise davon abgehalten, unwissentlich jemanden einzustellen, von dem er vermutete, dass er ein nordkoreanischer Techniker war.

Als Leiter des Wachstumsmarketings bei Aztec, einem Unternehmen, das Datenschutzfunktionen für Ethereum, eine beliebte Art von Kryptowährungstechnologie, anbietet, suchte Wu nach einem neuen Softwareentwickler, als das Einstellungsteam auf einen vielversprechenden Lebenslauf stieß, den jemand eingereicht hatte.

Der Antragsteller behauptete, Erfahrung mit nicht fungiblen Token (NFTs) und anderen Segmenten des Kryptowährungsmarktes zu haben.

„Es sah so aus, als könnten wir jemanden als Ingenieur einstellen“, sagte Wu, der in New York lebt, gegenüber CNN.

Aber Wu sah bei dem Bewerber, der seinen Namen als „Bobby Sierra“ angab, eine Reihe von Warnsignalen bei Aztec, laut Wu.

Wu stellte schließlich nicht „Sierra“ ein, der in seinem Lebenslauf behauptete, in Kanada zu leben.

„Es klang, als wäre er in einem Callcenter“, sagte Wu. „Es hörte sich an, als wären vier oder fünf Typen im Büro, die auch laut sprachen, auch scheinbar bei Interviews oder Telefonaten und eine Mischung aus Koreanisch und Englisch sprachen.“

„Sierra“ antwortete nicht auf Nachrichten, die an seine offensichtlichen E-Mail- und Telegram-Konten gesendet wurden, um einen Kommentar zu erhalten.

CNN erhielt die Lebensläufe, die die mutmaßlichen nordkoreanischen Techniker bei Wus Firma und dem von Devin gegründeten Kryptowährungs-Startup eingereicht hatten. Die Lebensläufe wirken absichtlich allgemein, um keinen Verdacht zu erregen, und verwendeten Schlagworte, die in der Kryptowährungsbranche beliebt sind, wie „Skalierbarkeit“ und „Blockchain“.

Ein mutmaßlicher nordkoreanischer Agent, der von Mandiant, der Cybersicherheitsfirma, verfolgt wurde, stellte anderen in der Kryptowährungsgemeinschaft zahlreiche Fragen darüber, wie Ethereum funktioniert und mit anderen Technologien interagiert, sagte Mandiant.

Laut Mandiant-Chefanalyst Michael Barnhart hat der Nordkoreaner möglicherweise Informationen über die Technologie gesammelt, die für einen späteren Hack nützlich sein könnten.

„Diese Jungs wissen genau, was sie von den Ethereum-Entwicklern wollen“, sagte Barnhart. „Sie wissen genau, wonach sie suchen.“

Die gefälschten Lebensläufe und andere Tricks der Nordkoreaner werden wahrscheinlich nur noch glaubwürdiger, sagte Kim, der ehemalige CIA-Analyst, der jetzt Politikanalyst bei RAND Corp., einer Denkfabrik, ist.

„Auch wenn das Handwerk im Moment nicht perfekt ist, was die Art und Weise angeht, auf Ausländer zuzugehen und ihre Schwachstellen auszunutzen, ist es immer noch ein neuer Markt für Nordkorea“, sagte Kim gegenüber CNN. „Angesichts der Herausforderungen, mit denen das Regime konfrontiert ist – Nahrungsmittelknappheit, weniger Länder, die bereit sind, sich mit Nordkorea auseinanderzusetzen … wird dies einfach etwas sein, das sie weiterhin nutzen werden, weil niemand sie zurückhält, im Wesentlichen.“

Quelle