Nordkoreanische IT-Mitarbeiter „praktizieren“ Datenklau mit Erpressung
IT-Mitarbeiter aus Nordkorea, die sich unter falscher Identität in westliche Unternehmen einschleichen, stehlen also nicht nur vertrauliche Informationen, sondern nutzen diese als Druckmittel, um Lösegeld zu erpressen. Diese Doppelstrategie – einerseits Datendiebstahl, andererseits die Drohung, diese Informationen zu veröffentlichen – ist vielen Unternehmen von Ransomware-Angriffen bereits schmerzlich bekannt.
Nordkoreanische IT-Mitarbeiter, die als Insider in westliche Unternehmen eingeschleust werden, gehen mit immer raffinierteren Methoden vor, wie eine aktuelle Analyse der Secureworks Counter Threat Unit (CTU) enthüllt. Besonders brisant: In einigen Fällen forderten diese Mitarbeiter nach dem Diebstahl sensibler Daten Lösegeld von ihren ehemaligen Arbeitgebern – ein bisher selten beobachtetes Vorgehen. Ein Beispiel ist ein Auftragnehmer, der kurz nach seiner Einstellung Mitte 2024 bereits geschützte Daten exfiltrierte.
Diese Vorgehensweise weist deutliche Parallelen zu der Bedrohungsgruppe Nickel Tapestry (auch bekannt als Famous Chollima und UNC5267) auf. Das Ziel dieser Operationen ist es, die finanziellen und strategischen Interessen Nordkoreas zu fördern, indem illegal Einnahmen generiert werden, um die Auswirkungen internationaler Sanktionen abzumildern.
Die nordkoreanischen Mitarbeiter werden häufig in Länder wie China oder Russland entsandt, von wo aus sie als scheinbar harmlose Freiberufler auftreten, die nach Jobs suchen. In manchen Fällen stehlen sie sogar die Identität von Personen, die in den USA leben, um unbemerkt an ihre Ziele zu gelangen.
Besonders perfide: Sie beantragen oft die Änderung der Lieferadresse für Firmenlaptops, die dann an sogenannte „Laptop-Farmen“ umgeleitet werden. Dort installieren Mittelsmänner Remote-Desktop-Software, um den nordkoreanischen Akteuren den Fernzugriff zu ermöglichen. Diese Vermittler erhalten im Gegenzug finanzielle Entlohnung von im Ausland ansässigen Akteuren.
Um den Erfolg ihrer Operationen zu maximieren, werden manchmal mehrere Mitarbeiter in dasselbe Unternehmen eingeschleust oder eine Person übernimmt gleichzeitig mehrere Rollen – eine Taktik, die es den Tätern ermöglicht, noch tiefer in die Strukturen der betroffenen Firmen einzudringen.
Secureworks hat auch beobachtet, dass diese gefälschten Auftragnehmer sogar die Genehmigung einholen, ihre eigenen Laptops zu verwenden – oder Firmen dazu bringen, die Lieferung von Laptops komplett zu stornieren, indem sie während des Transports die Lieferadresse ändern. Dies ist ein cleverer Schachzug, der dem bekannten Vorgehen der Gruppe Nickel Tapestry entspricht. Dadurch umgehen sie nicht nur die Notwendigkeit eines Mittelsmannes, sondern schränken auch den Zugang zu forensischen Beweisen ein, da sie ihre eigenen Geräte nutzen, um per Fernzugriff auf die Netzwerke der Unternehmen zuzugreifen.
Noch bedrohlicher wird es, wenn diese Auftragnehmer nach ihrer Entlassung nicht einfach verschwinden: In einem Fall verschickte ein „Pseudomitarbeiter“ Erpressungs-E-Mails, nachdem er wegen schlechter Leistung gekündigt wurde. Diese E-Mails enthielten ZIP-Dateien mit gestohlenen Daten und forderten Lösegeld, um die Veröffentlichung der Informationen zu verhindern.
„Das Risikoprofil verändert sich dramatisch“, betont Rafe Pilling, Director of Threat Intelligence bei Secureworks CTU. „Diese Akteure wollen nicht mehr nur ein Gehalt – sie zielen darauf ab, durch Datendiebstahl und Erpressung große Summen abzuräumen.“
Rafe Pilling erklärte, dass die gesamte Operation der nordkoreanischen IT-Mitarbeiter weitaus größer ist als ursprünglich angenommen und Hunderte, wenn nicht Tausende von Stellen weltweit betrifft. Besonders besorgniserregend ist die Tatsache, dass, obwohl nur ein kleiner Prozentsatz der Fälle zu Erpressungsszenarien eskaliert, die Bemühungen gezielt gegen Unternehmen gerichtet sind, die Software entwickeln und externe Auftragnehmer beschäftigen.
Um sich gegen diese Bedrohung zu wappnen, raten Sicherheitsexperten, während des Einstellungsprozesses äußerst wachsam zu sein. Maßnahmen wie gründliche Identitätsprüfungen, persönliche oder Video-Interviews sowie die Kontrolle von Unregelmäßigkeiten bei der IT-Ausrüstung – wie das Umleiten von Firmenlaptops an Privatadressen – sollten zur Routine werden. Zudem sollten Unternehmen auf verdächtiges Verhalten achten, wie die Weiterleitung von Gehaltsschecks an Geldtransferdienste oder die Nutzung nicht autorisierter Fernzugriffstools.
Die Secureworks CTU weist darauf hin, dass das undurchsichtige Finanzverhalten der Akteure und ihre Tendenz, während Videoanrufen keine Kamera zu aktivieren, klare Warnsignale seien. Besonders auffällig ist das Auftauchen von Lösegeldforderungen, was eine bedeutende Eskalation darstellt. Diese neue Dimension der Bedrohung weicht von den früheren Aktivitäten der Gruppe Nickel Tapestry ab, deren Machenschaften ursprünglich eher auf verdeckten Datendiebstahl ohne unmittelbare Erpressungsabsicht abzielten. Jetzt scheint es jedoch, dass diese Akteure ihre Methoden weiterentwickelt haben, um größere finanzielle Gewinne zu erzielen.