Thought Leadership
Erneut ist ein Unternehmen Opfer eines Hackerangriffs geworden, nachdem es unwissentlich einen nordkoreanischen Cyberkriminellen als Remote-IT-Mitarbeiter eingestellt hatte.
Das betroffene Unternehmen, das anonym bleiben möchte, hat die Cybersecurity-Spezialisten von Secureworks gestattet, den Vorfall publik zu machen, um die Öffentlichkeit für diese Bedrohung zu sensibilisieren und andere Firmen zu warnen.
Nach Angaben von Secureworks wurde der mutmaßlich männliche IT-Mitarbeiter im Sommer engagiert. Sobald er Zugriff auf das Firmennetzwerk erlangt hatte, begann er damit, sensible Unternehmensdaten herunterzuladen und stellte anschließend eine Lösegeldforderung. Der Hacker hatte seine Beschäftigungshistorie und persönlichen Daten gefälscht, um die Stelle zu erhalten. Vier Monate lang war er für das Unternehmen tätig und bezog ein Gehalt, das höchstwahrscheinlich über komplexe Geldwäschekanäle nach Nordkorea transferiert wurde, um die westlichen Sanktionen gegen das isolierte Land zu umgehen.
Nachdem das Unternehmen den Hacker aufgrund mangelhafter Leistungen entlassen hatte, erhielt es Erpressermails, die einen Teil der gestohlenen Daten enthielten und eine Lösegeldforderung in sechsstelliger Höhe in Kryptowährung stellten. Der Hacker drohte, die erbeuteten Informationen zu veröffentlichen oder online zu verkaufen, sollte das Unternehmen nicht zahlen. Ob das Lösegeld entrichtet wurde, gab die Firma, die aus dem angelsächsischen Raum stammen soll, nicht bekannt.
Immer wieder Nordkorea
Dieser Vorfall reiht sich in eine Serie von Fällen ein, in denen nordkoreanische Staatsbürger als westliche Remote-Mitarbeiter ausgaben. Besonders besorgniserregend ist die Tatsache, dass einige dieser IT-Spezialisten mehrere Stellen gleichzeitig besetzen und somit monatlich erhebliche Summen an Gehältern einstreichen, die direkt in die Kassen des nordkoreanischen Regimes fließen. Die Cybersicherheitsfirma Mandiant deckte einen besonders gravierenden Fall auf, bei dem ein einzelner “Facilitator” in den USA die Identitäten von über 60 Personen kompromittierte und dadurch etwa 300 US-Unternehmen schädigte. Durch diese betrügerischen Machenschaften gelang es ihm, mindestens 6,8 Millionen US-Dollar an nordkoreanische IT-Arbeiter weiterzuleiten.
Laut Beobachtungen von Secureworks unternehmen die nordkoreanischen Hacker große Anstrengungen, um die Nutzung von Firmen-Laptops zu vermeiden und ihren tatsächlichen Standort zu verschleiern. In einigen Fällen baten die Hacker darum, ihre eigenen privaten Laptops oder eine virtuelle Desktop-Infrastruktur verwenden zu dürfen. Andere änderten einfach die Lieferadresse, um ihr Arbeitsgerät an eine Laptop-Farm zu schicken, die mit einer US-IP-Adresse getarnt war.
Rafe Pilling, Direktor für Bedrohungsanalyse bei Secureworks, betont, dass es sich hierbei um eine bedenkliche Eskalation des Risikos durch nordkoreanische IT-Kräfte handelt. Es gehe nicht mehr nur um ein stetiges Einkommen, sondern um höhere Summen, die durch Datendiebstahl und Erpressung innerhalb kürzester Zeit erbeutet werden sollen. Behörden mahnen Arbeitgeber zur Wachsamkeit gegenüber neuen Mitarbeitern, insbesondere wenn diese ausschließlich remote arbeiten.
Erst im Juli hatte der Security-Awareness-Anbieter KnowBe4 offengelegt, versehentlich einen nordkoreanischen Hacker eingestellt zu haben. Glücklicherweise wurde der Cyberkriminelle in diesem Fall enttarnt, bevor er Schaden anrichten konnte.
