Die Zahl der Bewerbungen von angeblichen IT-Fachkräften, hinter denen nordkoreanische Cyberkriminelle stecken, nehmen bei europäischen Unternehmen zu. Die Nordkoreaner suchen dabei gezielt nach Remote-Stellen und überweisen ihr Gehalt an die nordkoreanische Regierung weiter. Das geht aus einem Bericht der Google Threat Intelligence Group (GTIG) hervor. In einigen Fällen installieren die vermeintlichen IT-Mitarbeiter auch Schadsoftware auf Firmenrechnern oder stehlen interne Daten, für die sie ein Lösegeld fordern. Nachdem dieses Vorgehen in den USA zunehmend bekannter und damit schwieriger wurde, weiten die nordkoreanischen Kriminellen ihre Masche auf Europa aus.
Bewerber nutzen falsche Identitäten und KI-Fotos
Die nordkoreanischen Agenten bewerben sich mit falschen Identitäten auf die ausgeschriebenen IT-Stellen. Dazu nutzen sie gefälschte Lebensläufe und erfinden teilweise frühere Chefs, die sie als Referenzen angeben, um ihre Glaubwürdigkeit zu erhöhen. Oft verwenden die angeblichen IT-Arbeiter dabei generative KI, mit der sie etwa Bewerbungsfotos erstellen. Laut dem Bericht zählen Web- und CMS-Entwicklung sowie der Umgang mit Blockchain- und KI-Technik besonders häufig zu ihren Fähigkeiten.
In einem Fall ermittelten die Sicherheitsforscher einen angeblichen Arbeiter, der sich mit zwölf verschiedenen Fake-Profilen in den USA und Europa beworben hatte. Er suchte dabei gezielt nach Jobs in der Rüstungsindustrie und im öffentlichen Sektor. Ebenfalls spürten die Forscher weitere Fälle in Deutschland und Portugal auf, bei denen falsche Bewerber die europäischen Jobportale nutzten. Dabei gaben sie als Herkunft etwa die USA, Italien, Japan, Malaysia oder Singapur an.
Private Arbeitsrechner erleichtern Angriffe auf Firmen
Weiterhin verfügen die Cyberkriminellen über Vermittler in Europa, die sie bei der Jobsuche unterstützen. Diese Vermittler helfen bei der Umgehung möglicher Identitätsprüfungen und nehmen die Gehaltszahlungen entgegen. Alternativ lassen sie sich mit Kryptowährungen oder auf Geldtransfer-Portalen wie TransferWise oder Payoneer bezahlen, die sie auch verwenden, um die Überweisung des Gehalts nach Nordkorea zu verschleiern. Ebenfalls empfangen die Unterhändler die von den Arbeitgebern bereitgestellten Laptops und schließen sie ans Internet an. Die vermeintlichen IT-Kräfte loggen sich dann während der Arbeitszeiten per VPN aus Nordkorea in die Geräte ein.
Inzwischen zielen die Cyberkriminellen dem GTIG-Bericht zufolge bewusst auf Stellen ab, bei denen die Nutzung von Privatgeräten erlaubt ist. Dort können sie über virtuelle Maschinen auf das Firmennetzwerk zugreifen. Im Gegensatz zu unternehmenseigenen Geräten verfügen die privaten Laptops über keine Sicherheits- und Protokollierungsprogramme, sodass es für Betriebe schwieriger ist, die Aktivitäten der vermeintlichen Mitarbeiter zu verfolgen und Bedrohungen zu erkennen. Ferner fällt eine Diskrepanz zwischen Melde- und Lieferadresse eines Arbeitslaptops so nicht auf.
Bereits im vergangenen Jahr warnte der Bundesverfassungsschutz deutsche Unternehmen vor vermeintlichen IT-Mitarbeitern aus Nordkorea. Er empfiehlt, Bewerbungsgespräche persönlich oder per Videoanruf zu führen und die Identität des Bewerbers zu prüfen. Außerdem sollen sie Geräte nur an die im Ausweis angegebene Anschrift senden und Gehälter nicht ausschließlich in Kryptowährungen zahlen.
(sfe)
English (US) ·