FBI: Nordkorea entsendet viele IT-Mitarbeiter und Entwickler nach China und Russland, die dort für westliche Unternehmen arbeiten und mit dem Geld das nordkoreanische Raketenprogramm finanzieren. Auch über Freelancer-Plattformen bieten Nordkoreaner ihre Dienste an, verschleiern aber per IP-Spoofing, wo sie wirklich herkommen. Das FBI warnt und geht gegen registrierte Domains und Netzwerke vor.
Durch den Fachkräftemangel setzen viele Unternehmen vermehr auf unbekannte IT-Freelancer die Remote arbeiten. Wie das FBI festgestellt hat, nutzen gerade amerikanische Unternehmen oft IT-Freelancer aus Russland, China und anderen asiatischen Staaten. Viele bemerken dabei nicht, dass sie von Nordkorea gelenkte IT-Freelancer engagieren die per IP-Spoofing nur vorgeben aus einem anderen Staat zu arbeiten.
Nordkoreanische IT-Freelancer: Tarnen und täuschen
Das FBI warnt aktuell nicht nur davor, sondern belegt auch, dass das verdiente Geld direkt in das nordkoreanische Atom- und Raketenprogramm fließt. Dabei geht es wohl um Millionen von Dollar. Nordkorea schickt laut dem FBI aber auch IT-Mitarbeiter nach China, damit sie sich dort bei westlichen Unternehmen direkt bewerben oder als Freelancer vor Ort arbeiten. Dabei sollen sie die Unternehmen auch ausspionieren und verwertbare Daten an staatliche Stellen schicken.
Das FBI hat aktuell 17 Website-Domains und etwa 1,5 Millionen Dollar von nordkoreanischen Remote-IT-Mitarbeitern beschlagnahmt die bei US-Unternehmen unter Vertrag standen. Die Domains sollten für Angriffe auf US-amerikanische und ausländische Unternehmen genutzt werden. Weiterhin sollten die Unternehmungen dazu dienen Sanktionen zu umgehen und die Entwicklung des Waffenprogramms von Nordkorea zu finanzieren. Viele Unternehmen dachten die Mitarbeiter sind zum Teil in den USA, da sie per IP-Spoofing auf private amerikanische Router zugriffen. Für die Nutzung bekamen die amerikanische Router-Besitzer laut FBI eine großzügige finanzielle Entlohnung.
FBI: Nordkoreanische IT-Mitarbeiter installierten Hintertüren
Das FBI spricht nach ihrer Ermittlung sogar von tausenden nordkoreanischer IT-Mitarbeiter die sich als Remote-IT-Mitarbeiter haben einstellen lassen. Dabei wurden auch viele gefälschte Identitäten genutzt um Unternehmen zu täuschen – gerade während der Corona Pandemie. Weiterhin sollen in einigen Fällen die nordkoreanischen Remote-IT-Mitarbeiter auch Computernetzwerke infiltriert und dabei Informationen gestohlen haben. Weiterhin hätten sie anderen Hackern einige Hintertüren installiert für Ransomware-Angriffe und Erpressungen.
Die beschlagnahmten Domains und die dazugehörige Infrastruktur sollte laut FBI als verbessertes Täuschungsnetzwerk für Bewerbungen und zum Transfer von Informationen genutzt werden. Die Veröffentlichung der Ermittlungen soll auch andere Unternehmen warnen, etwa auch in Europa. Den es wurden wohl von amerikanischen Unternehmen einige Remote-IT-Mitarbeiter für Projekte empfohlen, an denen auch europäische Unternehmen beteiligt sind.
Laut einem Bericht der AP sollen nordkoreanische Hacker in den letzten 5 Jahren über 1,2 Milliarden Dollar an Kryptowährungen und anderen virtuellen Vermögenswerten gestohlen haben. Auch das Security-Unternehmen und Google-Tochter Mandiant analysiert bereits seit Jahren die Attacken und Unternehmungen von Nordkorea und zeigt auch große Diebstähle, wie etwa den Beutezug von 630 Millionen Dollar.
Red./sel
Mehr bei Justice.gov