Die Google Threat Intelligence Group (GTIG) hat ihre neuesten Erkenntnisse über die Aktivitäten nordkoreanischer IT-Mitarbeiter in Europa veröffentlicht. Diese IT-Mitarbeiter haben bereits Projekte für Unternehmen in Großbritannien, Deutschland und Portugal übernommen und sie setzen Organisationen durch Erpressungsversuche unter Druck.
🔎Länder, in denen nordkoreanische IT-Fachkräfte aktiv sind (Bild: Mandiant)
Seit dem letzten Bericht im September 2024, in dem die GTIG die Bedrohung durch IT-Kräfte analysierte, haben die Experten aufgrund der jüngsten Razzien in den USA festgestellt, dass die Operationen in Europa in den letzten Monaten zugenommen haben. Der Einsatz falscher IT-Mitarbeiter ist definitiv ein weltweites Problem, wie ein Blick auf die Karte zeigt.
Angriffe auf Rüstungsbetriebe und europäische Regierungen
Ende 2024 identifizierte die GTIG einen nordkoreanischen IT-Mitarbeiter, der in Europa und den USA unter mindestens 12 Pseudonymen arbeitete. Diese Person bemühte sich um eine Anstellung bei mehreren Unternehmen, insbesondere in der Verteidigungsindustrie und bei europäischen Regierungen. Zu den Taktiken gehörten gefälschte Referenzen, der Aufbau von Beziehungen zu Personalvermittlern und die Verwendung von eigenen gefälschten Personas als Referenzen, um die Glaubwürdigkeit zu erhöhen.
Operationen in Großbritannien, Deutschland und Portugal
Nordkoreanische IT-Mitarbeiter haben eine Reihe von technischen Projekten für in Großbritannien ansässige Unternehmen übernommen, darunter Webentwicklung, Bot-Entwicklung und Blockchain- Technologie. Sie haben sich auch aktiv eine Beschäftigung in Deutschland und Portugal besorgt sowie den Zugang zu europäischen Jobbörsen und Plattformen für Human Capital Management gesichert.
Mittelsmänner in Europa und vermehrte Erpressungsversuche
Noch besorgniserregender ist die Tatsache, dass in Großbritannien ansässige Vermittler – möglicherweise unwissentlich – diesen Agenten helfen, Unternehmen zu infiltrieren. Zu den neuen Taktiken gehören außerdem verstärkte Erpressungsversuche. Seit Ende Oktober 2024 haben die nordkoreanischen IT-Fachkräfte ihre Erpressungsversuche deutlich verstärkt. Kürzlich entlassene Mitarbeiter haben damit gedroht, geschützte Daten und Quellcode an Konkurrenten weiterzugeben. Während diese Versuche zunächst auf kleinere Organisationen abzielten, hat die zunehmende Strafverfolgung sie dazu gebracht, sich mit höheren Lösegeldforderungen auf größere Unternehmen zu konzentrieren.
„Europa muss umgehend aufwachen. Obwohl wir im Fadenkreuz nordkoreanischer IT-Arbeiter stehen, nehmen zu viele dies als ein amerikanisches Problem wahr. Die jüngsten Änderungen der nordkoreanischen Taktik sind wahrscheinlich auf Hürden in den Einsätzen in den USA zurückzuführen. Sie zeigen, wie agil die IT-Fachkräfte sind und wie gut sie sich an veränderte Umstände anpassen können. Vor dem aktuellen Vorstoß kamen aus Nordkorea zehn Jahre lang eine Reihe unterschiedlicher Cyberangriffe – von Angriffen auf das Bezahlsystem SWIFT und Ransomware bis hin zum Diebstahl von Kryptowährungen und der Kompromittierung von Lieferketten. Diese unermüdliche Innovation zeigt, dass Nordkorea seit langem versucht, sein Regime durch Cyberoperationen zu finanzieren“, kommentiert Jamie Collier, Lead Threat Intelligence Advisor, Europe bei der Google Threat Intelligence Group, die Entwicklung.
Mehr bei Mandiant.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.