Nordkoreanische IT-Frontfirmen täuschen US-Unternehmen zur Finanzierung von Raketenprogrammen

MÜNCHEN (IT BOLTWISE) – Nordkoreanische Bedrohungsakteure nutzen gefälschte Identitäten, um als IT-Arbeiter in US-Unternehmen tätig zu werden und so internationale Sanktionen zu umgehen. Diese Strategie dient der Finanzierung von Massenvernichtungswaffen und ballistischen Raketenprogrammen.

Nordkoreanische Akteure, die mit der Demokratischen Volksrepublik Korea (DVRK) in Verbindung stehen, haben eine raffinierte Methode entwickelt, um internationale Sanktionen zu umgehen und illegale Einnahmen zu generieren. Sie geben sich als US-amerikanische Software- und Technologieberatungsunternehmen aus, um ihre finanziellen Ziele zu erreichen. Diese Frontfirmen, die oft in China, Russland, Südostasien und Afrika ansässig sind, spielen eine entscheidende Rolle bei der Verschleierung der wahren Herkunft der Arbeiter und der Verwaltung von Zahlungen. Laut Sicherheitsforschern von SentinelOne, Tom Hegel und Dakota Cary, ist das Netzwerk nordkoreanischer IT-Arbeiter sowohl individuell als auch unter dem Deckmantel von Frontfirmen tätig. Diese globale Kampagne, die auch als Wagemole bekannt ist, umfasst die Verwendung gefälschter Identitäten, um Anstellungen bei verschiedenen Unternehmen in den USA und anderswo zu erhalten. Ein Großteil ihrer Gehälter wird in die DVRK zurückgeschickt, um deren Programme für Massenvernichtungswaffen und ballistische Raketen zu finanzieren. Im Oktober 2023 beschlagnahmte die US-Regierung 17 Websites, die sich als US-amerikanische IT-Dienstleistungsunternehmen ausgaben, um Unternehmen im In- und Ausland zu betrügen. Diese Websites ermöglichten es nordkoreanischen IT-Arbeitern, ihre wahre Identität und ihren Standort zu verbergen, wenn sie sich online für Remote-Arbeiten bewarben. Die IT-Arbeiter arbeiteten für zwei Unternehmen mit Sitz in China und Russland, Yanbian Silverstar Network Technology Co. Ltd. und Volasys Silver Star. Diese IT-Arbeiter leiteten Einkommen aus ihrer betrügerischen IT-Arbeit über Online-Zahlungsdienste und chinesische Bankkonten an die DVRK weiter, wie das US-Justizministerium mitteilte. SentinelOne analysierte vier neue nordkoreanische IT-Frontfirmen, die alle über NameCheap registriert waren und sich als Entwicklungs-Outsourcing-, Beratungs- und Softwareunternehmen ausgaben, während sie ihre Inhalte von legitimen Unternehmen kopierten. Alle genannten Websites wurden von der US-Regierung beschlagnahmt, aber SentinelOne konnte sie auf ein breiteres, aktives Netzwerk von Frontfirmen aus China zurückverfolgen. Zudem wurde eine neue Frontfirma namens Shenyang Huguo Technology Ltd identifiziert, die ähnliche Merkmale aufweist, darunter die Verwendung kopierter Inhalte und Logos eines indischen Softwareunternehmens. Diese Taktiken verdeutlichen eine bewusste und sich entwickelnde Strategie, die die globale digitale Wirtschaft nutzt, um staatliche Aktivitäten, einschließlich der Waffenentwicklung, zu finanzieren. Organisationen wird geraten, robuste Prüfprozesse zu implementieren, einschließlich einer sorgfältigen Überprüfung potenzieller Auftragnehmer und Lieferanten, um Risiken zu mindern und eine unbeabsichtigte Unterstützung solcher illegalen Operationen zu verhindern. Die Enthüllungen folgen auf Erkenntnisse von Unit 42, dass ein nordkoreanischer IT-Arbeiter-Aktivitätscluster, genannt CL-STA-0237, an kürzlichen Phishing-Angriffen beteiligt war, bei denen mit Malware infizierte Videokonferenz-Apps eingesetzt wurden, um die BeaverTail-Malware zu verbreiten. Dies deutet auf Verbindungen zwischen Wagemole und einem weiteren Eindringungsset namens Contagious Interview hin. CL-STA-0237 nutzte ein US-amerikanisches IT-Dienstleistungsunternehmen für kleine und mittelständische Unternehmen, um sich für andere Jobs zu bewerben. Im Jahr 2022 sicherte sich CL-STA-0237 eine Position bei einem großen Technologieunternehmen. Während die genaue Natur der Beziehung zwischen dem Bedrohungsakteur und dem ausgenutzten Unternehmen unklar ist, wird angenommen, dass CL-STA-0237 entweder die Anmeldedaten des Unternehmens gestohlen hat oder als ausgelagerter Mitarbeiter eingestellt wurde und sich nun als das Unternehmen ausgibt, um IT-Jobs zu sichern und potenzielle Arbeitssuchende mit Malware unter dem Vorwand eines Vorstellungsgesprächs anzugreifen. Nordkoreanische Bedrohungsakteure waren sehr erfolgreich darin, Einnahmen zu generieren, um die illegalen Aktivitäten ihres Landes zu finanzieren, so Unit 42. Der Cluster operiert wahrscheinlich aus Laos und begann damit, sich als falsche IT-Arbeiter auszugeben, um konstante Einkommensströme zu sichern. Sie haben jedoch begonnen, in aggressivere Rollen überzugehen, einschließlich der Teilnahme an Insider-Bedrohungen und Malware-Angriffen.