Hochqualifizierte Software- und App-Entwickler aus der Demokratischen Volksrepublik Korea (DVRK) geben sich als „Nicht-DDRK-Staatsangehörige“ aus, in der Hoffnung, eine freiberufliche Anstellung zu bekommen, um die bösartigen Cyberangriffe des Regimes zu ermöglichen.
Das geht aus einer gemeinsamen Mitteilung des US-Außenministeriums, des Finanzministeriums und des Federal Bureau of Investigation (FBI) hervor, die am Montag veröffentlicht wurde.
Zu den Zielen gehören Unternehmen aus den Bereichen Finanzen, Gesundheit, soziale Medien, Sport, Unterhaltung und Lifestyle in Nordamerika, Europa und Ostasien, wobei sich die meisten der entsandten Mitarbeiter in China, Russland, Afrika und Südostasien befinden.
Das Ziel, so warnen die US-Behörden, ist es, einen konstanten Einkommensstrom zu generieren, der die gegen das Land verhängten internationalen Sanktionen umgeht und dazu beiträgt, die wirtschaftlichen und sicherheitspolitischen Prioritäten des Landes zu unterstützen, einschließlich der Entwicklung von Atomwaffen und ballistischen Raketen.
„Die nordkoreanische Regierung hält bis zu 90 Prozent der Löhne der ausländischen Arbeitskräfte zurück, was der Regierung jährliche Einnahmen in Höhe von Hunderten von Millionen Dollar beschert“, heißt es in dem Leitfaden.
Einige der Kernbereiche, in denen nordkoreanische IT-Arbeitskräfte tätig sind, sind Softwareentwicklung, Krypto-Plattformen, Grafikanimation, Online-Glücksspiele, mobile Spiele, Dating-, KI- und VR-Apps, Hardware- und Firmware-Entwicklung, biometrische Erkennungssoftware und Datenbankmanagement.
Es ist bekannt, dass IT-Beschäftigte in der DVRK auch Projekte übernehmen, die mit virtuellen Währungen zu tun haben, was das anhaltende Interesse des Landes an dieser Technologie und seine Vergangenheit mit gezielten Angriffen auf den Finanzsektor widerspiegelt.
Außerdem sollen sie den privilegierten Zugang, den sie als Auftragnehmer erhalten haben, missbrauchen, um nordkoreanische staatlich geförderte Gruppen logistisch zu unterstützen, den Zugang zu virtueller Infrastruktur zu teilen, den Verkauf gestohlener Daten zu erleichtern und bei der Geldwäsche und dem Transfer virtueller Währungen zu helfen.
Neben der absichtlichen Verschleierung ihrer Identität, ihres Standorts und ihrer Nationalität im Internet durch die Verwendung von VPNs und der falschen Darstellung als südkoreanische Staatsbürger sind folgende potenzielle Warnzeichen ein Hinweis auf die Beteiligung nordkoreanischer IT-Mitarbeiter
Mehrere Logins in ein Konto von verschiedenen IP-Adressen aus in einem kurzen Zeitraum
Einloggen in mehrere Konten auf derselben Plattform von einer IP-Adresse aus
Ununterbrochenes Einloggen in Konten für einen oder mehrere Tage am Stück
Nutzung von Ports wie 3389, die mit Software zur gemeinsamen Nutzung von Remote-Desktops verbunden sind
Verwendung von betrügerischen Kundenkonten auf Plattformen für freiberufliche Arbeit, um die Bewertungen von Entwicklerkonten zu erhöhen
Mehrere Entwicklerkonten erhalten in kurzer Zeit hohe Bewertungen von einem Kundenkonto
Häufige Geldüberweisungen über Zahlungsplattformen auf in China ansässige Bankkonten, und
Suche nach Zahlungen in virtueller Währung
In einem Fall, auf den in der Mitteilung hingewiesen wird, haben nordkoreanische Entwickler, die für ein ungenanntes US-Unternehmen arbeiten, über mehrere Monate hinweg ohne Wissen des Unternehmens mehr als 50.000 US-Dollar in 30 kleinen Raten gestohlen.
„Die Einstellung oder Unterstützung von nordkoreanischen IT-Mitarbeitern birgt viele Risiken, die vom Diebstahl von geistigem Eigentum, Daten und Geldern bis hin zu Rufschädigung und rechtlichen Konsequenzen, einschließlich Sanktionen durch die USA und die Vereinten Nationen, reichen“, so das US-Außenministerium.
Das Ministerium hat im vergangenen Monat eine Belohnung in Höhe von 5 Millionen US-Dollar für Informationen angekündigt, die zur Unterbindung von Nordkoreas Kryptowährungsdiebstahl, Cyberspionage und anderen illegalen Aktivitäten führen.