Nordkoreanische Hacker stahlen 88 Millionen Dollar, indem sie sich als US-Techniker ausgaben

Flashpoint deckt auf, wie nordkoreanische Hacker mit gefälschten Identitäten IT-Jobs in den USA sicherten und so 88 Millionen Dollar erbeuteten. Erfahren Sie, wie sie mit gefälschten Identitäten und Technologie den Betrug begingen.

Nordkoreanische Hacker nutzten gestohlene Identitäten, um sich IT-Jobs bei US-Unternehmen und gemeinnützigen Organisationen zu sichern und erbeuteten so innerhalb von sechs Jahren mindestens 88 Millionen US-Dollar. Das US-Justizministerium erhob am 12. Dezember 2024 Anklage gegen vierzehn nordkoreanische Staatsbürger. Das Sicherheitsunternehmen Flashpoint führte eine einzigartige Untersuchung durch und analysierte Daten von den infizierten Computern der Hacker, um deren Taktiken und exklusive Details zu diesem Plan aufzudecken.

Die Ermittlungen von Flashpoint deckten auf, dass die in der Anklageschrift genannten Scheinfirmen, darunter „Baby Box Info“, „Helix US“ und „Cubix Tech US“, dazu benutzt wurden, glaubwürdige Lebensläufe zu erstellen und gefälschte Referenzen vorzulegen. Die Forscher spürten infizierte Computer auf, insbesondere einen in Lahore, Pakistan, auf dem Anmeldedaten für E-Mail-Adressen dieser Scheinfirmen gespeichert waren. Auf einem dieser Rechner wurde der Benutzername „jsilver617“ gefunden, der möglicherweise mit der gefälschten US-Identität „JS“ verknüpft war. Mit diesem Rechner wurden 2023 Bewerbungen auf zahlreiche Stellen im Technologiebereich eingereicht.

Ein entscheidender Beweis war die umfangreiche Nutzung des Google-Übersetzers zwischen Englisch und Koreanisch, die im Browserverlauf eines infizierten Computers gefunden wurde und auf die Herkunft der Hacker hinwies. Übersetzte Nachrichten enthüllten ihre Methoden zur Erstellung gefälschter Arbeitszeugnisse, darunter sogar gefälschte Kontaktdaten von Mitarbeitern der Scheinfirmen. Eine übersetzte Nachricht, die sich als Personalmanager von „Cubix“ ausgab, enthielt falsche Angaben zur Beschäftigungsbestätigung.

Weitere Mitteilungen deuteten auf eine hierarchische Struktur innerhalb des Unternehmens hin und diskutierten über „Handlungsmethoden“, beispielsweise Strategien zur Vermeidung von Webcams bei Online-Meetings. Frustration über die schlechte Leistung eines Remote-Mitarbeiters wurde auch in einer übersetzten Nachricht deutlich: „Das ist der Beweis, dass Sie ein Versager sind.“

Die Untersuchung deckte auch Diskussionen über den Versand elektronischer Geräte, vermutlich Laptops und Telefone, für die Remote-Arbeit auf. Dies steht im Einklang mit der jüngsten Berichterstattung von Hackread.com über Laptop-Farmen , bei denen US-amerikanische Kollaborateure Geräte für den Fernzugriff nordkoreanischer Arbeiter erhielten. Als Haupttäter wurde die bekannte nordkoreanische Gruppe Nickel Tapestry identifiziert.

In diesem Fall bezog sich eine übersetzte Nachricht auf die Lieferung von Laptops nach Nigeria. Der Browserverlauf offenbarte Trackingnummern internationaler Kurierdienste, darunter auch eine Sendung, die möglicherweise aus Dubai stammte.

Übersetzung bereitgestellt von Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

Die Untersuchung ergab außerdem, dass auf den infizierten Rechnern die Remote-Desktop-Software AnyDesk zum Einsatz kam. Dies deutet darauf hin, dass die nordkoreanischen Agenten per Fernzugriff auf die Systeme des US-Unternehmens zugegriffen haben. Dieses Detail unterstreicht den direkten Zugriff, den sie auf sensible Unternehmensnetzwerke erlangten.

„Seit der Entdeckung berichten Fortune 500-Unternehmen sowie die Technologie- und Kryptowährungsbranche von noch mehr geheimen nordkoreanischen Agenten, die Gelder, geistiges Eigentum und Informationen abzweigen“, ergab die Untersuchung von Flashpoint, die Hackread.com vorliegt.

Der Insider-Einblick von Flashpoint in diese Operation, der durch die Analyse kompromittierter Anmeldeinformationen und Infostealer-Protokolle ermöglicht wurde, bietet ein detailliertes Verständnis des ausgeklügelten und profitablen Cyberbetrugs Nordkoreas, der auf US-Organisationen abzielt.