Nordkorea hat Berichten zufolge Freiberufler engagiert, um deren Identitäten zu nutzen und sich IT-Rollen zu sichern; eine strategische Änderung gegenüber ihrer früheren Methode, gefälschte Identifikationen zu verwenden, um Remote-Rollen zu erhalten. Diese Strategie umfasst nun den direkten Kontakt mit potenziellen Freiberuflern auf Rekrutierungsplattformen wie Upwork, Freelancer und GitHub, woraufhin die Gespräche auf Telegram oder Discord verlagert werden. Dort werden die Freiberufler bei der Einrichtung von Remote-Zugriffstools unterstützt und ihre Identitäten verifiziert.
Proxy-Identitäten in IT-Operationen
Heiner Garcia, ein Experte für Cyberbedrohungsinformationen bei Telefonica und ein Forscher für Blockchain-Sicherheit, enthüllte, dass nordkoreanische Agenten nun Überprüfungsbarrieren umgehen, indem sie mit legitimen Nutzern zusammenarbeiten, die ihnen Fernzugriff auf ihre Systeme bieten. Interessanterweise erhalten diese Nutzer nur 20 % des Verdienstes, der Rest wird über Kryptowährungen oder reguläre Bankkonten an die Agenten weitergeleitet.
Durch die Ausnutzung tatsächlicher Identitäten und lokaler Internetverbindungen umgehen diese IT-Agenten effizient Mechanismen, die bestimmte Geografien als risikoreich kennzeichnen und die Verwendung von VPNs identifizieren sollen. Diese Taktikänderung zeigt eine bedeutende Veränderung in der Arbeitsweise nordkoreanischer IT-Agenten und eine gesteigerte Raffinesse zur Vermeidung von Entdeckung.
Freiberufler zu illegalen Aufgaben verleiten
Früher in diesem Jahr gründete Garcia ein gefälschtes Krypto-Unternehmen und führte ein Interview mit einem angeblich nach einem Remote-Tech-Job suchenden nordkoreanischen Agenten. Der Interviewte behauptete, Japaner zu sein, beendete das Gespräch jedoch abrupt, als er gebeten wurde, sich auf Japanisch vorzustellen. All diese realen Beispiele deuten darauf hin, dass viele Einzelpersonen getäuscht werden und unwissentlich als Stellvertreter für nordkoreanische Agenten agieren. Sie glauben, dass sie sich an normalen Subunternehmerverträgen beteiligen.
Opfer und Täter im Betrug
Protokolle von überprüften Chat-Protokollen deuten darauf hin, dass diese rekrutierten Stellvertreter meist selbst nicht technisch versiert sind. Sie stellen grundlegende, geschäftsbezogene Fragen, führen keine technischen Arbeiten selbst aus und lassen die Agenten in ihrem Namen arbeiten und liefern. Während viele offenbar unwissend über die Situation als Opfer erscheinen, zeigen einige volles Wissen über ihre Beteiligung an dem Schema.
Matthew Isaac Knoot aus Nashville wurde im August 2024 vom US-Justizministerium verhaftet, weil er eine Laptop-Farm betrieb, die nordkoreanischen IT-Agenten ermöglichte, ihre Operationen zu starten, während sie als in den USA ansässige Mitarbeiter mit gestohlenen Identitäten auftraten. In einem identischen Fall wurde Christina Marie Chapman in Arizona zu mehr als acht Jahren Gefängnis verurteilt, weil sie einen ähnlichen Betrieb leitete, der über 17 Millionen Dollar nach Nordkorea leitete.
Einen Unternehmensauftritt gewinnen
Nordkorea versucht Berichten zufolge seit Jahren, die Technologie- und Kryptowährungsindustrien zu infiltrieren, um Einnahmen zu generieren und Unternehmenspräsenz außerhalb seiner Grenzen zu sichern. Diese neueste Strategie der Nutzung von Freiberufler-Identitäten ist nur ein weiterer evidenzieller Meilenstein auf diesem Weg. Diese IT-Aufgaben und der Diebstahl von Kryptowährungen, so die Vereinten Nationen, finanzieren die Raketen- und Waffenprogramme des Landes.
Jenseits von Krypto
Garcias Forschung und nachfolgende Berichte deuten darauf hin, dass die Nutzung von Freiberufler-Identitäten nicht nur auf die Krypto-Welt beschränkt ist. Sie erstreckt sich auf jeden Job, auf den diese Agenten zugreifen können, einschließlich Architektur, Design, Kundendienst usw. Die Aufdeckung dieser bösartigen Handlungen erfolgt in der Regel erst, nachdem ungewöhnliches Verhalten Erkennungsmechanismen auslöst, nur damit der Agent zu einer neuen Identität wechselt und den Zyklus fortsetzt.
Wichtige Erkenntnisse
So umständlich es auch scheinen mag, diese Identitätswechsel erschweren die Zuordnung und Strafverfolgung der wirklich Verantwortlichen. Personen, deren Identitäten verwendet werden, werden oft getäuscht, während die tatsächliche Person hinter der Tastatur von einem anderen Land aus operiert und unsichtbar für Freiberuflerplattformen und Kunden bleibt. Die Schlüsselfrage in all diesen Operationen ist die Aufforderung, Remote-Zugriffssoftware zu installieren oder jemandem die Arbeit von Ihrem verifizierten Konto aus zu erlauben – ein legitimer Einstellungsprozess würde nicht die Kontrolle über Ihr Gerät oder Ihre Identität erfordern.
