Infiltration eines Blockchain-Startups
Vier nordkoreanische Staatsangehörige infiltrierten ein in Atlanta ansässiges Blockchain-Startup und stahlen fast 1 Million Dollar in Kryptowährung, indem sie sich als Remote-Entwickler ausgaben. Dies gaben die Bundesstaatsanwälte des Northern District of Georgia am Montag bekannt und erläuterten die Anklage, die auf fünf Fällen von Betrug und Geldwäsche basiert.
Die Vorgehensweise der Täter
Die Angeklagten operierten zunächst als Team in den VAE, bevor sie in US-amerikanische und serbische Krypto-Firmen als Remote-IT-Arbeiter eindrangen. Nachdem sie Vertrauen gewonnen hatten, stahlen sie in zwei separaten Vorfällen im Jahr 2022 175.000 Dollar und 740.000 Dollar, indem sie die Gelder über Mixer und Börsen mit gefälschten Identifikationsdokumenten wuschen.
Andrew Fierman, Leiter der nationalen Sicherheit bei der Blockchain-Analysefirma Chainalysis, erklärte gegenüber Decrypt, dass die mutmaßlichen Täter als „nordkoreanische IT-Arbeiter“ bezeichnet werden und sich „innerhalb dieser Organisationen einbetten“, um „Intelligenz zu sammeln, Sicherheitsprotokolle zu manipulieren und sogar Insider-Angriffe zu erleichtern“.
Die gestohlene Kryptowährung verschwand durch ein Labyrinth von Transaktionen, das darauf ausgelegt war, ihren Ursprung zu verschleiern – eine ausgeklügelte Strategie, die Nordkorea über Jahre hinweg in Cyberkriminalitätsoperationen verfeinert hat. Das DOJ reagierte nicht sofort auf Decrypts Anfrage nach einem Kommentar.
Die Taktiken der Bedrohungsakteure
Fierman betonte, dass diese Taktiken „ein Muster darstellen, das zunehmend zum Standardverfahren geworden ist“. Die Bedrohungsakteure werden eingestellt, indem sie „falsifizierte Dokumente“ verwenden und „ihren nordkoreanischen Bezug maskieren“. Neben dem Versenden ihrer Vergütung „zurück zum Regime“ warten die Arbeiter auch „geduldig auf die Gelegenheit, auf die Mittel des Web3-Unternehmens zuzugreifen, in das sie infiltriert haben“, um mehr zu stehlen.
Diese Vorfälle offenbaren eine Verwundbarkeit in der Remote-first-Kultur der Krypto-Branche, in der Unternehmen, die global einstellen, möglicherweise Hintergrundprüfungen überspringen. Dies ermöglicht es staatlich geförderten Akteuren mit gefälschten Identitäten, Lücken auszunutzen.
„Leider vermeiden viele Teams persönliche Treffen und ziehen es vor, ‚günstigere‘ Entwickler einzustellen, anstatt bekannte Personen in unserem Sektor zu engagieren“, sagte Vladimir Sobolev, Bedrohungsforscher bei der Blockchain-Sicherheitsfirma Hexens, gegenüber Decrypt. „Das ist ein grundlegendes Problem.“
Langfristige Cyberoperationen
Sobolev beschreibt die Cyberoperationen Nordkoreas als ein „langfristiges Unterfangen“ und merkt an, dass das Land seit langem in diesen Aktivitäten engagiert ist, sogar „vor der Popularität von Blockchain und Web3“. Anfang dieses Monats erläuterten die Bundesstaatsanwälte in einer zivilrechtlichen Klage, wie „Zehntausende Millionen in einem größeren nordkoreanischen IT-Arbeiter-Krypto-Schema ausgebeutet wurden“, sagte Fierman und teilte Dokumente, die von Decrypt überprüft wurden.
In einer separaten Pressemitteilung erklärte das DOJ, dass es koordinierte Razzien in 16 Bundesstaaten durchgeführt hat, bei denen 29 Finanzkonten, 21 betrügerische Websites und etwa 200 Computer von „Laptop-Farmen“, die nordkoreanische IT-Schemata unterstützen, einschließlich der vier zuvor genannten, beschlagnahmt wurden.
Die Durchsetzungsmaßnahmen zeigten, wie nordkoreanische Agenten diese Laptop-Farmen als Remote-Zugriffspunkte nutzten, die es Operativen ermöglichten, Smart Contracts zu ändern und Krypto-Mittel abzuziehen, während sie vorgaben, von US-Standorten aus zu arbeiten.
„Die Fähigkeit von Organisationen, diese Bedrohungen zu erkennen und ihr Unternehmen dagegen zu schützen, wird entscheidend sein“, warnte Fierman.
Bearbeitet von Sebastian Sinclair
