US-Justizministerium beantragt Verfall von 7,74 Millionen Dollar
Das US-Justizministerium hat in der vergangenen Woche einen Antrag auf zivilrechtlichen Verfall in Höhe von 7,74 Millionen Dollar in Kryptowährung eingereicht, die von nordkoreanischen IT-Arbeitern gewaschen wurde. Diese IT-Arbeiter hatten betrügerisch einen Job bei Unternehmen in den USA und im Ausland ergattert. Die US-Regierung beschlagnahmte die Mittel im Rahmen einer Operation gegen einen nordkoreanischen Plan zur Umgehung von Sanktionen. Im April 2023 wurde ein Vertreter der North Korean Foreign Trade Bank, Sim Hyon Sop, im Zusammenhang mit diesem Plan angeklagt.
Methoden nordkoreanischer IT-Arbeiter
Laut dem DOJ erlangten nordkoreanische IT-Arbeiter Anstellungen bei US-Kryptounternehmen, indem sie gefälschte oder betrügerisch erlangte Identitäten verwendeten. Mit diesen Einnahmen wäschtet Sim Hyon Sop die Gelder zum Nutzen des Regimes in Pjöngjang. Die Beschwerde über den Verfall zeigt zudem, dass die IT-Arbeiter weltweit an verschiedenen Standorten tätig waren, darunter China, Russland und Laos. Durch das Verbergen ihrer wahren Identitäten und Standorte konnten sie Beschäftigung bei Blockchain-Firmen sichern, die sie zumeist in Stablecoins wie USDC oder Tether bezahlten.
„Seit Jahren nutzt Nordkorea globale Remote-IT-Verträge und das Kryptowährungs-Ökosystem, um US-Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren“, erklärte Sue J. Bai, die Leiterin der National Security Division des DOJ.
Verfahren und Anklagen
Das Justizministerium berichtete auch, dass die IT-Arbeiter verschiedene Methoden zum Waschen ihres betrügerischen Einkommens anwenden, darunter:
- Einrichten von Handelskonten mit gefälschten Ausweisen
- Tätigen von mehreren kleinen Transfers
- Wechsel von Token
- Kauf von NFTs
- Mischen ihrer Mittel
Nachdem die Gelder gewaschen waren, wurden sie über Sim Hyon Sop und Kim Sang Man, den CEO eines Unternehmens, das unter dem nordkoreanischen Verteidigungsministerium operiert, an die nordkoreanische Regierung überwiesen.
Das DOJ hat Sim Hyon Sop im April 2023 wegen zweier separat verfolgter Anklagen angeklagt:
- Verschwörung mit nordkoreanischen Arbeitern, um Einkommen durch betrügerische Beschäftigung zu erzielen
- Verschwörung mit OTC-Krypto-Händlern, um das betrügerisch generierte Einkommen zur Beschaffung von Waren für Nordkorea zu nutzen
Das FBI Chicago Field Office und die Virtual Assets Unit des FBI untersuchen derzeit die Fälle im Zusammenhang mit der Verfallsklage, die das DOJ beim US-Bezirksgericht für den District of Columbia eingereicht hat.
„Die Ermittlungen des FBI haben eine massive Kampagne von nordkoreanischen IT-Arbeitern aufgedeckt, die US-Unternehmen betrügen, indem sie sich unter Verwendung gestohlener Identitäten amerikanischer Staatsbürger Beschäftigungen verschaffen, damit die nordkoreanische Regierung US-Sanktionen umgeht und Einnahmen für ihr autoritäres Regime generiert“, meinte Roman Rozhavsky, der stellvertretende Direktor der Abteilung für gegnerische Aufklärung des FBI.
Wachsende Bedrohung durch nordkoreanische IT-Arbeiter
Obwohl das genaue Ausmaß der betrügerischen nordkoreanischen IT-Arbeit nicht vollständig erfasst werden kann, sind sich die meisten Experten einig, dass das Problem an Bedeutung gewinnt. Andrew Fierman, Leiter von National Security Intelligence bei Chainalysis, erklärte gegenüber Decrypt:
„Die Bedrohung von nordkoreanischen IT-Arbeitern, die sich als legitime Remote-Mitarbeiter ausgeben, wächst erheblich und schnell.“
Fierman zitiert das Beispiel der Anklage des DOJ gegen 14 nordkoreanische Staatsangehörige im Dezember, die ebenfalls mit falschen Ausweisen operierten und durch ein sechsjähriges Schema 88 Millionen Dollar verdienten.
Andere Sicherheitsexperten sind sich einig, dass die Bedrohung durch illegale nordkoreanische IT-Mitarbeiter zunehmend verbreitet ist. Michael Barnhart, Principal i3 Insider Investigator bei DTEX Systems, erklärt gegenüber Decrypt, dass die Taktiken dieser Akteure immer ausgeklügelter wurden.
„Diese Operateure sind nicht nur eine potenzielle Bedrohung; sie haben sich bereits aktiv in Organisationen integriert, wobei kritische Infrastrukturen und globale Lieferketten bereits kompromittiert sind.“
Er berichtet zudem, dass nordkoreanische Bedrohungsakteure sogar begonnen haben, Vorfirmen zu gründen, die sich als vertrauenswürdige Dritte ausgeben, oder sich in legale Dritte zu integrieren, die möglicherweise nicht die gleichen strengen Sicherheitsvorkehrungen wie größere Organisationen nutzen.
Zusammenfassung und Ausblick
Der Verfallantrag vom Donnerstag deutet zwar darauf hin, dass die US-Regierung zusätzliche Kontrolle über die Operationen Nordkoreas gewinnt, lässt jedoch darauf schließen, dass die zunehmende Raffinesse dieser Aktivitäten ein Signal sein könnte, dass amerikanische und internationale Behörden weiterhin hinterherhinken. Wie Andrew Fierman sagt:
„Was besonders besorgniserregend ist, ist, wie nahtlos diese Arbeiter sich anpassen: Sie nutzen generative KI für gefälschte Identitäten, Deepfake-Tools für Interviews und sogar Unterstützungssysteme, um technische Überprüfungen zu bestehen.“
Im April enthüllte die Threat Intelligence Group von Google, dass nordkoreanische Akteure über die USA hinausgegangen sind und sich auch in Kryptowährungsprojekte im Vereinigten Königreich, in Deutschland, Portugal und Serbien einzuschleusen versuchen. Dazu gehören Projekte, die Blockchain-Marktplätze, KI-Webanwendungen und Solana-Smart-Verträge entwickeln, wobei Komplizen im Vereinigten Königreich und in den USA den Operateuren helfen, ID-Prüfungen zu umgehen und Zahlungen über TransferWise und Payoneer zu erhalten.
Bearbeitet von Stacy Elliott.
