Warnung vor nordkoreanischen Deepfake-Angriffen
Das Sicherheitsteam von Google, Mandiant, hat gewarnt, dass nordkoreanische Hacker künstlich generierte Deepfakes in gefälschte Videokonferenzen integrieren. Dies geschieht im Rahmen zunehmend ausgeklügelter Angriffe auf Krypto-Unternehmen, wie ein am Montag veröffentlichter Bericht zeigt.
Details des Angriffs
Mandiant gab an, kürzlich einen Eindringling bei einem Fintech-Unternehmen untersucht zu haben, den es UNC1069 oder „CryptoCore“ zuschreibt – einem Bedrohungsakteur, der mit hoher Zuversicht mit Nordkorea in Verbindung gebracht wird. Der Angriff nutzte ein kompromittiertes Telegram-Konto, ein gefälschtes Zoom-Meeting und eine sogenannte ClickFix-Technik, um das Opfer dazu zu bringen, schädliche Befehle auszuführen.
Die Ermittler fanden auch Beweise dafür, dass KI-generiertes Video verwendet wurde, um das Ziel während des gefälschten Meetings zu täuschen. „Mandiant hat beobachtet, dass UNC1069 diese Techniken einsetzt, um sowohl Unternehmensentitäten als auch Einzelpersonen innerhalb der Kryptowährungsindustrie anzugreifen, einschließlich Softwarefirmen und deren Entwicklern sowie Risikokapitalgesellschaften und deren Mitarbeitern oder Führungskräften“, heißt es in dem Bericht.
Steigende Krypto-Diebstähle
Die Warnung erfolgt, während die Krypto-Diebstähle Nordkoreas weiterhin an Umfang zunehmen. Mitte Dezember berichtete die Blockchain-Analysefirma Chainalysis, dass nordkoreanische Hacker im Jahr 2025 Kryptowährungen im Wert von 2,02 Milliarden Dollar gestohlen haben, was einem Anstieg von 51 % im Vergleich zum Vorjahr entspricht. Der Gesamtbetrag, der von mit der DPRK verbundenen Akteuren gestohlen wurde, beläuft sich nun auf etwa 6,75 Milliarden Dollar, obwohl die Anzahl der Angriffe zurückgegangen ist.
Veränderte Angriffsstrategien
Die Ergebnisse heben einen breiteren Wandel in der Art und Weise hervor, wie staatlich verlinkte Cyberkriminelle operieren. Anstatt sich auf Massenphishing-Kampagnen zu verlassen, konzentrieren sich CryptoCore und ähnliche Gruppen auf hochgradig maßgeschneiderte Angriffe, die das Vertrauen in routinemäßige digitale Interaktionen ausnutzen, wie Kalender-Einladungen und Videoanrufe. Auf diese Weise erzielt Nordkorea größere Diebstähle durch weniger, gezieltere Vorfälle.
Der Ablauf des Angriffs
Laut Mandiant begann der Angriff, als das Opfer über Telegram von jemandem kontaktiert wurde, der als bekannter Krypto-Manager erschien, dessen Konto bereits kompromittiert war. Nachdem eine Beziehung aufgebaut wurde, sendete der Angreifer einen Calendly-Link für ein 30-minütiges Meeting, das das Opfer zu einem gefälschten Zoom-Anruf leitete, der auf der eigenen Infrastruktur der Gruppe gehostet wurde.
Während des Anrufs berichtete das Opfer, dass es ein Deepfake-Video eines bekannten Krypto-CEOs gesehen habe. Sobald das Meeting begann, behaupteten die Angreifer, es gäbe Audio-Probleme, und wiesen das Opfer an, „Fehlerbehebungs“-Befehle auszuführen, eine ClickFix-Technik, die letztendlich die Malware-Infektion auslöste.
Folgen und Analysen
Forensische Analysen identifizierten später sieben verschiedene Malware-Familien auf dem System des Opfers, die in einem offensichtlichen Versuch eingesetzt wurden, Anmeldeinformationen, Browserdaten und Sitzungstoken für finanziellen Diebstahl und zukünftige Identitätsübernahmen zu ernten.
Fraser Edwards, Mitbegründer und CEO der dezentralen Identitätsfirma cheqd, sagte, der Angriff spiegle ein Muster wider, das er wiederholt bei Menschen beobachtet, deren Jobs von Remote-Meetings und schneller Koordination abhängen. „Die Effektivität dieses Ansatzes ergibt sich daraus, wie wenig ungewöhnlich es aussehen muss“, sagte Edwards.
Die Rolle von KI in zukünftigen Angriffen
Edwards erklärte, dass Deepfake-Videos typischerweise an Eskalationspunkten eingeführt werden, wie z.B. bei Live-Anrufen, wo das Sehen eines vertrauten Gesichts Zweifel, die durch unerwartete Anfragen oder technische Probleme entstehen, überwinden kann. „Das Sehen von jemandem, der auf der Kamera real aussieht, reicht oft aus, um Zweifel zu überwinden, die durch eine unerwartete Anfrage oder ein technisches Problem entstanden sind. Das Ziel ist nicht eine längere Interaktion, sondern nur genug Realismus, um das Opfer zum nächsten Schritt zu bewegen“, sagte er.
Er fügte hinzu, dass KI jetzt auch zur Unterstützung von Identitätsübernahmen außerhalb von Live-Anrufen eingesetzt wird. „Sie wird verwendet, um Nachrichten zu entwerfen, den Tonfall zu korrigieren und die Art und Weise zu spiegeln, wie jemand normalerweise mit Kollegen oder Freunden kommuniziert. Das macht routinemäßige Nachrichten schwerer zu hinterfragen und verringert die Wahrscheinlichkeit, dass ein Empfänger lange genug pausiert, um die Interaktion zu überprüfen“, erklärte er.
Schlussfolgerung und Warnung
Edwards warnte, dass das Risiko steigen wird, wenn KI-Agenten in die alltägliche Kommunikation und Entscheidungsfindung eingeführt werden. „Agenten können Nachrichten senden, Anrufe planen und im Namen von Benutzern mit Maschinen-Geschwindigkeit handeln. Wenn diese Systeme missbraucht oder kompromittiert werden, kann Deepfake-Audio oder -Video automatisch eingesetzt werden, wodurch die Identitätsübernahme von einem manuellen Aufwand in einen skalierbaren Prozess verwandelt wird“, sagte er.
Es ist „unrealistisch“, von den meisten Benutzern zu erwarten, dass sie wissen, wie man einen Deepfake erkennt, sagte Edwards und fügte hinzu: „Die Antwort besteht nicht darin, die Benutzer zu bitten, genauer hinzusehen, sondern Systeme zu schaffen, die sie standardmäßig schützen. Das bedeutet, die Art und Weise zu verbessern, wie Authentizität signalisiert und verifiziert wird, damit Benutzer schnell verstehen können, ob Inhalte echt, synthetisch oder nicht verifiziert sind, ohne sich auf Instinkt, Vertrautheit oder manuelle Untersuchung verlassen zu müssen.“
