Nordkoreanische Hackergruppen und ihre Methoden
Nordkoreanische Hackergruppen nutzen die Verlockung von freiberuflicher IT-Arbeit, um Zugang zu Cloud-Systemen zu erlangen und Kryptowährungen im Wert von Millionen Dollar zu stehlen. Dies geht aus separaten Forschungen von Google Cloud und der Sicherheitsfirma Wiz hervor.
Berichte über Hackeraktivitäten
Der „H2 2025 Cloud Threat Horizons Report“ von Google Cloud zeigt, dass die Google Threat Intelligence Group UNC4899, eine nordkoreanische Hackergruppe, „aktiv verfolgt“ wird, nachdem sie erfolgreich zwei Unternehmen gehackt hat, indem sie Mitarbeiter über soziale Medien kontaktiert hat. In beiden Fällen gab UNC4899 den Mitarbeitern Aufgaben, die dazu führten, dass diese unwissentlich Malware auf ihren Arbeitsstationen ausführten.
„Sie geben häufig vor, Personalvermittler, Journalisten, Fachexperten oder Hochschulprofessoren zu sein, wenn sie Ziele kontaktieren“, erklärte Jamie Collier, der leitende Berater für Bedrohungsintelligenz für Europa bei der Google Threat Intelligence Group.
Durch diese Methoden konnte die Hackergruppe Verbindungen zwischen ihren Kommando- und Kontrollzentren und den cloudbasierten Systemen der Zielunternehmen herstellen. Infolgedessen war UNC4899 in der Lage, die Cloud-Umgebungen der Opfer zu erkunden, Zugangsdaten zu beschaffen und letztendlich Hosts zu identifizieren, die für die Verarbeitung von Krypto-Transaktionen verantwortlich waren.
Die Entwicklung der Bedrohungen
Die Verwendung von gefälschten Stellenangeboten durch nordkoreanische Hacker ist mittlerweile „recht verbreitet und weit verbreitet“, was auf einen erheblichen Grad an Raffinesse hinweist. Collier erläuterte, dass nordkoreanische Bedrohungsakteure zu den ersten gehörten, die neue Technologien wie KI schnell übernommen haben, um „überzeugendere E-Mails zum Beziehungsaufbau“ zu erstellen und ihre bösartigen Skripte zu schreiben.
Die Cloud-Sicherheitsfirma Wiz berichtet ebenfalls über die Machenschaften von UNC4899 und weist darauf hin, dass die Gruppe auch unter den Namen TraderTraitor, Jade Sleet und Slow Pisces bekannt ist. TraderTraitor repräsentiert eine bestimmte Art von Bedrohungsaktivität und nicht eine spezifische Gruppe.
Erfolge und Ziele der Hackergruppen
In ihrer Analyse von UNC4899/TraderTraitor stellt Wiz fest, dass die Kampagnen bereits 2020 begannen und dass die verantwortlichen Hackergruppen von Anfang an Stellenangebote nutzten, um Mitarbeiter dazu zu bringen, bösartige Krypto-Apps herunterzuladen. Die Kampagne der Gruppe von 2020 bis 2022 „durchbrach erfolgreich mehrere Organisationen“, einschließlich des $620 Millionen-Hacks der Lazarus Group auf das Ronin-Netzwerk von Axie Infinity.
Besonders bemerkenswert ist, dass TraderTraitor-Gruppen für den $305 Millionen-Hack von Japans DMM Bitcoin verantwortlich waren und auch für den $1,5 Milliarden-Hack von Bybit Ende 2024.
Die Zukunft der Bedrohungen
„Wir glauben, dass TraderTraitor sich auf cloudbezogene Angriffe und Techniken konzentriert hat, weil dort die Daten und damit das Geld sind“, sagte Benjamin Read, Direktor für strategische Bedrohungsintelligenz bei Wiz. Diese Gruppen machen großes Geschäft, mit Schätzungen von 1,6 Milliarden Dollar an gestohlenen Kryptowährungen bis jetzt im Jahr 2025.
„Nordkoreanische Bedrohungsakteure sind eine dynamische und agile Kraft, die sich kontinuierlich an die strategischen und finanziellen Ziele des Regimes anpasst“, sagte Collier von Google.
Experten sind sich einig, dass alle verfügbaren Anzeichen darauf hindeuten, dass das Land wahrscheinlich noch einige Zeit ein fester Bestandteil des krypto-bezogenen Hackings bleiben wird, insbesondere angesichts der Fähigkeit seiner Operativen, neue Techniken zu entwickeln.
