USA zerschlagen nordkoreanisches IT-Betrugsnetzwerk – landesweite Maßnahmen gegen Regime-Finanzierung

Ein komplexes System zur Umgehung von Sanktionen – Das US-Justizministerium hat eine Reihe koordinierter Maßnahmen angekündigt, die sich gegen ein weit verzweigtes Täuschungs- und Cybercrime-Netzwerk richten. Im Mittelpunkt steht die Strategie Nordkoreas, durch falsche Remote-IT-Beschäftigung und Kryptowährungsdiebstähle Einnahmen zur Finanzierung des eigenen Waffenprogramms zu generieren – trotz internationaler Sanktionen.

Die jetzt offengelegten Fälle umfassen sowohl klassische Sozialingenieursmethoden wie Identitätsmissbrauch als auch hochentwickelte Cyberangriffe durch die bekannte nordkoreanische APT-Gruppe APT38.

Remote-IT-Fraud: 136 US-Unternehmen betroffen

Laut Gerichtsunterlagen unterstützten US- und ukrainische Mittelsmänner nordkoreanische IT-Fachkräfte dabei, sich mithilfe gestohlener oder gefälschter Identitäten bei US-Unternehmen als Remote-Worker auszugeben.

Kernpunkte des Modus Operandi:

• Nutzung gestohlener Identitäten von US-Bürgern

• Bereitstellung von in den USA gehosteten Endgeräten

• Installation von Remote-Access-Software ohne Genehmigung

• Umgehung von Background Checks, teils inklusive fingierter Drogentests

• Täuschung über den tatsächlichen Arbeitsort

Auswirkungen:

• 136 kompromittierte Unternehmen

• 2,2 Mio. US-Dollar Einnahmen für Nordkorea

• Identitätsdiebstahl von mehr als 18 US-Bürgern

Diese Vorgehensweise ist seit 2022 Gegenstand offizieller Sicherheitswarnungen, doch das Ausmaß der nun bestätigten Fälle markiert eine drastische Eskalation.

APT38: Millionenraub über Krypto-Plattformen

Parallel zu den Social-Engineering-Kampagnen führte die APT-Gruppe APT38 mehrere groß angelegte Kryptowährungsdiebstähle durch.

2023 verübte APT38 vier Angriffe auf Zahlungsdienstleister und Börsen, darunter Plattformen aus Estland, Panama und den Seychellen:

• 37 Mio. US-Dollar (Estland, Juli 2023)

• 100 Mio. US-Dollar (Panama, Juli 2023)

• 138 Mio. US-Dollar (Panama, November 2023)

• 107 Mio. US-Dollar (Seychellen, November 2023)

Insgesamt wurden Kryptowährungen im Wert von über 15 Mio. US-Dollar eingefroren – ein Betrag, der nun zivilrechtlich eingezogen und den rechtmäßigen Eigentümern zurückgeführt werden soll.

Stimmen aus dem US-Justizapparat

John A. Eisenberg, stellvertretender Generalstaatsanwalt für nationale Sicherheit, betont die zentrale Bedeutung der Maßnahmen:

„Diese Aktionen unterbinden Nordkoreas Versuche, sein Waffenprogramm auf Kosten amerikanischer Bürger zu finanzieren.“

Das FBI ergänzte, die Ermittlungen zeigten die Unerbittlichkeit nordkoreanischer Bemühungen, Sanktionen zu unterlaufen – und fordert Unternehmen zu erhöhter Wachsamkeit bei Remote-Onboarding-Prozessen auf.

Details zu den Schuldbekenntnissen

Südlicher Bezirk von Georgia: Drei US-Staatsbürger

• Audricus Phagnasay (24)

• Jason Salazar (30)

• Alexander Paul Travis (34)

Alle drei bekannten sich der Verschwörung zum Telekommunikationsbetrug schuldig. Sie:

• stellten ihre Identitäten zur Verfügung

• hosteten Unternehmenslaptops

• installierten Remote-Access-Software

• nahmen sogar stellvertretend Drogentests für nordkoreanische IT-Fachkräfte ab

Der Gesamtschaden: 1,28 Mio. US-Dollar.

District of Columbia: Identitätshändler Oleksandr Didenko

Der Ukrainer Didenko gestand den Handel mit gestohlenen Identitäten für IT-Fachkräfte, darunter Nordkoreaner.
Schadensbilanz:

• 40 infiltrierte Unternehmen

• Hunderttausende Dollar an unrechtmäßig ausgezahlten Gehältern

• 1,4 Mio. US-Dollar Rückzahlungen im Rahmen des Schuldbekenntnisses

Südlicher Bezirk von Florida: Erick Ntekereze Prince

Prince verschaffte über sein Unternehmen Taggcar Inc. zahlreichen ausländischen – teils nordkoreanischen – IT-Fachkräften Scheinanstellungen, obwohl diese falsche oder gestohlene Identitäten nutzten.
Ergebnis:

• 89.000 US-Dollar persönliche Einnahmen

• 64 infiltrierte Unternehmen

• 943.069 US-Dollar Gesamtschaden

Weitere Komplizen stehen vor Gericht oder sind zur Auslieferung ausgeschrieben.

Einordnung: Nordkorea nutzt Remote-Arbeit als Devisenquelle

Nordkorea verdient laut US-Behörden jährlich Hunderte Millionen US-Dollar mit versteckten IT-Arbeitskräften. Einzelne Remote-Worker sollen bis zu 300.000 US-Dollar pro Jahr erwirtschaften – Gelder, die laut US-Regierung direkt an militärische Einrichtungen des Regimes fließen.

Warnungen und Empfehlungen für Unternehmen

Behörden warnen seit 2022 vor folgenden zentralen Indikatoren:

Frühwarnsignale

• Ungewöhnliche Netzwerkverbindungen zu asiatischen Zeitzonen

• Nutzerdaten, die geografisch inkonsistent sind

• Remote-Zugriffe über Proxy- oder gehostete Geräte

• Bewerber, die bereitwillig alternative Identitätsdokumente nutzen

• Social-Media-Profile mit erkennbaren Inhalten von „Identity Kits“

Empfohlene Maßnahmen

• Striktere Verifikation bei Remote-Onboarding

• Netzwerk-Monitoring auf Proxy- und VPN-Missbrauch

• Krypto-Wallet-Monitoring bei Unternehmen mit digitalen Assets

• Frühwarnsysteme für Account-Sharing und ungewöhnliche Login-Muster

Fazit: Neue Dimension staatlich gesteuerter Cyberkriminalität

Die nun bekannt gegebenen Fälle illustrieren, wie scharf vernetzt, hybrid und kommerzialisiert die Cyberoperationen Nordkoreas inzwischen sind.
Remote-Arbeit, Identitätsdiebstahl, Social Engineering und hochentwickelte Kryptodiebstähle verschmelzen hier zu einem strategischen Finanzierungsmodell für ein sanktioniertes Regime.

Für Unternehmen bedeutet das:
Remote-Work-Sicherheitsprozesse sind heute zentrale Bausteine der nationalen und wirtschaftlichen Sicherheit.

Weitere spannende Beiträge:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon