Microsoft löscht 3.000 E-Mail-Konten, die mit nordkoreanischen IT-Mitarbeitern in Verbindung stehen

Microsoft hat 3000 Outlook- und Hotmail-Konten gesperrt, die mit einem nordkoreanischen Komplott in Verbindung stehen, bei dem Staatsangehörige der DVRK sich unter falscherdentals Fernarbeiter ausgaben.

US-Beamte warnen seit Langem davor, dass Nordkorea illegale Einnahmen aus Krypto-Hacks, Betrug und IT-Operationen nutzt, um internationale Sanktionen zu umgehen und seine Militärprogramme zu finanzieren. Die Behörden gehen nun hart gegen eine mutmaßlich globale kriminelle Organisation vor, die heimlich Millionenbeträge an Kim Jong Uns autoritäres Regime weiterleitet.

Microsoft schaltet 3.000 E-Mail-Konten mit Verbindungen zu Nordkorea ab

Microsoft hat im Zuge einer Razzia gegen ein internationales Betrugssystem, das von nordkoreanischen IT-Mitarbeitern betrieben wird, die sich als externe IT-Fachkräfte ausgeben, über 3.000 E-Mail-Konten gesperrt.

Microsofts Vorgehen ist das Ergebnis einer koordinierten Operation des US-Justizministeriums, des FBI und weiterer Bundesbehörden. Gemeinsam haben sie damit begonnen, eine ausgeklügelte Verschwörung mit dem Codenamen „Jasper Sleet“ von Microsoft Threat Intelligence zu zerschlagen. Diese Operation nutzte freiberufliche Arbeitsmärkte und Technologieunternehmen weltweit aus.

Bei dieser Masche werden nicht nur Arbeitgeber geschädigt, sondern es wird auch vermutet, dass sie direkt das nordkoreanische Atomwaffenprogramm finanziert.

Nach Angaben des Threat Intelligence Teams von Microsoft handelt es sich bei dem Schema um ausgebildete IT-Fachkräfte aus der Demokratischen Volksrepublik Korea (DVRK), die falschedentannehmen, um sich eine Fernbeschäftigung bei ausländischen Unternehmen, insbesondere in den Vereinigten Staaten, zu sichern.

Viele dieser Arbeiter sind hochqualifiziert, und einige Arbeitgeber loben sie unwissentlich als Spitzenkräfte.

„Das sind keine Hacker, die in Systeme eindringen“, so das Microsoft Threat Intelligence Center (MSTIC). „Es sind qualifizierte Entwickler, Qualitätssicherungsingenieure und IT-Supportspezialisten, die Vorstellungsgespräche bestehen, echte Aufgaben erledigen und sich unauffällig einfügen – bis auf ein entscheidendes Detail: Sie arbeiten für Nordkorea.“

In vielen Fällen erleichtern Komplizen, die manchmal amerikanische Staatsbürger sind, den Zugang, indem sie ihredentvermieten oder das betreiben, was die Behörden als „Laptop-Farmen“ bezeichnen

Laptop-Farmen sind physische Standorte, an denen von ahnungslosen Arbeitgebern ausgegebene Laptops versendet und gewartet werden. Mindestens 29 dieser Standorte wurden von Strafverfolgungsbehörden durchsucht. Dabei wurden Laptops gefunden, auf denen Fernzugriffssoftware installiert war oder die physisch nach China oder Russland umgeleitet worden waren.

Das US-Justizministerium veröffentlichte kürzlich Details zum Fall eines Angestellten eines Nagelstudios in Maryland, der im August verurteilt wird. Der Mann soll gleichzeitig 13 Jobs für nordkoreanische IT-Fachkräfte ausgeübt und dabei fast eine Million US-Dollar an Ferngehältern bezogen haben.

Nach Schätzungen der Vereinten Nationen generiert das nordkoreanische IT-Arbeiterprogramm jährlich bis zu 600 Millionen US-Dollar. Diese Einnahmen fließen häufig in die Finanzierung von Cyberkriminalität und den nuklearen Ambitionen des Landes.

Microsoft setzt KI und Erkennungswerkzeuge ein

In einem Blogbeitrag dieser Woche beschrieb Microsoft detailliert die Sperrung von 3.000 E-Mail-Konten von Endverbrauchern, hauptsächlich Outlook und Hotmail, die von nordkoreanischen Agenten genutzt wurden.

„Neben den 3.000 E-Mail-Konten von Endverbrauchern, die kürzlich abgeschaltet wurden, hat Microsoft im Rahmen seiner Bemühungen, die Aktivitäten des Akteurs zu unterbinden und unsere Kunden vor dieser Bedrohung zu schützen, weiterhin personenbezogene Konten abgeschaltet, sobald diesedentwurden, und den Einsatz von KI durch den Akteur trac“, sagte Jeremy Dallman, Senior Director im Threat Intelligence Center von Microsoft.

Microsoft hat beobachtet, dass nordkoreanische Arbeitskräfte immer professioneller werden. Sie nutzen KI-Tools, ummaticin Lebensläufen und Anschreiben zu korrigieren, ihre Fotos zu optimieren, um professioneller oder westlicher zu wirken, und verwenden FaceSwap-Technologie, um ihre Bilder auf gestohlenedentzu montieren.

Manche experimentieren sogar mit Software zur Stimmveränderung, um Vermittlern zu helfen, Vorstellungsgespräche in ihrem Namen zu bestehen. Obwohl Microsoft den Einsatz von KI-gestützten Deepfakes in Echtzeit-Interviews noch nicht beobachtet hat, warnte das Unternehmen, dass dies nur eine Frage der Zeit sein könnte.

„Wenn diese Taktik Erfolg hat, könnten die nordkoreanischen IT-Fachkräfte die Interviews direkt führen und wären nicht mehr auf Vermittler angewiesen“, sagte Microsoft.

Diese verbesserten KI-Taktiken ermöglichen es den Agenten, ihre Herkunft besser zu verschleiern, wodurch es für Arbeitgeber schwieriger wird, verdächtige Aktivitäten zudent. Gängige Methoden sind die Wiederverwendung von Namen, E-Mail-Adressen und Profilvorlagen auf verschiedenen Jobplattformen wie LinkedIn, GitHub und Freelance-Marktplätzen.

Um diese Taktiken aufzudecken und sich dagegen zu verteidigen, hat Microsoft eine eigens entwickelte Lösung für maschinelles Lernen eingesetzt, die verdächtige Aktivitäten mithilfe einer sogenannten „unmöglichen Zeitreise“-Analyse kennzeichnet. Diese umfasst die Überwachung von Anmeldungen an geografisch unplausiblen Orten innerhalb kurzer Zeiträume, wie beispielsweise Zugriffe aus den USA, gefolgt von Zugriffen aus China oder Russland.

Microsoft verstärkt zudem seine Tools zum Schutz der Identität und fordert Unternehmendentauf,tronAuthentifizierungsprotokolle und Echtzeit-Risikoerkennungssysteme einzuführen. Der Technologiekonzern arbeitet mit US-Regierungsbehörden zusammen, um Informationen auszutauschen und technische Lösungen zu entwickeln, die branchenweit im Bereich Cybersicherheit Anwendung finden können.

Das Unternehmen hat zugesichert, den Druck auf die sich wandelnde Bedrohung aufrechtzuerhalten. „Jasper Sleet verändert und entwickelt seine Profile ständig weiter“, sagte Dallman. „Wir beobachten, wie sie sich anpassen, insbesondere im Hinblick auf KI, und arbeiten daran, ihnen immer einen Schritt voraus zu sein.“