Nordkoreanische Hacker zielen auf Freiberufler auf Upwork und GitHub ab

Nordkoreanische Agenten haben ihre Betrugsmethoden diversifiziert, indem sie Freelancing- und Code-Hosting-Plattformen nutzen, um ahnungslose Nutzer alsdent-Proxys für Remote-Tech-Jobs zu rekrutieren, so Cybersicherheitsforscher. 

IT-Fachkräfte in der Demokratischen Volksrepublik Korea (DVRK) nutzen Upwork, Freelancer und GitHub, um sich als legitime Arbeitnehmer auszugeben und internationale Sanktionen zu umgehen, indem sie verifizierte Konten verwenden, die echten Personen gehören.

Laut dem Cybersicherheitsforscher Heiner García Pérez, einem Mitglied von SEAL Intel, beginnen die Hacker damit, freiberufliche Jobangebote zu veröffentlichen oder Kandidaten anzusprechen. Anschließend verlagern sie die Gespräche auf verschlüsselte Kanäle wie Telegram oder Discord, wo sie detaillierte Anweisungen zur Einrichtung des Fernzugriffs und zur Durchführung von Verifizierungsprüfungen geben.

Die bösen Akteure Nordkoreas nutzen Freiberufler, um Sanktionen zu umgehen

Garcia stellte fest , dass nordkoreanische Agenten umgehen könnendentdentdentdentdentdentdentdentdent. 

Es ermöglicht ihnen, sich unter einer gestohlenen oder geliehenendentfür IT-Fernjobs zu bewerben oder diese auszuführen, ihre Herkunft zu verschleiern und gleichzeitig Zahlungen von ahnungslosen Kunden einzustreichen. 

„Diese Akteure sind organisiert, koordiniert und teilen operative Vorgehensweisen. Die Konsistenz ihrer Methoden zeigt, dass es sich um einen Teil eines wiederholbaren, staatlich unterstützten Systems handelt“, schrieb das SEAL-Intelligence-Mitglied.

Wie berichtete Cryptopolitan Cryptopolitan , haben mehrere nordkoreanische IT-Fachkräfte mithilfe falscherdent. Dies soll den nordkoreanischen Behörden geholfen haben, IT-Experten im Ausland einzusetzen, um ihnen unter gestohlenen oder geliehenen Identitäten freiberufliche oder befristete Tätigkeiten zu sicherntracZudemdentgenutzt, um ihre Zugehörigkeit zu verschleiern.

Diejenigen, derendentmissbraucht werden, erhalten nur etwa 20 % der Gesamteinnahmen, während die Drahtzieher 80 % behalten, die über Krypto-Wallets oder sogar traditionelle Bankkonten fließen. 

Nutzung von KI zur Manipulation von Bildern und Firmennamen

García Pérez' Untersuchung deckte mehrere Fälle von technischer Raffinesse und bewusster Verschleierung auf. In einem Fall hatte ein IT-Mitarbeiter einen Google Drive-Ordner mit dem Namen „Meine Fotos“ erstellt, in dem KI-bearbeitete Porträts zusammen mit Ordnern anderer Personen gespeichert waren. Er vermutet, dass diese digitalen Dokumente separate Identitäten darstellen, die von ein und derselben Person verwaltet werden.

Die von der Festplatte wiederhergestellten Dateien gaben tiefergehende Einblicke in die Rekrutierungs- und Zahlungsprozesse. Eine Datei mit dem Titel „Konto“ enthielt Anweisungen, die erklärten, wie man auf Upwork zugreift, den Zweck der Zusammenarbeit und die Gewinnverteilung. 

Einige der Ordner waren koreanisch benannt, beispielsweise „it개발 매칭 플랫폼 사이트“, was übersetzt „Website für die Vermittlung von IT-Entwicklungsstellen“ bedeutet. Der Ermittler vermutete, dass solche Dokumente für „koreanischsprachige Nutzer und das heimische IT-Ökosystem“ bestimmt waren

Heiner García Pérez stellte außerdem fest, dass nordkoreanische Akteure Online-Communities für Menschen mit Behinderungen, Jobportale und sogar Freundschaftswebseiten wie InterPals nutzen, um Kollaborateure zu rekrutieren.

Die Zahlungsabwicklung erfolgt über Kryptowährungen, PayPal und Banken

Ideale Zielgebiete für solche Operationen befinden sich hauptsächlich in den Vereinigten Staaten, Europa und Teilen Asiens. Die Ukraine und die Philippinen wurden jedoch in den Rekrutierungsunterlagen am häufigstendent, da sie geografische Standorte für Kandidaten mit geringerem Einkommen bieten, die möglicherweise empfänglicher für „schnelle Verdienstmöglichkeiten“ sind

„Wenn ein Kunde ein Projekt ausschreibt, bewerben sich viele Freelancer darauf. Der Kunde bespricht sein Projekt mit den Freelancern und beauftragt den ausgewählten Entwickler. Wenn ich mich entscheide, kann ich am Projekt des Kunden arbeiten. Nach Abschluss des Projekts erhalte ich die Bezahlung vom Kunden. Das Geld wird meinem Freelancer-Konto gutgeschrieben“, erklärte ein IT-Recruiter einer Freelancerin namens „Ana“, wie man Geld verdient

Die Gewinnbeteiligungsstruktur zwischen den Tätern und ihren Komplizen wird frühzeitig im Rahmen der Transaktion vereinbart. In den meisten dokumentierten Fällen überzeugen IT-Mitarbeiter die Opfer, Zahlungen über Kryptowährungen, PayPal oder sogar Banküberweisungen abzuwickeln.

In einem bestätigten Fall nutzte ein nordkoreanischer IT-Mitarbeiter ein betrügerisches Upwork-Konto, das unter derdenteines in Illinois ansässigen Architekten registriert war.