Nordkoreanische Cyber-Aktivisten gründeten im Stillen zwei Gesellschaften mit beschränkter Haftung in den Vereinigten Staaten und nutzten diese, um schädlichen Code an arbeitssuchende Software-Ingenieure in der Kryptowährungswelt weiterzugeben, wie aus US-amerikanischen Gerichtsakten und Recherchen hervorgeht, die Reuters vorliegen.
Laut Silent Push, einem Cybersicherheitsunternehmen, wurden die Firmen Blocknovas LLC in New Mexico und Softglide LLC in New York mit erfundenen Namen und gemieteten Adressen gegründet, damit die Hacker beim Versenden von Schadsoftware an Bewerber wie seriöse Arbeitgeber wirken konnten. Eine dritte Firma, die Angeloper Agency, wiesdentschädliche Web-Profile auf, war aber in keinem US-Handelsregister eingetragen.
„Dies ist ein seltenes Beispiel dafür, dass es nordkoreanischen Hackern tatsächlich gelingt, legale Unternehmen in den USA zu gründen, um als Tarnfirmen ahnungslose Bewerber anzugreifen“, sagte Reuters.
Das US-amerikanische FBI wollte sich nicht direkt zu den beiden Unternehmen äußern. Am Donnerstag veröffentlichte das FBI jedoch eine Beschlagnahmemitteilung auf der Website von Blocknovas. Darin hieß es, die Domain sei „im Rahmen einer Strafverfolgungsmaßnahme gegen nordkoreanische Cyberkriminelle beschlagnahmt worden, die diese Domain nutzten, um Personen mit gefälschten Stellenanzeigen zu täuschen und Schadsoftware zu verbreiten.“
Vor der Razzia erklärten hochrangige FBI-Beamte, die Behörde wolle „nicht nur den Akteuren der DVRK selbst, sondern auch allen, die ihnen die Durchführung dieser Machenschaften ermöglichen, Risiken und Konsequenzen auferlegen“
die Hacker-Einheiten Nordkoreas als „vielleicht eine der fortschrittlichsten und hartnäckigsten Bedrohungen“, denen die Vereinigten Staaten heute gegenüberstehen.
Laut Silent Push gaben sich die Angreifer als Personalvermittler aus und boten Vorstellungsgespräche an, bei denen die Zielpersonen bösartige Dateien öffnen mussten.
Blocknovas und Softglide nutzten Stellenanzeigen, um Schadsoftware an Krypto-Entwickler zu schleusen
Nach dem Start versuchten die Dateien, Schlüssel für Kryptowährungs-Wallets, Passwörter und anderedentzu sammeln, die später zum Eindringen in Börsen oder Technologieunternehmen beitragen könnten.
Der unveröffentlichte Bericht des Unternehmens bestätigt „zahlreiche Opfer“, die meisten davon wurden über Blocknovas kontaktiert, das die Forscher als „mit Abstand aktivste“ der drei Plattformen bezeichnen.
Laut staatlichen Aufzeichnungen wurde Blocknovas am 27. September 2023 in New Mexico registriert. In den Unterlagen ist eine Postanschrift in Warrenville, South Carolina, angegeben, die laut Google Maps ein leeres Grundstück ist.
Die Gründung von Softglide in New York lässt sich auf ein kleines Steuerberatungsbüro in Buffalo trac. Von den Personen, deren Namen in den Unterlagen erscheinen, konnte keine tracwerden.
US-Beamte sagen, dieses Muster passe zu Nordkoreas umfassenderen Bemühungen, Devisen zu beschaffen. Experten aus Washington, Seoul und den Vereinten Nationen werfen Pjöngjang seit Langem vor, Kryptowährungen zu stehlen und Tausende von IT-Fachkräften ins Ausland zu entsenden, um das nordkoreanische Atomprogramm zu finanzieren.
Der Betrieb eines von Nordkorea kontrollierten Unternehmens in den Vereinigten Staaten verstößt gegen die vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums verhängten Sanktionen. Er verletzt Maßnahmen des UN-Sicherheitsrates, die wirtschaftliche Aktivitäten untersagen, die dem nordkoreanischen Staat oder Militär zugutekommen.
Mit Schadsoftware verseuchte Auftragsdateien stehen in Verbindung mit der Lazarus-Gruppe
Der Staatssekretär von New Mexico teilte per E-Mail mit, dass Blocknovas über das Online-System für inländische LLCs mit einem registrierten Vertreter angemeldet wurde und offenbar den staatlichen Vorschriften entsprach. „Unser Büro hätte keinerlei Kenntnis von der Verbindung zu Nordkorea“, schrieb ein Sprecher.
Die Ermittler bringen die Aktivitäten mit einer Untergruppe der Lazarus-Gruppe in Verbindung, einem Elite-Hackerteam, das dem Aufklärungsgeneralbüro, dem wichtigsten Auslandsgeheimdienst Pjöngjangs, untersteht.
Silent Pushdentmindestens drei bereits bekannte Malware-Familien in den schädlichen Jobdateien. Die Tools können Daten von infizierten Rechnern extrahieren, Hintertüren für weitere Angriffe öffnen und zusätzlichen Angriffscode herunterladen – eine Vorgehensweise, die häufig bei früheren Aktivitäten von Lazarus beobachtet wurde.
Die Domain von Blocknovas ist derzeit von den Bundesbehörden beschlagnahmt, die Website von Softglide ist offline und die Seiten der Angeloper Agency liefern Fehlermeldungen. Die Ermittler warnen jedoch, dass schnell neue Aliasnamen auftauchen können.
„Diese Operation verdeutlicht die sich ständig weiterentwickelnde Bedrohung durch nordkoreanische Cyberakteure“, erklärte das FBI in seiner Stellungnahme und forderte IT-Fachleute auf, unaufgeforderte Stellenangebote kritisch zu prüfen und verdächtige Kontaktaufnahmen zu melden.
