Nordkoreanische Spione werden immer dreister. Die jüngste Masche soll dem Regime Milliarden in die Kassen spülen. Experten haben einen ungewöhnlichen Rat für Bewerbungsgespräche.
Dass Nordkoreas Hacker zu den erfolgreichsten der Welt gehören, ist mittlerweile bekannt. Sie halten schließlich nicht umsonst den Rekord um die höchste Beute aus einem virtuellen Bankraub (hier erfahren Sie mehr). Doch das Ausmaß der Spionage im Westen dürfte die meisten Menschen doch überraschen. Kim Jong-uns Spione schleichen sich inzwischen so häufig bei westlichen Firmen ein, dass sogar die US-Bundespolizei FBI warnt.
„Es gibt heute wahrscheinlich zwischen 1000 und 10.000 falsche Angestellte, die in Firmen rund um den Globus arbeiten“, erklärt Experte Roger Grimes. Sein Arbeitgeber, die IT-Sicherheitsfirma Knowbe4, musste das auf die harte Tour lernen: Sie war selbst auf einen der Spitzel hereingefallen. „Wir schickten ihm einen Arbeits-Mac und quasi in dem Moment, als der ankam, begann er, Schadsoftware zu installieren“, heißt es in dem Blogpost, in dem das Unternehmen seine Hackerpanne im vergangenen Sommer aufarbeitete. Aufgeflogen war der Spion nur durch Zufall (mehr zu dem Fall lesen Sie hier).
Mit Remote-Arbeit zu Nuklear-Millionen
Seitdem ist das Problem nicht kleiner geworden. Im Sommer sahen sich die Regierungen der USA, von Japan und Südkorea zu einer gemeinsamen Warnung gezwungen. „Nordkoreanische IT-Experten nutzen den Mangel an Fachkräften aus, um in der ganzen Welt Aufträge oder Anstellungen zu übernehmen“, heißt es in dem Statement. Dieselben Akteure seien mit hoher Wahrscheinlichkeit auch in bösartige Handlungen wie Cyberattacken verstrickt. „Das Risiko reicht vom Diebstahl von geistigem Eigentum, Daten und Vermögen bis zu Rufschädigung.“ Wegen der Sanktionen gegen Nordkorea könnten zudem rechtliche Folgen drohen, so die Experten.
Die so eingenommenen Gelder fließen nach Erkenntnissen der US-Behörden auch in Nordkoreas Nuklearambitionen. Die Operation scheint enorm ertragreich. Die Hacker sind angehalten, nicht weniger als 100.000 Dollar Jahresgehalt einzunehmen, die Spitzenverdiener sollen auf bis zu 60.000 Dollar im Monat kommen, erklärte ein Expertengremium der Vereinten Nationen. Zwischen zehn und 30 Prozent der Gehälter dürfen die Spitzel selbst behalten, der Rest geht an das Regime. Bis zu 600 Millionen Dollar soll die Masche bisher eingebracht haben.
Von Nordkorea in die Welt
Die Firmen wissen oft gar nicht, wen sie da einstellen. Die Spitzel greifen auf raffinierte Methoden zurück. Sie erstellen ganze Lebensläufe und sogar Bewerbungsbilder mit KI, täuschen mit VPN-Diensten einen anderen Standort vor. Schickt man den angeblich im Homeoffice arbeitenden Angestellten einen Arbeitsrechner zu, wird der in sogenannten Laptop-Farmen eingerichtet. Für den Arbeitgeber sieht es dann so aus, als würde der neue Angestellte aus einem Bürogebäude in seiner vorgeblichen Heimatstadt arbeiten. Tatsächlich loggen sich die Nordkoreaner allerdings remote ein.
In Nordkorea scheinen sie dabei aber selten zu sitzen. Erkenntnissen von Knowbe4 zufolge leben sie in WGs in China oder Russland, um Sanktionen gegen Nordkorea zu umgehen. „Die Regierungen von China und Russland wissen, dass diese IT-Experten aktiv Amerikaner betrügen“, erklärte ein FBI-Sprecher gegenüber „Fortune“. „Beide Regierungen setzen aber Sanktionen nicht um, die gegen einzelne Individuen bestehen, die aus ihren Ländern operieren.“
„Wie fett ist Kim Jong-un?“
Um die Spitzel zu entlarven, hat sich im Frühjahr ein erstaunlich leichter Trick herumgesprochen. „Ich frage in Bewerbungsgesprächen immer, wie fett Kim Jong-un ist“, erzählte Crowdstrike-Vizepräsident Adam Meyers laut „The Register“ im April bei einer Konferenz. „Sie legen dann immer sofort auf, weil sie keinen Ärger riskieren wollen.“
Der Trick sprach sich schnell herum. „Als ich das erste Mal danach fragte, flippte der Bewerber aus und beschimpfte mich“, erinnert sich Harrison Leggio von der Kryptofirma G8keep gegenüber „Fortune“. Seitdem fordere er jeden Bewerber am Ende des Bewerbungsgesprächs auf, etwas Negatives über den nordkoreanischen Diktator zu sagen. Er schätzt, dass etwa 95 Prozent seiner Bewerber mittlerweile Nordkoreaner unter Tarnidentität sind.
Mittlerweile reicht die Frage aber offenbar nicht mehr aus. „Sie haben mitbekommen, dass uns das aufgefallen ist“, erklärte ein nur „SttyK“ genannter Sicherheitsexperte bei der Hacker-Konferenz Black Hat USA. „Sie haben ihr Vorgehen mittlerweile angepasst.“
Quellen: Gemeinsames Statement von USA; Japan und Südkorea, The Register,Fortune, FBI, Vereinte Nationen
