Eine alarmierende neue Entwicklung im Bereich der Cyberkriminalität wurde kürzlich von Sicherheitsexperten aufgedeckt. Nordkoreanische IT-Spezialisten haben ihre Taktik erweitert und gehen nun über die bloße Infiltration von Unternehmen hinaus. Sie stehlen sensible Daten und erpressen anschließend ihre ahnungslosen Arbeitgeber mit der Drohung, die Informationen zu veröffentlichen.
Die Evolution einer Bedrohung
Seit Jahren ist bekannt, dass nordkoreanische IT-Fachkräfte sich heimlich Zugang zu westlichen Unternehmen verschaffen, indem sie sich als legitime Remote-Mitarbeiter ausgeben. Diese Praxis wurde bereits von mehreren Cybersicherheitsfirmen und sogar von betroffenen Unternehmen wie KnowBe4 dokumentiert. Die Angreifer nutzen dabei ausgeklügelte Methoden wie gestohlene Identitäten und KI-generierte Fotos, um Hintergrundüberprüfungen zu umgehen.
Von Infiltration zu Erpressung
Laut einem aktuellen Bericht von Secureworks hat sich diese Bedrohung nun weiterentwickelt. Die Sicherheitsforscher haben eine Gruppe namens Nickel Tapestry (auch als UNC5267 bekannt) identifiziert, die diese Operationen koordiniert. In einem konkreten Fall wurde ein Unternehmen kurz nach der Entlassung eines vermeintlichen nordkoreanischen Mitarbeiters mit Erpressungsversuchen konfrontiert.
Anatomie eines Angriffs
Der Vorfall ereignete sich Mitte 2024, als ein externes Unternehmen kurz nach der Einstellung eines Auftragnehmers einen Datendiebstahl erlitt. Die gestohlenen Daten wurden über eine VDI-Infrastruktur auf Google Drive übertragen. Nach der Entlassung des Auftragnehmers aufgrund unzureichender Leistung erhielt das Unternehmen Erpressungs-E-Mails von Outlook- und Gmail-Adressen. Diese enthielten Beispiele der gestohlenen Informationen in ZIP-Archiven.
Technische Details und Vorgehensweise
Die Untersuchungen von Secureworks ergaben, dass die Angreifer der Nickel Tapestry-Gruppe Astrill VPN und Residential Proxies verwenden, um ihre tatsächlichen IP-Adressen zu verschleiern. Für den Fernzugriff auf Systeme kommt die Software AnyDesk zum Einsatz. Diese Techniken erschweren die Rückverfolgung und Identifizierung der Täter erheblich.
Breitere Implikationen
US-Behörden warnen, dass diese Operationen verschiedene Ziele verfolgen können, darunter Cyberspionage, privilegierter Zugang für weitere Angriffe und möglicherweise sogar die Finanzierung des nordkoreanischen Nuklearprogramms. Die Kombination aus Insider-Zugang und anschließender Erpressung stellt eine besonders gefährliche Bedrohung für Unternehmen dar.
Diese Entwicklung unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen bei der Einstellung von Remote-Mitarbeitern. Unternehmen müssen ihre Überprüfungsprozesse verschärfen, den Zugang zu sensiblen Daten streng kontrollieren und ihre Netzwerke kontinuierlich auf verdächtige Aktivitäten überwachen. Nur durch eine ganzheitliche Cybersicherheitsstrategie können Organisationen sich vor diesen raffinierten Bedrohungen schützen und die Integrität ihrer Daten und Systeme gewährleisten.