Das Federal Bureau of Investigation (FBI) hat einen Bericht veröffentlicht, aus dem hervorgeht, dass Nordkorea aggressiv Kryptowährungsunternehmen und -firmen mit ausgeklügelten Social-Engineering-Taktiken angreift, um dann Malware einzusetzen und Gelder zu stehlen.
Der Behörde zufolge haben nordkoreanische Cyber-Streitkräfte in den letzten Monaten Kryptowährungs-ETFs (Exchange Traded Funds) studiert und sich möglicherweise auf Cyber-Angriffe auf Unternehmen vorbereitet, die mit ETFs oder anderen Kryptowährungs-Finanzprodukten in Verbindung stehen. Diese staatlich geförderten Gruppen sind dem Internet Crime Complaint Center (IC3) des FBI als Bedrohungsakteure bekannt.
FBI warnt vor nordkoreanischen Krypto-Angriffen
In einer am 3. September veröffentlichten Mitteilung des FBI heißt es, dass selbst technisch versierte Personen Opfer von Bedrohungsakteuren werden können, die im Auftrag Nordkoreas arbeiten.
In der Mitteilung heißt es: „Die Social-Engineering-Methoden Nordkoreas sind komplex und raffiniert und kompromittieren ihre Opfer oft mit ausgeklügelten technischen Tricks. Angesichts des Ausmaßes und der Hartnäckigkeit dieser böswilligen Aktivitäten können selbst diejenigen, die mit Cybersicherheitspraktiken vertraut sind, anfällig für Nordkoreas Entschlossenheit sein, Netzwerke zu kompromittieren, die mit Kryptowährungsguthaben verbunden sind.“
Nordkorea hat im vergangenen Jahr mehrere Cyberattacken durchgeführt, die auf die amerikanische und internationale digitale Infrastruktur abzielten, wobei der Schwerpunkt erneut auf Kryptowährungen lag. Das IC3 hat eine umfassende Aufschlüsselung einiger Prozesse veröffentlicht, die von diesen Bedrohungsakteuren beim Einsatz von Malware verwendet werden.
Diese Einheiten arbeiten mit drei Schlüsselstrategien, die in der FBI-Empfehlung beschrieben werden: umfassende präoperative Forschung, individualisierte gefälschte Szenarien und Identitätstricks. Dies spiegelt sich in den Aktivitäten bekannter nordkoreanischer Hackergruppen wie Lazarus wider.
Die vorbereitende Recherche beinhaltet, dass Bedrohungsakteure Unternehmen als Ziel identifizieren und deren Mitarbeiter imitieren, um Zugang zum Unternehmensnetzwerk zu erhalten. Sie durchsuchen soziale und berufliche Netzwerke nach diesen anvisierten Mitarbeitern, bevor sie versuchen, Zugang zu den internen Prozessen des Unternehmens zu erlangen.
Zu den individualisierten gefälschten Szenarien gehören Bedrohungsakteure, die sich als potenzielle Arbeitgeber oder Investoren im Kryptobereich ausgeben und versuchen, mit den Zielopfern einen Bericht zu erstellen, bevor sie Malware einsetzen.
Diese Aktivität steht in direktem Zusammenhang mit dem FBI-Hinweis zu Identitätsdiebstahl, bei dem ebenfalls versucht wird, Aktivitäten unter Vorspiegelung falscher Tatsachen zu klonen oder zu verschleiern. Der Hinweis betont, dass „die Täter in der Regel in fließendem oder fast fließendem Englisch mit den Opfern kommunizieren und mit den technischen Aspekten des Kryptowährungssektors vertraut sind“.
Das FBI hat die folgenden Indikatoren identifiziert, die auf einen böswilligen oder gezielten Angriff durch nordkoreanische Bedrohungsakteure, sogenannte Social-Engineering-Aktivitäten, hinweisen könnten:
- Aufforderungen zur Ausführung von Code oder zum Herunterladen von Anwendungen auf unternehmenseigenen Geräten oder anderen Geräten mit Zugang zum internen Netzwerk eines Unternehmens.
- Aufforderungen, einen „Einstellungstest“ oder eine Debugging-Übung durchzuführen, bei der nicht standardmäßige oder unbekannte Node.js-Pakete, PyPI-Pakete, Skripte oder GitHub-Repositories ausgeführt werden.
- Unerwartete Stellenangebote von bekannten Kryptowährungs- oder Technologieunternehmen oder Angebote mit unrealistisch hohen Gehältern ohne vorherige Verhandlungen.
- Investitionsangebote von bekannten Unternehmen oder Einzelpersonen, die unaufgefordert sind oder nicht zuvor vorgeschlagen oder diskutiert wurden.
- Das Beharren auf der Verwendung von nicht standardisierter oder benutzerdefinierter Software für einfache Aufgaben, die leicht durch die Verwendung gängiger Anwendungen ausgeführt werden können (z. B. Videokonferenzen oder die Verbindung zu einem Server).
- Aufforderungen, ein Skript auszuführen, um Telefon- oder Videokonferenzfunktionen zu aktivieren, die angeblich aufgrund des Standorts des Opfers blockiert sind.
- Aufforderungen, geschäftliche Unterhaltungen auf andere Messaging-Plattformen oder Anwendungen zu verlagern.
Unerwünschte Kontakte, die unerwartete Links oder Anhänge enthalten.
Abbildung: Pixlr.