Nordkoreanische Hacker gründen US-Scheinfirmen, um Krypto-Entwickler anzugreifen: Bericht
Nordkoreanische Hacker, die mit der berüchtigten Lazarus-Gruppe des Staates in Verbindung stehen, haben erfolgreich Scheinfirmen in den Vereinigten Staaten gegründet, um Malware an Kryptowährungsentwickler zu verteilen. Diese Machenschaften verstoßen gegen US-Sanktionen und enthüllen große Schwachstellen in den Geschäftsanmeldesystemen.
Laut Reuters hat die Cybersicherheitsfirma Silent Push aufgedeckt, dass zwei Unternehmen — Blocknovas LLC in New Mexico und Softglide LLC in New York — mit gefälschten Namen, Adressen und Dokumentationen gegründet wurden. Diese Taktik half nordkoreanischen Akteuren, sich als legitime Arbeitgeber auszugeben, die Jobs in der Kryptoindustrie anbieten. Ein drittes Unternehmen, die Angeloper Agency, wurde ebenfalls mit der Kampagne in Verbindung gebracht, ist jedoch nicht im Land registriert.
Betrügerische Jobangebote, leere Grundstücke und Malware
Silent Push “attributed” den Betrieb einer Untergruppe der Lazarus-Gruppe zu, einer staatlich geförderten Hacker-Einheit, die unter dem nordkoreanischen Generalbüro für Aufklärung operiert. Diese Gruppe ist bekannt für ihre Rolle in hochkarätigen Cyberdiebstählen und Spionageaktivitäten.
In dieser Kampagne nutzten die Hacker gefälschte professionelle Profile und Stellenausschreibungen, um Entwickler zu erreichen, hauptsächlich auf Plattformen wie LinkedIn. Sobald der Kontakt hergestellt war, wurden die Opfer zu „Vorstellungsgesprächen“ eingeladen, bei denen sie ermutigt wurden, Malware herunterzuladen, die als Einstellungssoftware oder technische Bewertungen getarnt war.
Blocknovas war die aktivste Einheit, mit mehreren bestätigten Opfern. Die angegebene physische Adresse in South Carolina erwies sich als leeres Grundstück. In der Zwischenzeit wurde Softglide über einen in Buffalo ansässigen Steuerberatungsdienst registriert, was die Bemühungen, die Verantwortlichen zurückzuverfolgen, weiter komplizierte. Die verwendete Malware umfasste bereits zuvor nordkoreanischen Cyber-Einheiten zugeschriebene Stämme, die fähig waren, Daten zu stehlen, Fernzugriff zu ermöglichen und in Netzwerke weiter einzudringen.
Das FBI hat die Blocknovas-Domain beschlagnahmt, mit einem Hinweis auf ihrer Website, dass sie dazu genutzt wurde, Arbeitssuchende zu täuschen und Malware zu verbreiten.
Nordkoreanische Malware-Falle
Die Lazarus-Gruppe hat wiederholt gefälschte Beschäftigungsmöglichkeiten genutzt, um Malware zu verbreiten. Beispielsweise startete sie eine Cyberkampagne namens “ClickFix”, die Arbeitssuchende im zentralisierten Finanzsektor (CeFi) der Kryptoindustrie anvisierte. Die Cybersicherheitsfirma Sekoia enthüllte kürzlich, dass die Gruppe Unternehmen wie Coinbase und Tether imitiert, um Marketing- und Geschäftsbewerber in gefälschte Vorstellungsgespräche zu locken.
Einer der größten Kryptodiebstähle der Lazarus-Gruppe ereignete sich 2021, als ein vorgetäuschtes Jobangebot zum $$625 Millionen Ronin Bridge Hack führte, der auf Axie Infinity abzielte.
