Nordkorea schickt seine Informatiker los, um in westlichen Länder Arbeit zu finden – und Firmen zu erpressen. So will Pjongjang an Devisen kommen.
Tummeln sich in Schweizer Rechenzentren bald immer mehr nordkoreanische Informatiker?
Das Vorgehen der Betrüger ist ausgeklügelt. Die Nordkoreaner besorgen sich falsche Dokumente und geben sich damit als andere Personen aus. So bewerben sie sich auf Informatikerstellen zum Beispiel in den USA. Das Geld, das sie damit verdienen, schicken sie an Banken in China, von wo es nach Nordkorea gelangt. Damit kommt das Land, das mit internationalen Sanktionen belegt ist, an Devisen.
Mit dieser Masche macht das nordkoreanische Regime, das hinter dem Betrug steckt, seit Jahren Geld, vor allem in den USA. Doch dort würden das Misstrauen und der Druck der Strafverfolgungsbehörden grösser, sagt John Hultquist von der amerikanischen IT-Sicherheitsfirma Mandiant im Gespräch mit der NZZ. Deshalb würden die Nordkoreaner seit einigen Monaten vermehrt Firmen und Organisationen in Europa ins Visier nehmen, auch in der Schweiz und Deutschland.
Konkret habe Mandiant beobachtet, wie sich Nordkoreaner als deutsche Staatsbürger ausgeben, sagt Hultquist, der dort Chefanalyst ist. Mandiant kommt zum Schluss, dass nordkoreanische Informatiker Arbeit bei Projekten in Deutschland und der Schweiz suchen würden. Hultquist nennt IT-Dienstleistungen, Programmieren sowie Aufträge im Bereich Kryptowährungen als typische Tätigkeiten.
Mandiant gehört zu Google und hat teilweise Einsicht in die Aktivitäten der Betrüger, wie Hultquist sagt. Aus welchen Quellen Mandiant seine Informationen genau bezieht, will Hultquist nicht sagen. Klar ist aber, dass diese nicht von den Opfern stammen. Mögliche Quellen sind hingegen gewisse Websites oder E-Mail-Konten, die die Nordkoreaner für ihren Betrug verwenden. Mandiant verfolgt die Aktivitäten seit 2022.
Amerikaner helfen den Betrügern aus Nordkorea
Wie Nordkorea beim Betrug mit Informatikern vorgeht, zeigt eine Anklageschrift, welche die amerikanische Justiz vor einer Woche publiziert hat. Darin werden 14 Personen aus Nordkorea beschuldigt, in einer Aktion über insgesamt sechs Jahre mindestens 88 Millionen Dollar eingenommen zu haben. Organisiert wurde der Betrug über zwei Deckfirmen, eine in China und eine in Russland.
Die Betrüger gaben bei den amerikanischen Unternehmen jeweils vor, eine andere Person zu sein, meist ein amerikanischer Staatsbürger. Dazu verwendeten sie Ausweise einer anderen Person oder gefälschte Dokumente. Diese werden «teilweise» mit künstlicher Intelligenz verändert, wie das Vorgehen bei der Firma Know be 4 zeigt, die den Fall im Sommer publik gemacht hatte.
Wichtig für die Betrügereien waren auch Amerikaner. In einigen Fällen bezahlten die Nordkoreaner Personen in den USA dafür, dass diese an das Bewerbungsgespräch gehen und sich als andere Person ausgeben. Es gab auch Amerikaner vor Ort, die gegen Geld einen Laptop der Firma in Empfang nahmen und darauf eine Software für den Fernzugriff installierten. So konnten die Betrüger vom Ausland aus auf dem Firmencomputer arbeiten.
Dem Regime in Pjongjang geht es bei diesem Vorgehen in erster Linie darum, an Devisen zu gelangen, möglicherweise um sein Waffenprogramm zu finanzieren. Dazu stellen sie nicht nur die Arbeitskraft ihrer Informatiker zur Verfügung, die wegen der Sanktionen nicht in den USA arbeiten dürften. Es kam auch schon zu Erpressungen.
Durch ihre Anstellung gelangten die Nordkoreaner an vertrauliche Informationen der Firma. Kam es zur Kündigung – teilweise nach Jahren –, drohten die Betrüger den Unternehmen damit, die vertraulichen Daten zu publizieren, und verlangten ein Lösegeld. Der Zugang zu internen Informationen wird vermutlich auch für Spionage verwendet.
Hultquist spricht von einem enormen Risiko, das den Firmen durch die Anstellungen der Informatiker entsteht. «Im Allgemeinen erhalten sie einen umfassenden Zugang zur Organisation.» Diese Personen werden zu einer Bedrohung im Inneren. Für Hultquist handelt es sich um eine Art Cyberbedrohung, die man nicht mit herkömmlichen Mitteln wie Sicherheitssoftware in den Griff bekommt. Es braucht eine Sicherheitsüberprüfung der neuen Mitarbeiter.
Informatiker arbeiten von China oder Russland aus
Nordkorea ist bekannt dafür, sich mit weltweiter Cyberkriminalität Einnahmen zu verschaffen. Immer wieder führen Gruppen spektakuläre Raubzüge auf Krypto-Börsen durch. Der Gruppe Lazarus gelang es 2022, auf einer Blockchain-Plattform 625 Millionen Dollar zu entwenden. Im Frühjahr wurde bekannt, dass nordkoreanische Zeichner für amerikanische Filmstudios gearbeitet haben – ohne dass diese davon gewusst hätten.
Eine entscheidende Rolle spielt bei allen Angriffen und Betrügereien China. Dort werden die Informatiker mutmasslich ausgebildet, und sie operieren teilweise auch von dort. Der Geldtransfer läuft zudem über chinesische Banken. Nordkorea schickt seine IT-Spezialisten auch nach Russland, um von dort aus für westliche Firmen zu arbeiten. Laut einem Mandiant-Bericht vom September sind die Nordkoreaner zudem in kleinerer Zahl von Afrika und Südostasien aus aktiv.
Dass Nordkorea nun stärker auf Europa abzielt, hat für Hultquist damit zu tun, dass dort die Firmen und Organisationen für das Thema noch wenig sensibilisiert sind. Das könnte sich jedoch rasch ändern. Grossbritannien hat zum Beispiel bereits im September eine Warnung herausgegeben inklusive Tipps, worauf Firmen achten sollten.
