Eigentlich suchten sie einen Experten für Cybersicherheit – doch schon nach Minuten griff der das System von innen an. Die Sicherheitsfirma warnt nun vor den getarnten Bewerbern aus Nordkorea. Und erklärt ihre Masche.
Dass es nicht vorsichtig war, kann man dem Unternehmen KnowBe4 eigentlich nicht vorwerfen. Die Cybersicherheitsexperten klopften den Bewerber gut ab, durchleuchteten seinen Lebenslauf und führten Bewerbungsgespräche per Videotelefonie. Doch kaum war er angestellt, entpuppte sich alles als Tarnung eines nordkoreanischen Hackers. Der Angriff begann.
„Wir schickten ihm einen Arbeits-Mac und quasi in dem Moment, als der ankam, begann er Schadsoftware zu installieren“, heißt es in dem Blogpost, in dem das Unternehmen seine Hackerpanne aufarbeitet. Nun ermittelt das FBI.
Echter Mitarbeiter, gefälschte Identität
Eigentlich suchte die in mehreren Länder aktive Sicherheitsfirma einen Software-Entwickler mit KI-Erfahrung. Der im Bericht unter Berufung auf die laufende Ermittlung nur XXXX genannte Bewerber erschien dabei unverdächtig. Die Personaler checkten seinen Hintergrund, prüften sogar seine Referenzen. In vier Video-Vorstellungsgesprächen stellten sie sicher, dass die Person auf dem eingesandten Bildern auch tatsächlich der Bewerber war. Das war sie auch. Und trotzdem war alles gefälscht.
Denn die Person, die sich mit einer wirklich existierenden US-Identität bewarb, hatte die USA noch nie betreten. Der Nordkoreaner hatte die Daten gestohlen und geschickt manipuliert, um es erfolgreich durch die Sicherheitsmaßnahmen zu schaffen. So hatte er etwa sein Gesicht mit KI-Hilfe in ein generisches Büro-Stockfoto eingebaut, wie die Ermittlungen später zeigten.
25 Minuten im System
Lange hielt die Tarnung aber nicht – Dank der aufmerksamen Sicherheits-Abteilung des Unternehmens. Um 21:55 an seinem ersten Arbeitstag schlug das System Alarm, meldete merkwürdiges Verhalten vom Laptop des Neuangestellten.
Der hatte versucht, die Internet-Geschichte auf seinem Rechner zu manipulieren sowie Schadsoftware zu installieren. Damit konfrontiert, versuchte er sich zunächst per Chat herauszureden. Er habe nur die Verbindung zum Laufen zu bringen versucht, behauptete er. Einen Anruf lehnte er mit dem Hinweis ab, gerade nicht telefonieren zu können. Dann hörte er ganz auf zu reagieren. Schon um 22:20 entschied sich die Firma, den Rechner zu isolieren. Und hörte nichts mehr von dem neuen Mitarbeiter.
Was steckt hinter der Masche aus Nordkorea?
Dass der Maulwurf aufflog, könnte ausgerechnet mit seiner Tarnung zu tun haben: Da er nicht in den USA war, konnte er den dort verschickten Arbeitsrechner natürlich auch nicht vor Ort nutzen. Stattdessen hatte er ihn wohl an eine sogenannte „Laptop Farm“ schicken lassen. Dort werden die Rechner so manipuliert, dass die eigentlich in Nordkorea sitzenden Nutzer sie auch aus der Entfernung nutzen können. Doch genau das flog letztlich auf.
Passwort Fehler Tricks_10.40Uhr
Was genau sich der Hacker von seinem erschlichenen Job erhoffte, ist nicht bekannt. KnowBe4 klopft die Sicherheitssysteme seiner Kunden auf Lücken ab, etwa indem die Angestellten mit falschen Spam-Nachrichten in die Falle gelockt werden. Dabei sind die Mails in der Regel von anderen Schutzmaßnahmen ausgenommen, um die Angestellten auch sicher zu erreichen. Das ließe sich durch einen eingeschleusten Hacker natürlich ebenfalls missbrauchen.
Vielleicht steckt aber auch etwas viel banaleres dahinter. „Sie arbeiten aus Nordkorea in der Nachtschicht, damit es so wirkt, als würden sie in den USA tagsüber arbeiten. Die Betrugsmasche ist, dass die den Job wirklich machen und dann dafür gut bezahlt werden. Dann überweisen sie große Teile des Gehalts, um Nordkoreas illegale Programme zu finanzieren“, erklärt der Blogpost. Die nordkoreanischen Hacker machen also tatsächlich einfach ihren Job. Und umgehen so nur Sanktionen. Die Sicherheitsforscher von Madiant haben dieses Vorgehen ausführlich dokumentiert.
Warnsignal
„Ich muss Sie wohl nicht vor den Risiken dieses Vorgehens warnen“, richtet sich der Post direkt an die Kunden. „Man sollte neue Angestellte in Risikobereichen zunächst hochrestriktiv behandeln. Und sie von Produktiv-Systemen ausschließen“, führt der Post aus. Auch bei der Überprüfung von Bewebern sollte man vorsichtiger sein, erklärt die Firma selbstkritisch. „Wir hatten letztlich Glück, dass unsere Sicherheitssysteme funktioniert haben.“
Quellen:KnowBe4, Google Security, Madiant
