Wie sich Unternehmen vor infiltrierten IT-Bewerbern schützen können
Die Bedrohung durch Cyberangriffe aus Nordkorea ist längst kein Geheimnis mehr. Doch während sich viele Unternehmen auf klassische Hackerangriffe konzentrieren, unterschätzen sie eine besonders perfide Strategie: Cyber-Agenten aus Nordkorea bewerben sich aktiv auf IT-Stellen, um sich langfristigen Zugang zu Unternehmensnetzwerken zu verschaffen. Diese verdeckte Infiltration dient nicht nur der finanziellen Bereicherung des nordkoreanischen Regimes, sondern kann auch für Spionage- und Sabotagezwecke genutzt werden.
Laut den Analysen von Mandiant haben nordkoreanische Cyber-Agenten unter dem Deckmantel ausländischer Identitäten bereits in zahlreichen westlichen Unternehmen Fuß gefasst – insbesondere in der Tech-Branche und bei Unternehmen mit Remote-Arbeitsmodellen. In diesem Beitrag wird erläutert, wie Unternehmen solche Bedrohungsakteure frühzeitig enttarnen und sich effektiv schützen können.
UNC5267: Nordkoreas versteckte Cyber-Söldner
Die Gruppe UNC5267 steht im Zentrum dieser Bedrohung. Diese Akteure sind keine klassischen Hacker, sondern gut ausgebildete IT-Fachkräfte, die unter falscher Identität in Unternehmen eindringen. Ihr Hauptziel ist es, sich hochbezahlte Jobs zu sichern, um Einnahmen für das nordkoreanische Regime zu generieren und gleichzeitig kritische Netzwerke zu infiltrieren.
Typische Ziele von UNC5267:
- Finanzielle Gewinne durch illegale Löhne von kompromittierten Unternehmen
- Langfristiger Netzwerkzugriff für zukünftige Angriffe oder Datendiebstahl
- Potenzielle Nutzung des Zugangs für Spionage- oder Sabotageaktivitäten
Zugang zu einem Unternehmen verschaffen sich die Akteure von UNC5267, indem sie sich mit gestohlenen Identitäten auf verschiedene Stellen bewerben oder als Subunternehmer angestellt werden. Besonders attraktiv sind Positionen, die ausschließlich remote ausgeübt werden können.
Ein amerikanischer Mittelsmann nutzte gestohlene Identitäten und vermittelte über 60 falsche Bewerber an US-Unternehmen, wodurch das nordkoreanische Regime Einnahmen in Millionenhöhe generierte.
Wie infiltrieren sich nordkoreanische Cyber-Agenten in Unternehmen?
Die Methoden sind vielseitig und geschickt verschleiert. Typische Vorgehensweisen der nordkoreanischen Cyber-Agenten umfassen:
- Nutzung gefälschter oder gestohlener Identitäten für Bewerbungen
- Tarnung als Freelancer oder Subunternehmer
- Einsatz von manipulierten Laptops mit Fernzugriffstools
- Mehrfachanstellungen zur Maximierung illegaler Einkünfte
- Social-Engineering-Taktiken zur Manipulation von HR-Abteilungen
Die Akteure nutzen häufig spezielle Laptop-Farmen, die von Mittelsmännern verwaltet werden. Diese ermöglichen es ihnen, sich aus Nordkorea oder China mit den Netzwerken westlicher Unternehmen zu verbinden, ohne dabei aufzufallen.
Technische Indikatoren: Wie erkenne ich Cyber-Agenten im IT-Recruiting?
Um nordkoreanische Bedrohungsakteure frühzeitig zu identifizieren, sollten Unternehmen gezielt auf verdächtige Muster achten:
- Nutzung von VPNs oder Proxys, um die wahre Herkunft zu verschleiern
- Ungewöhnliche Remote-Zugriffe aus nicht angegebenen Ländern
- Gleichzeitige Nutzung mehrerer Fernwartungstools wie AnyDesk oder TeamViewer
- Auffällige Latenzen oder ungewöhnliche Login-Zeiten aufgrund von Zeitverschiebungen
- Bewerber, die sich weigern, bei Video-Interviews die Kamera zu aktivieren
Effektive Schutzmaßnahmen gegen nordkoreanische Cyber-Agenten
1. Striktes Bewerber-Screening
- Durchführung von Video-Interviews mit Kamerapflicht
- Überprüfung der Wohnsitzadresse durch physische Hardware-Lieferung
- Hintergrundprüfungen mit biometrischen Abgleichen
- Gezielte Schulung der Personalabteilung zur Erkennung verdächtiger Bewerber
2. Technische Sicherheitsmaßnahmen
- Einschränkung oder Blockierung von Fernwartungstools
- Strenge Netzwerküberwachung zur Erkennung ungewöhnlicher Aktivitäten
- Einführung einer hardwarebasierten Multi-Faktor-Authentifizierung
- Verbot von KVM-Geräten zur Vermeidung dauerhafter Fernzugriffe
3. Sensibilisierung und Schulungen
- Regelmäßige Sicherheits-Workshops für HR- und IT-Abteilungen
- Simulationen und Tests zur Identifikation von Insider-Bedrohungen
- Einrichtung eines Meldesystems für verdächtige Bewerber und Aktivitäten
Fazit: Eine unterschätzte Bedrohung für Unternehmen
Die Gefahr durch nordkoreanische Cyber-Agenten ist real und nimmt weiter zu. Unternehmen müssen sich bewusst machen, dass nicht jede Bewerbung harmlos ist. Die frühzeitige Identifikation verdächtiger Muster und die Implementierung strenger Sicherheitsrichtlinien sind entscheidend, um Infiltrationen zu verhindern.
Mit einer Kombination aus strengen Identitätsprüfungen, technischen Sicherheitsmaßnahmen und geschulten HR-Teams können Unternehmen die Risiken minimieren und ihre Netzwerke vor gezielten Angriffen schützen.
