Das Stockfoto eines Angestellten und die KI-manipulierte Abwandlung, die ein nordkoreanischer Hacker als Bewerbungsbild schickte

Nordkoreaner mit falscher Identität versuchte US-Firma zu hacken

27.07.2024

Neuer Angestellter schickte Cybersecurity-Unternehmen KnowBe4 mit zugesendetem Rechner sofort Malware. Angriff aber erfolglos.

So kann es gehen. Als "mahnende Botschaft" schildert das US-Cybersecurity-Unternehmen KnowBe4 in einem Blogbeitrag, wie es durch einen vermeintlich gut überprüften neuen Angestellten beinahe in eine Falle getappt wäre. KnowBe4, das sich auf die Durchführung von Phishing-Tests in anderen Unternehmen spezialisiert hat, hat einen US-Amerikaner als Software-Entwickler für sein Team angeworben, der sich als nordkoreanischer Hacker herausstellte.

➤ Mehr lesen: 2 Personen verschafften Nordkorea Zugang zu 300 US-Firmen

Rechner begann sofort mit Malware-Übertragung

Mit einer gefälschten US-amerikanischen Identität und KI-manipulierten Bildern schaffte es der Nordkoreaner, das Unternehmen in mehreren Videointerviews von seinen Programmierfähigkeiten zu überzeugen und wurde eingestellt, obwohl er niemals persönlich am Unternehmensstandort erschien. Ihm wurde per Post ein Mac-Rechner zugeschickt. Nach der Aktivierung begann der Rechner offenbar sofort, Schadsoftware in das Firmennetzwerk zu übertragen, die mittels eines kleinen Raspberry Pi Computers auf den Mac gespielt wurde.

Die IT-Sicherheitsabteilung von KnowBe4 entdeckte den Versuch, Malware einzuschleusen, auch gleich. Ein Zugriff auf kritische Systeme wurde verhindert. Wie Ars Technica berichtet, versuchte die Firma sofort, mit dem neuen Angestellten in Verbindung zu treten. Dieser versuchte es zunächst mit Ausreden, dann brach er die Kommunikation ab. KnowBe4 wandte sich an eine andere Cybersecurity-Firma (Mandiant) und das FBI.

➤ Mehr lesen: Russische Hacker nutzten jahrelang berüchtigte Windows-Lücke aus

Gestohlene Identität und US-Adresse reichten

Gemeinsam wurde der Vorfall analysiert. Dabei heraus kam, dass es sich tatsächlich um einen Versuch gehandelt hat, die Firma von Nordkorea aus zu infiltrieren. Durch die Verwendung einer echten, aber gestohlenen Identität einer US-amerikanischen Person, durch einen VPN-Dienst und eine Adresse, die lediglich als Computerstandort diente, wurde die Illusion eines ganz normalen neuen Angestellten geschaffen.

Dass lediglich Schadsoftware in ein Firmennetzwerk eingeschleust wird, war angeblich nicht das vollständige Ziel des Angreifers. KnowBe4-CEO Stu Sjouwerman ist davon überzeugt, dass der falsche Angestellte tatsächlich Aufträge bearbeiten und Geld verdienen sollte, das teilweise zur Finanzierung nordkoreanischer Hacking-Aktivitäten verwendet werden sollte. Glücklicherweise sei das Vorhaben unterbunden worden, aber die schlechte Erfahrung möchte man mit anderen Unternehmen teilen, damit ihnen nicht ähnliches passiere.