Thought Leadership
Durch Messung der Tastatur-Latenz hat Amazon einen Betrüger identifiziert, der einen in Arizona stationierten Laptop aus Nordkorea fernsteuerte. Der Konzern verzeichnet eine stark steigende Zahl derartiger Infiltrationsversuche.
Der Konzern hat laut Bloomberg einen nordkoreanischen Akteur aufgedeckt, der sich als US-Systemadministrator ausgab und als Vertragsentwickler für Systeme eingestellt worden war. Die Entdeckung gelang nicht durch klassische Überprüfungsverfahren, sondern durch technische Anomalien bei der Netzwerkverbindung.
Ungewöhnliche Methode führt zur Aufdeckung
Den Ausschlag gab die Analyse von Tastatureingabe-Latenzen. Während bei tatsächlichen Remote-Mitarbeitern in den USA die Eingaben innerhalb von einigen Dutzend Millisekunden das Firmennetzwerk erreichen, lagen die gemessenen Werte beim verdächtigen Mitarbeiter deutlich höher: über 110 Millisekunden. Dies veranlasste das Sicherheitsteam zu einer genaueren Untersuchung.
Dabei stellte sich heraus, dass der betreffende Laptop zwar physisch in Arizona stand, aber von weit entfernt ferngesteuert wurde. Der tatsächliche Nutzer bediente das Gerät aus mehreren Tausend Kilometern Entfernung.
Deutliche Zunahme der Angriffe
Stephen Schmidt, Sicherheitschef bei Amazon, berichtete über das Ausmaß der Bedrohung. Seit April 2024 hat das Unternehmen mehr als 1800 Infiltrationsversuche durch nordkoreanische IT-Kräfte verhindert. Die Häufigkeit nimmt dabei zu: Von Quartal zu Quartal registriert Amazon einen Anstieg um 27 Prozent. Schmidt betonte, dass diese Betrüger nur durch gezieltes Suchen zu finden seien. Ohne aktive Bedrohungssuche wären sie unentdeckt geblieben. Auch das Cybersecurity-Unternehmen CrowdStrike sieht einen Anstieg der nordkoreanischen IT-Spione.
Infrastruktur innerhalb der USA
Die Täuschungsmanöver basieren auf sogenannten “Laptop-Farmen” auf US-Territorium. Im beschriebenen Fall ermöglichte eine Frau in Arizona die Infrastruktur, über die nordkoreanische Akteure ihre Verbindungen durch amerikanische IP-Adressen routeten. Die Frau wurde bereits in diesem Jahr zu einer Haftstrafe verurteilt.
Nordkorea verfolgt mit diesen Operationen zwei Ziele. Einerseits sollen Einnahmen für das Regime erwirtschaftet werden. Andererseits verschafft der Zugang zu legitimen Positionen in Technologieunternehmen Möglichkeiten für Spionage oder Sabotage sowie Zugriff auf sensible Systeme und geschützte Informationen.
Weitere Erkennungsmerkmale
Neben auffälligen Latenzwerten nannte Schmidt weitere Indizien. Dazu zählen sprachliche Ungereimtheiten wie fehlerhafte Verwendung amerikanischer Redewendungen, Probleme mit englischen Artikeln oder unnatürlich wirkende Formulierungen in schriftlicher Kommunikation.
Der Fall zeigt nach Schmidts Einschätzung, dass Unternehmen mehrschichtige Sicherheitskonzepte benötigen, die technische Überwachungssysteme mit aktiver Analyse und menschlicher Aufmerksamkeit verbinden.
