Thought Leadership
Ein neuer Sicherheitsbericht zeigt, wie ausgeklügelt Pjöngjang westliche Unternehmen mit falschen Softwareentwicklern unterwandert, und wie viel Geld sie damit dem Regime einbringen.
Dass nordkoreanische Staatsbürger unter falscher Identität in westlichen Technologieunternehmen arbeiten, ist seit einigen Jahren bekannt. Wie professionell und arbeitsteilig dieses System organisiert ist, wird allerdings erst jetzt deutlich. IBM X-Force und Flare Research haben gemeinsam einen Bericht veröffentlicht, der die internen Abläufe und Strukturen dieser Operationen beleuchtet. Darin heißt es, dass “Sicherheitsexperten erst jetzt beginnen, das Ausmaß und die Raffinesse der Operation zu begreifen”.
Ausgewählt ab der Mittelstufe
Die falschen IT-Kräfte werden dem Bericht zufolge nicht zufällig rekrutiert. Wie auch andere nordkoreanische Cyberakteure werden sie bereits in jungen Jahren anhand ihrer mathematischen und naturwissenschaftlichen Begabung ausgewählt. Die Auswahl beginnt bereits in der Mittelstufe. Anschließend durchlaufen sie eine Ausbildung an mehreren nordkoreanischen Eliteuniversitäten. Als bekannte Einrichtungen gelten dabei die Kim-Il-Sung-Universität und die Kim-Chaek-Universität.
Die aktuelle Untersuchung hat darüber hinaus eine weitere Hochschule ans Licht gebracht, die bisher kaum in Berichten auftauchte: die Universität der Wissenschaften. Einer der enttarnten Fake-IT-Arbeiter verwendete den Namen dieser Universität als Benutzernamen für ein persönliches Konto, was laut den Forschern auf “eine mögliche Zugehörigkeit oder operative Verbindung” hindeutet.
Ein Netzwerk mit klarer Hierarchie
Laut den Forschern stützt sich das System auf vier klar definierte Rollen. Am Anfang stehen Personen, die potenzielle Mitarbeiter anwerben und Bewerbungsgespräche führen. Diese leiten ihre Ergebnisse an eine Art Entscheidungsebene weiter, die über Annahme oder Ablehnung bestimmt. Gesichert ist allerdings nicht, ob jede angeworbenen Personen weiß, wofür sie tatsächlich rekrutiert wird. Ihnen wird ein angebliches “Stealth-Startup in der Frühphase” ohne veröffentlichte Unternehmensinformationen als Arbeitgeber präsentiert.
Die eigentlichen operativen Kräfte sollen über Kenntnisse in Full-Stack-Webentwicklung, .NET und WordPress verfügen. Ergänzt wird das Netzwerk durch westliche Komplizen, die “ihre Identitäten für den Betrug zur Verfügung stellen und auch auf andere Weise behilflich sein können”.
Bewerbungen im Akkord
In sichergestellten Arbeitszeiterfassungen dokumentierten die Fake-Mitarbeiter ihre tägliche Arbeit. Erfasst wurde unter anderem, wie viele Bewerbungen pro Tag auf Freelancer-Plattformen wie Upwork abgegeben und wie viele Nachrichten über berufliche Netzwerke verschickt wurden. Die Arbeiter nutzen dafür “gefälschte Accounts oder verifizierte Accounts, die mit realen Personen verknüpft sind, die dem Arbeiter möglicherweise unfreiwillig Zugang gewährt haben”.
Wer es in eine Festanstellung schafft, fällt dort häufig durch hohe Produktivität auf. Das liegt dem Bericht zufolge daran, dass “manchmal mehrere Personen dabei helfen, die Arbeit zu erledigen, in der Hoffnung auf eine Beförderung und damit privilegierteren Zugang zu den IT-Systemen”.
Halbe Milliarde Dollar für das Regime
Die finanziellen Dimensionen sind beachtlich. Der Bericht verweist auf Schätzungen der US-Regierung, wonach einzelne dieser Fake-Angestellten “mehr als 300.000 Dollar im Jahr verdienen können”. Insgesamt sollen rund 100.000 nordkoreanische IT-Kräfte in etwa 40 Ländern aktiv sein und dem Regime jährlich ungefähr 500 Millionen Dollar einbringen.
Google Translate als unverzichtbares Werkzeug
Google Translate wird laut dem Bericht “in nahezu jedem Bereich ihrer Online-Aktivität” eingesetzt, von der Übersetzung von Stellenbeschreibungen über die Erstellung von Bewerbungen bis zur täglichen Kommunikation im Arbeitsumfeld.
Daneben identifizierten die Forscher weitere typische Software. Eine VPN-Lösung namens OConnect beziehungsweise NetKey wird offenbar für Verbindungen nach Pjöngjang genutzt. Außerdem setzen die Akteure auf IP Messenger, einen quelloffenen Chat-Dienst, der “keinen zentralen Server benötigt” und damit unabhängig von US-amerikanischen Plattformen funktioniert.
Was Unternehmen tun können
Der Bericht empfiehlt Arbeitgebern, bei Videointerviews auf bestimmte Auffälligkeiten zu achten, darunter “gefälschte Hintergründe, KI-basierte Gesichtsveränderer oder KI-basierte Stimmveränderer”. Auch auf Widersprüche zwischen Lebenslauf und den mündlichen Angaben im Gespräch sollte geachtet werden, etwa “welche Sprachen sie angeblich sprechen und wo sie angeblich wohnen”.
