Nordkoreanische Hacker geben sich als IT-Mitarbeiter aus und stehlen bei Cyberangriff über 1 Milliarde Dollar

Nordkoreanische Hacker weiten ihre Aktivitäten aus und geben sich als Kandidaten für Remote-Positionen bei multinationalen Unternehmen aus.

Diese Hacker nutzen ihre Tarnung, um Geschäftsgeheimnisse zu stehlen und Kryptowährungsgelder abzuzweigen, und tragen so erheblich zur Kasse des Regimes bei.

Forscher auf der Cybersicherheitskonferenz Cyberwarcon identifizierten zwei nordkoreanische Hackergruppen, Sapphire Sleet und Ruby Sleet, als Hauptakteure dieser Machenschaften.

Ihre Methoden reichen vom Nachahmen von Personalvermittlern bis hin zum Ausgeben als Mitarbeiter in Branchen wie der Luft- und Raumfahrt.

Diese Strategie hat der nordkoreanischen Regierung bereits Millionen eingebracht und gleichzeitig der Unternehmens- und Kryptoindustrie weltweit schwere Schläge versetzt.

Saphirgraupel und Rubingraupel

Sapphire Sleet hat sich zu einer großen Bedrohung entwickelt, indem es auf Kryptowährungsunternehmen und -investoren abzielt.

Die Gruppe gibt sich als Personalvermittler oder Risikokapitalgeber aus und organisiert virtuelle Treffen, um die Opfer zum Herunterladen von als Fehlerbehebungstool getarnter Malware zu verleiten.

Diese bösartigen Downloads ermöglichen Hackern Zugriff auf vertrauliche Daten und digitale Assets.

Innerhalb von nur sechs Monaten erwirtschafteten die Aktivitäten von Sapphire Sleet 10 Millionen US-Dollar für das nordkoreanische Regime.

Mit den gestohlenen Geldern soll das Land vermutlich seine Waffenentwicklung vorantreiben und die von der internationalen Gemeinschaft verhängten Wirtschaftssanktionen umgehen.

Ruby Sleet geht gezielter vor und konzentriert sich auf den Diebstahl von Geschäftsgeheimnissen in der Luft- und Raumfahrtindustrie.

Die Gruppe gibt sich als Mitarbeiter von Luft- und Raumfahrtunternehmen aus und infiltriert Systeme, um Zugriff auf vertrauliche Informationen über Waffenentwicklung und Navigationstechnologien zu erhalten.

Diese Aktivitäten zielen darauf ab, Nordkoreas militärische Fähigkeiten zu stärken und unterstreichen, dass das Regime bei der Verfolgung seiner strategischen Ziele auf Cyberkriminalität setzt.

Der Kryptosektor verliert im Jahr 2024 1,48 Milliarden Dollar

Die Kryptowährungsbranche hat verheerende Verluste erlitten: Laut Immunefi, einer führenden Bug-Bounty-Plattform, haben Hacker allein im Jahr 2024 1,48 Milliarden US-Dollar gestohlen.

In dieser Zahl sind auch spektakuläre Datendiebstähle im November enthalten, bei denen Hacker auf mehreren Plattformen 71 Millionen US-Dollar erbeuteten.

Besonders anfällig waren dezentrale Finanzunternehmen (DeFi). Thala, ein DeFi-Protokoll, meldete einen Verlust von 26 Millionen US-Dollar, nachdem Angreifer sein Liquiditätsprotokoll ausgenutzt hatten.

Obwohl Vermögenswerte im Wert von 11,5 Millionen US-Dollar, darunter der native THL-Token und Move Dollar (MOD), eingefroren wurden, kämpft das Unternehmen weiterhin mit den Folgen des Verstoßes.

Zu den weiteren namhaften Opfern zählen Dexx und Polter Finance, die bei getrennten Angriffen 21 bzw. 12 Millionen US-Dollar verloren.

Diese Verstöße haben Zweifel an der Robustheit der DeFi-Sicherheitsmaßnahmen geweckt und die Notwendigkeit strengerer Sicherheitsvorkehrungen zum Schutz von Vermögenswerten verdeutlicht.

DeltaPrime, eine weitere DeFi-Plattform, meldete am 11. November einen Verlust von 4,75 Millionen Dollar, was die Anfälligkeit des Sektors weiter unterstreicht.

Wachsende Bedenken hinsichtlich der Cybersicherheit bei globalen Unternehmen

Die Ergebnisse von Cyberwarcon unterstreichen die zunehmende Komplexität der Cyber-Bedrohungen.

Indem sie sich als legitime Angestellte ausgeben, nutzen nordkoreanische Hacker die zunehmende Abhängigkeit von Telearbeit aus, die seit der COVID-19-Pandemie erheblich zugenommen hat.

Mit dieser Strategie können sie herkömmliche Sicherheitsmaßnahmen umgehen und sich so Zugriff auf vertrauliche Daten und kritische Systeme verschaffen.

Gefährdet sind multinationale Konzerne aller Branchen, wobei IT-Unternehmen, Luft- und Raumfahrtunternehmen und Kryptowährungsplattformen die Hauptziele sind.

Aufgrund der doppelten Bedrohung durch finanzielle Verluste und kompromittiertes geistiges Eigentum ist es für Unternehmen noch dringlicher geworden, erweiterte Cybersicherheitsmaßnahmen zu ergreifen und Remote-Kandidaten gründlich zu überprüfen.

Stärkung der Abwehr von Cyberangriffen

Die Kryptoindustrie und andere Zielsektoren müssen strengere Protokolle zur Risikominderung implementieren.

Multi-Faktor-Authentifizierung, Zero-Trust-Frameworks und verbesserte Überprüfungsprozesse für Remote-Mitarbeiter sind einige der Maßnahmen, die die Abwehr stärken könnten.

Die Zusammenarbeit mit Cybersicherheitsfirmen zur Identifizierung von Schwachstellen und zur schnellen Reaktion auf Verstöße kann zur Schadensminimierung beitragen.

Da Hacker immer raffinierter vorgehen, steigt der Einsatz für globale Unternehmen und die Kryptoindustrie weiter.

Der Schutz von Vermögenswerten und Geschäftsgeheimnissen erfordert einen proaktiven Ansatz zur Cybersicherheit mit kontinuierlicher Überwachung und Verbesserung der Abwehrmaßnahmen, um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein.