Ist mein Kollege ein Spion? Diese Frage müssen sich vor allem IT-Profis in den letzten Monaten häufiger stellen, als man denkt. Sogar das FBI warnt mittlerweile davor, versehentlich Spitzel aus Nordkorea einzustellen. Bei Amazon wurde nun einer von ihnen erwischt. Den entscheidenden Hinweis gab – seine Tastatur.
Das erzählte Amazons Sicherheitschef Stephen Schmidt gegenüber "Bloomberg". Der Konzern habe seit April 2024 mehr als 1800 Fälle entdeckt, in denen Nordkoreaner sich als Angestellte in der Firma einschleichen wollten. Nur wegen der hohen Alarmbereitschaft sei auch der erfolgreiche Spitzel aufgeflogen. "Hätten wir nicht aktiv nach nordkoreanischen Mitarbeitern gesucht, wir wären ihm wohl nicht auf die Schliche gekommen", so der Sicherheitschef.
Nordkoreaner überführt durch Verzögerung beim Tippen
Aufgeflogen war der Spitzel nur, weil Amazons IT-Systeme eine interne Warnung wegen ungewöhnlicher Verhaltensmuster ausgelöst hatten. Einem KI-Überwachungssystem war aufgefallen, dass die Verzögerung bei Tastatur-Eingaben ungewöhnlich hoch war. Statt einer Hundertstelsekunde brauchten die Anschläge eine Zehntelsekunde, um bei Amazon anzukommen. Eine ungewöhnlich lange Zeit – die darauf hindeutet, dass sich der überwachte Laptop nicht in den USA befindet.
Tatsächlich ist die Masche der Spione raffiniert. Sie bewerben sich als Mitarbeiter im Homeoffice, lassen sich den Firmen-Laptop aber an eine Scheinadresse schicken. Dort wird er dann so eingerichtet, dass die falschen Mitarbeiter ihn von ihrem in Nordkorea, oft aber auch in China befindlichen Büro fernsteuern können.
Auch im Falle des falschen Amazon-Mitarbeiters konnte das Sicherheitsteam des Konzerns den Internetverkehr des bereitgestellten Laptops nach Übersee verfolgen, bis nach China.
Verräterische Bewerbung
Doch Amazon wollte es genau wissen. Weil der Mitarbeiter keinen Zugriff auf "irgendetwas Interessantes" hatte, ließ der Konzern ihn weitermachen, behielt das Verhalten aber im Auge. Im Hintergrund forderte man allerdings von dem Dienstleister Zugang zu den Bewerbungsunterlagen an. Und war sich danach der Sache sicher.
"Es entsprach derselben Masche, die wir von anderen Nordkoreanern gesehen haben, die einen Job bei uns erschleichen wollten", erklärt Schmidt. Obwohl manchmal auch mit gestohlenen Identitäten gearbeitet werde, setzten die meisten falschen Bewerber auf eine kleine Auswahl an Universitäten, gäben dieselben früheren Arbeitgeber in Übersee an, um eine Überprüfung aus den USA heraus schwerer zu machen. Oft würden sich die vorgeblich in den USA geborenen Bewerber auch durch Probleme beim Umgang mit Alltagssprache oder dem korrekten Einsatz der englischen Artikel verraten.
Innerhalb weniger Tage wurde der Mitarbeiter aus dem Amazon-System ausgesperrt. Die Betreiberin der Laptop-Farm, über die der Zugang eingerichtet worden war, wurde mittlerweile zu einer achtjährigen Gefängnisstrafe verurteilt. Das Gericht sah es als erwiesen an, dass sie zwischen 2020 und 2023 in mehr als 300 Fällen erfolgreich dabei geholfen hatte, Nordkoreaner in US-Firmen einzuschleusen. Dabei sollen mehr als 17 Millionen Dollar nach Nordkorea geflossen sein.
Amazon ist nicht allein
Doch die Verurteilte ist offenbar nur eine von vielen. "Es gibt heute wahrscheinlich zwischen 1000 und 10.000 falsche Angestellte, die in Firmen rund um den Globus arbeiten", erklärte Sicherheitsexperte Roger Grimes im Oktober auf einem Fachkongress. Grimes sprach aus Erfahrung: Auch seine eigene Sicherheitsfirma hatte versehentlich einen der Spione eingestellt. "Wir schickten ihm einen Arbeits-Mac und quasi in dem Moment, als der ankam, begann er, Schadsoftware zu installieren", heißt es in dem Blogpost, in dem das Unternehmen seine Hackerpanne im vergangenen Sommer aufarbeitete. Aufgeflogen war der Spion nur durch Zufall (mehr zu dem Fall lesen Sie hier).
Seitdem ist das Problem nicht kleiner geworden. Im Sommer sahen sich die Regierungen der USA, Japans und Südkoreas zu einer gemeinsamen Warnung gezwungen. "Nordkoreanische IT-Experten nutzen den Mangel an Fachkräften aus, um in der ganzen Welt Aufträge oder Anstellungen zu übernehmen", heißt es in dem Statement. Dieselben Akteure seien mit hoher Wahrscheinlichkeit auch in schädliche Aktivitäten wie Cyberattacken verstrickt. "Das Risiko reicht vom Diebstahl von geistigem Eigentum, Daten und Vermögen bis zur Rufschädigung." Wegen der Sanktionen gegen Nordkorea könnten zudem rechtliche Folgen drohen, so die Experten.
Die so eingenommenen Gelder fließen nach Erkenntnissen der US-Behörden auch in Nordkoreas Nuklearambitionen. Die Operation scheint enorm ertragreich. Die Hacker sind angehalten, nicht weniger als 100.000 Dollar Jahresgehalt einzunehmen, die Spitzenverdiener sollen auf bis zu 60.000 Dollar im Monat kommen, erklärte ein Expertengremium der Vereinten Nationen. Zwischen zehn und 30 Prozent der Gehälter dürfen die Spitzel selbst behalten, der Rest geht an das Regime. Bis zu 600 Millionen Dollar soll die Masche bisher eingebracht haben.
Quellen: Bloomberg, US-Justizministerium
- Nordkorea
- Amazon
- FBI
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
