FBI schließt Krypto-Betrugsseite, die mit der Lazarus-Gruppe verbunden ist

Veröffentlicht:

Von:

Die FBI hat eine Krypto-Betrugsseite, die mit der Lazarus-Gruppe in Verbindung steht, geschlossen. Die Ermittlungen decken betrügerische Firmen und Malware-Angriffe auf Krypto-Entwickler auf.
Die FBI hat eine Krypto-Betrugsseite, die mit der Lazarus-Gruppe in Verbindung steht, geschlossen. Die Ermittlungen decken betrügerische Firmen und Malware-Angriffe auf Krypto-Entwickler auf.

  • Hackern gaben sich als Tech-Rekruter bei gefälschten Vorstellungsgesprächen aus.
  • Malware wurde verwendet, um Krypto-Wallets und Zugangsdaten zu stehlen.
  • Frontunternehmen konnten bis zu Adressen in South Carolina und Buffalo zurückverfolgt werden.

Die geheime Cyberkriegstrategie Nordkoreas hat eine neue Wendung genommen, nachdem US-Bundesermittler eine ausgeklügelte Malware-Kampagne im Zusammenhang mit Kryptowährungen aufgedeckt haben, die von Frontunternehmen betrieben wird, die sich als legitime Tech-Rekruter ausgeben.

Laut einem Bericht von Reuters, der am Freitag veröffentlicht wurde, haben sich Hacker, die mit der nordkoreanischen Regierung in Verbindung stehen, gefälschte Unternehmen gegründet, um schädliche Software einzusetzen, die auf Krypto-Entwickler abzielt.

Das Ziel: digitale Vermögenswerte und sensible Zugangsdaten zu stehlen, während Sanktionen und Überwachung umgangen werden.

Das FBI hat in Zusammenarbeit mit der Cybersecurity-Firma Silent Push ein zentrales Element dieser Operation zerschlagen, indem es die Web-Domain eines der beteiligten Unternehmen, Blocknovas LLC, beschlagnahmte.

Dieser Schritt markiert eine Ausweitung der Maßnahmen gegen staatlich geförderte Cyber-Bedrohungen, die den Krypto-Bereich ausnutzen.

Drei Frontunternehmen in Nordkorea-verbundenem Betrug identifiziert

Im Mittelpunkt der Operation standen drei Unternehmen – Blocknovas LLC, Softglide LLC und Angeloper Agency –, die mit gefälschten Adressen in den USA eingerichtet wurden.

Blocknovas und Softglide waren offiziell in New Mexico bzw. New York registriert, während Angeloper ohne angemessene Registrierung zu operieren schien.

Öffentliche Aufzeichnungen, die von Reuters überprüft wurden, zeigten, dass Blocknovas auf einem leeren Grundstück in South Carolina registriert war und die Unterlagen von Softglide mit einer bescheidenen Steuerberatung in Buffalo verknüpft waren.

Das FBI bestätigte am Donnerstag, dass es die Domain von Blocknovas beschlagnahmt hatte.

Silent Push identifizierte es als die aktivste der drei Entitäten, die bereits mehrere Opfer im Krypto-Bereich kompromittiert hatte.

Diese Unternehmen wurden Berichten zufolge von Cyber-Agenten betrieben, die mit der Lazarus-Gruppe verbunden sind, einer Einheit des nordkoreanischen Generaldienstes für Aufklärung.

Diese Agentur überwacht viele von Pjöngjangs ausländischen Geheimdienst- und Hacking-Operationen.

Malware wurde über gefälschte Vorstellungsgespräche eingesetzt

Die verwendete Technik war sowohl täuschend als auch effektiv. Laut dem FBI und Silent Push gaben sich nordkoreanische Hacker als Rekruter aus, die ahnungslose Krypto-Entwickler zu gefälschten Vorstellungsgesprächen einluden.

Diese Entwickler, angelockt durch lukrative Angebote, wurden schließlich dazu verleitet, Malware herunterzuladen.

Sobald die Malware installiert war, gab sie den Angreifern Zugang zu Krypto-Wallets und Entwicklungsumgebungen, was unautorisierte Transaktionen und den Diebstahl vertraulicher Zugangsdaten ermöglichte.

Die gesamte Kampagne scheint darauf ausgelegt zu sein, nicht nur Gelder zu stehlen, sondern auch tiefere Eindringungen in Plattformen zu ermöglichen, die digitale Vermögenswerte erstellen oder verwalten.

Solche Taktiken werden als Evolution früherer Cyber-Operationen angesehen, die mit Nordkorea in Verbindung stehen, bei denen die Verbreitung von Malware und Phishing-Versuche hauptsächlich auf Börsen und DeFi-Protokolle gerichtet waren.

Krypto-Verbrechen werden als wichtige Einnahmequelle für das Waffenprogramm angesehen

Diese Malware-Kampagne unterstreicht Nordkoreas wachsende Abhängigkeit von Cyberkriminalität zur Finanzierung seiner internationalen Ambitionen.

Berichte der Vereinten Nationen und unabhängige Untersuchungen haben gezeigt, dass das Regime zunehmend auf den Diebstahl von Kryptowährungen als Mittel zur Finanzierung seiner Kernwaffen- und ballistischen Raketenprogramme zurückgreift.

Im Jahr 2022 wurde das Regime mit dem berüchtigten Axie-Infinity-Hack in Verbindung gebracht, der zu Verlusten von über 600 Millionen US-Dollar führte.

Neuere Erkenntnisse zeigen, dass Tausende von IT-Fachleuten ins Ausland geschickt werden, um heimlich für Unternehmen zu arbeiten, im Austausch für Kryptowährungszahlungen, die dann zurück in die Kassen Nordkoreas geleitet werden.

All diese Bemühungen verstoßen direkt gegen die von der US-Finanzbehörde Office of Foreign Assets Control (OFAC) verhängten Sanktionen und mehrere Resolutionen der Vereinten Nationen, die darauf abzielen, Nordkoreas Zugang zu internationalen Finanzierungsquellen einzuschränken.

Während die Ermittlungen fortgesetzt werden, warnen Cybersecurity-Experten, dass möglicherweise weitere solcher Frontunternehmen existieren und dass Entwickler und Krypto-Unternehmen ihre Due-Diligence-Prozesse erhöhen müssen, wenn sie mit unverlangten Stellenangeboten angesprochen werden.

Teilen Sie diesen Artikel
Kategorien
Tags

Details
Quellen