Identitäten von mehr als 80 Amerikanern für Betrugsfälle mit nordkoreanischen IT-Mitarbeitern gestohlen
Die nordkoreanische Regierung erschließt sich seit Jahren eine florierende Einnahmequelle zur Umgehung von Sanktionen, indem sie ihre Bürger dazu auffordert, sich heimlich auf Stellen im Technologiebereich im Westen zu bewerben . Eine kürzlich aufgedeckte Operation amerikanischer Strafverfolgungsbehörden macht deutlich, wie viel der Infrastruktur, die für diese Machenschaften genutzt wurde, in den USA angesiedelt war – und wie viele Identitäten von Amerikanern von den nordkoreanischen Betrügern gestohlen wurden, um diese Machenschaften umzusetzen.
Am Montag kündigte das Justizministerium eine umfassende Operation an, um gegen in den USA ansässige Elemente des nordkoreanischen IT-Fernarbeiter-Programms vorzugehen. Dazu gehört die Anklageerhebung gegen zwei Amerikaner, die der Regierung zufolge an den Operationen beteiligt waren – einer von ihnen wurde vom FBI festgenommen. Die Behörden durchsuchten außerdem 29 „Laptopfarmen“ in 16 Bundesstaaten, die mutmaßlich als Empfangs- und Hosting-Standorte für die PCs genutzt wurden, auf die die nordkoreanischen IT-Fachleute per Fernzugriff zugreifen. Sie beschlagnahmten rund 200 dieser Computer sowie 21 Webdomains und 29 Bankkonten, die die durch die Operation erzielten Einnahmen erhalten hatten. Die Ankündigung und die Anklage des Justizministeriums enthüllen auch, dass die Nordkoreaner den Behörden zufolge nicht nur gefälschte Ausweise erstellten, um sich bei westlichen Technologiefirmen einzuschleichen, sondern dass sie mutmaßlich auch die Identitäten von „mehr als 80 US-Bürgern“ stahlen, um sich als diese in Jobs bei über hundert US-Unternehmen auszugeben und so Geld an das Kim-Regime zu leiten.
„Das ist gewaltig“, sagt Michael Barnhart, ein Ermittler, der sich bei DTEX, einer Sicherheitsfirma, die sich auf Insider-Bedrohungen spezialisiert hat und sich auf nordkoreanische Hackerangriffe und Spionage spezialisiert hat. „Wenn man eine solche Laptop-Farm betreibt, ist das die Schwachstelle dieser Operationen. Sie in so vielen Staaten zu stoppen, ist gewaltig.“
Insgesamt hat das Justizministerium nach eigenen Angaben sechs Amerikaner identifiziert, die vermutlich an einem Komplott beteiligt waren, das nordkoreanische Tech-Arbeiter-Imitatoren befähigte. Allerdings wurden nur zwei von ihnen namentlich genannt und strafrechtlich angeklagt – Kejia Wang und Zhenxing Wang, beide in New Jersey ansässig – und nur Zhenxing Wang wurde verhaftet. Die Staatsanwaltschaft wirft den beiden Männern vor, die Identitäten zahlreicher Amerikaner gestohlen zu haben, damit die Nordkoreaner sie annehmen konnten. Sie haben Laptops von ihren Arbeitgebern erhalten, Nordkoreanern Fernzugriff auf diese Geräte von überall auf der Welt ermöglicht – oft mithilfe eines Hardwaregeräts namens „Keyboard-Video-Mouse Switch“ (KVM) – und Briefkastenfirmen und Bankkonten eingerichtet, über die die nordkoreanische Regierung die angeblich von ihnen verdienten Gehälter abheben konnte. Laut Anklageschrift arbeiteten die beiden Amerikaner laut dem Justizministerium auch mit sechs namentlich genannten chinesischen Mitverschwörern sowie zwei taiwanesischen Staatsbürgern zusammen.
Um die Deckidentitäten der nordkoreanischen Arbeiter zu erstellen, griffen die beiden Wangs laut Staatsanwaltschaft auf die persönlichen Daten von über 700 Amerikanern zu, indem sie private Unterlagen durchsuchten. Bei den Personen, als die sich die Nordkoreaner ausgaben, gingen sie laut Justizministerium sogar noch weiter und nutzten Scans der Führerscheine und Sozialversicherungskarten der Opfer, um es den Nordkoreanern zu ermöglichen, sich unter ihrem Namen auf Stellen zu bewerben.
Aus den Anklageschriften geht nicht hervor, wie diese persönlichen Dokumente angeblich beschafft wurden. Barnhart von DTEX sagt jedoch, dass nordkoreanische Identitätsbetrüger typischerweise amerikanische Ausweisdokumente aus Darknet-Foren oder von Datenleck-Websites beschaffen. Tatsächlich seien die über 80 vom Justizministerium genannten gestohlenen Identitäten nur eine winzige Auswahl von Tausenden von US-Ausweisen, die er in einigen Fällen aus der Infrastruktur nordkoreanischer Hackeroperationen abgegriffen habe.
„Sie haben eine ganze Reihe davon“, sagt Barnhart. „Überall, wo Kriminelle an einen Ausweis gelangen, können sie sich einfach anhängen, denn dann müssen sie den Diebstahl nicht einmal selbst begehen. Der Ausweis ist bereits da.“ Barnhart sagt, er habe nordkoreanische Identitätsdiebe sogar dabei beobachtet, wie sie ihre gestohlenen Identitäten auf kriminelle Hintergründe überprüften und sich sogar als Amerikaner ausgaben, die in Bundesstaaten ohne Einkommenssteuer lebten, um ihre Einnahmen zu maximieren.
Abweichend von den Anklagen des Justizministeriums gegen Kejia Wang und Zhenxing Wang gaben die Staatsanwälte zudem bekannt, dass das FBI 21 weitere mutmaßliche Laptop-Farmen in 14 US-Bundesstaaten durchsucht und rund 137 PCs beschlagnahmt habe, die laut Staatsanwaltschaft für nordkoreanische Telearbeitsprogramme verwendet wurden. In zwei weiteren Fällen nutzten Nordkoreaner laut Staatsanwaltschaft Insider-Zugang, den sie durch die Identität westlicher Tech-Mitarbeiter bei Kryptofirmen erlangt hatten, um Gelder im Wert von über 900.000 US-Dollar zu stehlen, darunter rund 740.000 US-Dollar von einem Unternehmen mit Sitz in Atlanta.
Während die meisten der vom Justizministerium zu unterbindenden nordkoreanischen Identitätsbetrugsmaschen offenbar auf Geld ausgerichtet waren, weisen die Staatsanwälte auch darauf hin, dass eines der Unternehmen, in das die nordkoreanischen Arbeiter im Rahmen der mutmaßlich von den beiden Wangs unterstützten Operation eingedrungen waren, ein kalifornisches Rüstungsunternehmen war, das sich auf KI-Technologie spezialisierte. In diesem Fall behauptet die Regierung, die nordkoreanischen Identitätsbetrüger hätten auch auf technische Daten zugegriffen und diese wahrscheinlich gestohlen, darunter auch Informationen, die so sensibel sind, dass sie unter die Exportkontrollbestimmungen der International Trafficking in Arms Regulations (ITAR) fallen.
Die Razzien, Anklagen und Verhaftungen des Justizministeriums und des FBI seien zwar bedeutsam, sagt Barnhart von DTEX, doch sie seien noch lange nicht das Ende der Versuche Nordkoreas, westliche und insbesondere US-amerikanische Unternehmen zu infiltrieren – sowohl aus Profitgründen als auch zu Spionagezwecken. Schließlich befindet sich nur ein Verdächtiger unter den vom Justizministerium benannten Personen in Haft – und unzählige weitere Nordkoreaner, die in derartige Machenschaften verwickelt sind, bleiben innerhalb der Grenzen des Regimes und in den angrenzenden Regionen Chinas, wo sie operieren, unbehelligt.
„Das wird ihre Arbeit stark beeinträchtigen“, sagt Barnhart. „Aber wenn wir uns anpassen, passen sie sich an.“
wired
