Amazon blockiert Nordkoreas IT-Agenten: Eine globale Cyber-Bedrohung

Der Tech-Riese Amazon hat in den letzten Monaten eine signifikante Zunahme von Versuchen nordkoreanischer Akteure festgestellt, sich in Remote-IT-Positionen einzuschleichen. Seit April 2024 wurden über 1.800 verdächtige Bewerbungen blockiert, die mutmaßlich von nordkoreanischen Agenten stammten. Diese Aktivitäten zielen darauf ab, Gehälter zu generieren und diese zur Finanzierung der Waffenprogramme des Regimes zurückzuführen.

Nordkoreas Strategie: Remote-Arbeit zur Finanzierung

Stephen Schmidt, Amazons Chief Security Officer (CSO), erklärte in einem LinkedIn-Post, dass nordkoreanische Staatsangehörige seit einigen Jahren versuchen, Remote-IT-Jobs bei Unternehmen weltweit, insbesondere in den USA, zu erhalten. Ihr Ziel ist es, angestellt zu werden, bezahlt zu werden und die Löhne zur Finanzierung der Waffenprogramme des Regimes zurückzuleiten. Dies ist eine direkte Folge der internationalen Sanktionen gegen Nordkorea, die das Land dazu zwingen, alternative Finanzierungsquellen zu finden.

Neben der finanziellen Bereicherung bieten diese Positionen den Akteuren auch Einblicke in fortschrittliche Technologien und Geschäftsstrategien. Der Zugang zu internen Betriebsgeheimnissen könnte es ihnen ermöglichen, diese zu missbrauchen, eigene Systeme aufzubauen oder Schaden anzurichten.

Amazons Abwehrmechanismen: KI und menschliche Expertise

Amazon setzt eine Kombination aus KI-gestütztem Screening und menschlicher Überprüfung ein, um solche Bewerbungen zu erkennen und zu blockieren. Das KI-Modell des Unternehmens sucht nach Verbindungen zu rund 200 "Hochrisikoinstitutionen" und analysiert "Anomalien bei Bewerbungen" sowie "geografische Inkonsistenzen". Menschliche Prüfer führen anschließend Hintergrundüberprüfungen durch, verifizieren Zeugnisse und führen Interviews.

Trotz dieser umfassenden Maßnahmen gelang es einem Betrüger, sich als Systementwicklungs-Auftragnehmer einzuschleichen, wurde aber später durch die Verfolgung von Tastatureingaben entlarvt. Eine ungewöhnlich hohe Verzögerung von über 110 Millisekunden bei den Tastatureingaben deutete darauf hin, dass der Arbeiter nicht in den USA, sondern "wahrscheinlich am anderen Ende der Welt" saß.

Raffinierte Taktiken der Betrüger

Die Betrüger werden zunehmend "kalkulierter" und verfeinern ihre Taktiken. Sie zielen oft auf echte Software-Ingenieure ab, um Glaubwürdigkeit zu erlangen, oder versuchen, ruhende LinkedIn-Konten zu übernehmen oder für den Zugang zu bestehenden Profilen zu bezahlen. Auch die LinkedIn-Strategien werden ausgefeilter, indem kompromittierte Anmeldeinformationen genutzt werden, um verifizierte Konten zu kapern.

Kleine Details können sie verraten, wie Schmidt bemerkte. Zum Beispiel formatieren diese Bewerber US-Telefonnummern oft mit "+1" anstatt nur "1". Allein bedeutet dies nichts, aber in Kombination mit anderen Indikatoren ergibt sich ein Gesamtbild. Besonders begehrt sind aufgrund der hohen Nachfrage Rollen im Bereich KI und maschinelles Lernen.

Die Rolle von "Laptop Farms"

Ein zentrales Element dieser Betrugsmasche sind sogenannte "Laptop Farms". Dies sind US-basierte Standorte, die eine inländische Präsenz aufrechterhalten, während die eigentlichen Arbeiter remote aus dem Ausland operieren. Die von Unternehmen bereitgestellte Hardware, oft mit Tracking-Systemen ausgestattet, verbleibt in den USA, während die nordkoreanischen Arbeiter aus der Ferne auf die Computer zugreifen.

Das US-Justizministerium (DOJ) hat im Juli eine Frau aus Arizona zu 102 Monaten Gefängnis verurteilt, weil sie nordkoreanischen IT-Arbeitern geholfen hatte, Remote-IT-Jobs bei über 300 US-Unternehmen zu erhalten. Dieses "Laptop Farming"-Schema generierte über 17 Millionen US-Dollar an illegalen Einnahmen für die Frau und Pjöngjang. Im Juni führte das DOJ Durchsuchungen von 29 bekannten oder vermuteten "Laptop Farms" in 16 US-Bundesstaaten durch.

Branchenweites Problem und behördliche Warnungen

Schmidt betonte, dass dieses Problem nicht Amazon-spezifisch ist, sondern "wahrscheinlich in großem Umfang in der gesamten Branche" auftritt. Amazon hat in diesem Jahr Quartal für Quartal 27 % mehr Nordkorea-bezogene Bewerbungen festgestellt. Der "2025 Threat Hunting Report" von CrowdStrike bestätigt, dass das nordkoreanische Remote-Arbeiter-Schema eine wachsende Bedrohung darstellt.

Das DOJ berichtete, dass nordkoreanische Akteure bei über 100 US-Unternehmen, darunter auch Fortune-500-Firmen, Anstellungen erhalten konnten. Die FBI empfiehlt Unternehmen, Identitätsprüfungsdokumente genau zu prüfen, frühere Beschäftigungen und Ausbildungen zu verifizieren und persönliche Treffen zu fordern. Auch andere Branchen wie Finanzen, Gesundheitswesen und öffentliche Verwaltung sind zunehmend Ziel dieser Angriffe.

Schutzmaßnahmen für Unternehmen

Um sich vor solchen Betrugsversuchen zu schützen, sollten Unternehmen besonders wachsam sein. Wichtige Warnsignale für Arbeitgeber sind:

• Diskrepanzen in Ausweisdokumenten oder akademischen Zeugnissen: Überprüfen Sie, ob die angegebenen Schulen oder Universitäten die genannten Abschlüsse tatsächlich anbieten oder ob die Einschreibungsdaten mit den akademischen Zeitplänen übereinstimmen.
• **Anfragen nach Zahlungen in Kryptowährung:** Dies kann ein Hinweis auf illegale Aktivitäten sein.
• Mehrere Anmeldungen auf ein Konto von verschiedenen IP-Adressen in kurzer Zeit: Dies könnte auf Fernzugriff oder geteilte Konten hindeuten.
• Ungewöhnliche Formatierungen: Achten Sie auf kleine Details wie die Verwendung von "+1" bei US-Telefonnummern, die in den USA unüblich ist.

Amazon selbst setzt auf verstärkte persönliche Interviews und sieht Sicherheitsvorteile in seiner Rückkehr ins Büro. Es sei "sehr, sehr schwer, sich hinter der Identität eines anderen zu verstecken, wenn man im Büro sein muss", so Schmidt. Identitätsprüfungen erfolgen in mehreren Einstellungsphasen, gefolgt von einer kontinuierlichen Überwachung der Systemnutzung und Arbeitsqualität. Verdächtige Codequalität fällt oft stark ab, wenn schlechte Akteure vor Ort sind.