Beobachtungen
Der IT-Sicherheitsdienstleister Mandiant analysierte eine laufende Angriffskampagne des Akteursclusters UNC1069. Die Operation zielt spezifisch auf Unternehmen und Forschungseinrichtungen in den Sektoren Kryptowährung und Künstliche Intelligenz. Der Angriffsvektor basiert primär auf hochentwickeltem Social Engineering. Aufgrund der globalen Ausrichtung nordkoreanischer Cyberaktivitäten und der Attraktivität des deutschen Technologiestandorts in den adressierten Branchen ist von einer erhöhten Gefährdungslage für hiesige Unternehmen auszugehen. Ziele der Angriffe sind sowohl die direkte finanzielle Bereicherung als auch die Erlangung von geistigem Eigentum.
Methoden
Die operative Vorgehensweise von UNC1069 basiert auf der Nutzung gefälschter Identitäten auf beruflichen sozialen Netzwerken (z.B. LinkedIn), wobei sich die Angreifer als Recruiter renommierter Technologieunternehmen ausgeben. Potenziellen Opfern – vorwiegend Softwareentwicklern und Systemarchitekten – werden im Rahmen der Anbahnung hochdotierte Stellenangebote in Aussicht gestellt. Die technische Kompromittierung erfolgt im weiteren Verlauf durch die Übermittlung von Schadsoftware, die als legitime Bewerbungsunterlagen (PDFs), Coding-Challenges oder kollaborative Entwicklungsprojekte getarnt ist. Nach Ausführung des Schadcodes auf dem Endgerät des Opfers etabliert der Akteur persistente Zugriffe, um Wallets zu kompromittieren oder Forschungsdaten zu exfiltrieren.
Attribution
Mandiant ordnet UNC1069 basierend auf der Zielauswahl und den beobachteten Tactics, Techniques and Procedures (TTPs) mit an Sicherheit grenzender Wahrscheinlichkeit staatlichen Akteuren Nordkoreas zu. Die hybride Zielsetzung aus Devisenbeschaffung durch Krypto-Diebstahl und technologischer Spionage im KI-Sektor entspricht dem strategischen Auftrag nordkoreanischer Nachrichtendienste zur Umgehung von Sanktionen und zur Modernisierung eigener Kapazitäten.
Empfehlungen
Unternehmen in den betroffenen Sektoren sind angehalten, ihre Entwicklungs- und Personalabteilungen gezielt hinsichtlich der Kontaktaufnahme durch unbekannte Recruiter zu sensibilisieren. Es ist technisch sicherzustellen, dass im Rahmen von Bewerbungsprozessen übermittelte Dateien oder Code-Beispiele ausschließlich in strikt isolierten Sandbox-Umgebungen ausgeführt werden. Weiterhin wird die Implementierung von Multi-Faktor-Authentifizierung für den Zugriff auf Quellcode-Repositories und Wallet-Management-Systeme empfohlen, um die Auswirkungen eines potentiellen Credential-Diebstahls zu minimieren. Mandiant stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir raten daher allen Stellen, die ins Visier von UNC1069 geraten könnten, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der IOCs.