Wie Nordkorea die Kryptoindustrie infiltrierte

Als erfahrener investigativer Journalist mit jahrelanger Erfahrung in der Entschlüsselung komplexer Narrative bin ich zunehmend von dieser Saga fasziniert, die die digitale Welt und die geheimen Aktivitäten Nordkoreas zu verknüpfen scheint. Die Geschichte von Anthony Keller oder den vielen Pseudonymen, die er angenommen haben könnte, ist faszinierend. Es kommt nicht jeden Tag vor, dass man auf eine Figur stößt, die wie ein Chamäleon in der IT-Welt wirkt und eine Spur von Beiträgen über verschiedene Projekte hinweg hinterlässt.

Zu Beginn des Jahres 2023 bekam das Kryptowährungsunternehmen Truflation einen unerwarteten Neuzugang in seinem Team – einen nordkoreanischen Staatsbürger, der dem Firmengründer Stefan Rust zu diesem Zeitpunkt unbekannt war.

Von seiner Heimat in der Schweiz aus suchte Rust häufig nach qualifizierten Entwicklern. Unerwartet erschien ein Entwickler auf der Bildfläche.

Zunächst reichte Ryuhei seinen Lebenslauf per Telegram ein und gab an, dass er in Japan wohnhaft sei. Kurz nach der Einstellung traten jedoch einige ungewöhnliche Unstimmigkeiten auf.

In einem bestimmten Moment „unterhielt ich mich mit jemandem und er behauptete, er habe ein Erdbeben erlebt“, erinnerte sich Rust. Allerdings hatte es in Japan in jüngster Zeit kein Erdbeben gegeben. Anschließend begann diese Person, Anrufe zu ignorieren, und als sie schließlich auftauchten, „war es nicht dieselbe Person“, erklärte Rust. „Es war jemand anderes.“ Die Person, die auftauchte, hatte keinen japanischen Akzent mehr.

Nach kurzer Zeit fand Rust heraus, dass „Ryuhei“ und fast ein Drittel seines Teams zusammen mit vier weiteren Kollegen tatsächlich nordkoreanische Staatsbürger waren. Leider war Rust unbeabsichtigt Teil eines sorgfältig orchestrierten Plans Nordkoreas geworden, seinem Volk Fernarbeitsmöglichkeiten zu verschaffen und die Einnahmen nach Pjöngjang zu transferieren.

Amerikanische Beamte machen sich zunehmend Sorgen darüber, dass nordkoreanische Technologieexperten in Technologieindustrien, darunter Kryptowährungsfirmen, eindringen und die Einnahmen zur Finanzierung des Atomwaffenprogramms ihres Schurkenstaats verwenden. Ein Bericht der Vereinten Nationen aus dem Jahr 2024 schätzt, dass diese IT-Mitarbeiter jährlich bis zu 600 Millionen US-Dollar für das Regime von Kim Jong Un erwirtschaften.

Als Forscher ist mir klar geworden, dass die unbeabsichtigte Einstellung und Vergütung von Arbeitnehmern möglicherweise gegen die Sanktionen der Vereinten Nationen verstoßen und in den USA und verschiedenen anderen Ländern als illegal angesehen werden könnte. Darüber hinaus stellt diese Aktion ein erhebliches Sicherheitsrisiko dar, da nordkoreanische Hacker nachweislich Unternehmen über verdecktes Personal infiltrieren.

Als Forscher, der sich mit diesem Thema beschäftigt, offenbaren meine jüngsten Erkenntnisse einen alarmierenden Trend: Nordkoreanische Arbeitssuchende sind beharrlich und unermüdlich auf der Suche nach Kryptowährungsunternehmen. Bemerkenswert ist, dass sie es geschafft haben, Interviews zu bestehen, Hintergrundüberprüfungen zu bestehen und sogar beeindruckende Aufzeichnungen von Open-Source-Softwarebeiträgen auf GitHub vorzuweisen.

Über ein Dutzend Kryptowährungsfirmen gaben zu, unbeabsichtigt IT-Experten aus Nordkorea, auch bekannt als Demokratische Volksrepublik Korea, beschäftigt zu haben. CoinDesk führte Gespräche mit diesen Unternehmen.

Aus Interviews mit verschiedenen Fachleuten im Kryptobereich, darunter Gründern, Blockchain-Forschern und Experten, geht hervor, dass eine größere Anzahl nordkoreanischer IT-Mitarbeiter in der Kryptowährungsbranche tätig ist als bisher angenommen. Tatsächlich gaben viele von CoinDesk für diesen Artikel konsultierte Personalmanager zu, potenzielle nordkoreanische Entwickler interviewt zu haben, sie unwissentlich eingestellt zu haben oder andere zu kennen, die dies getan haben.

Vereinfacht ausgedrückt gab Zaki Manian, eine bekannte Persönlichkeit in der Blockchain-Entwicklung, an, dass die Zahl der Bewerber oder Personen, die Interesse an der Kryptoindustrie bekunden und wahrscheinlich aus Nordkorea kommen, 50 % übersteigt. Er erwähnte dies, nachdem er 2021 unbeabsichtigt zwei IT-Mitarbeiter aus Nordkorea eingestellt hatte, um an der Cosmos Hub-Blockchain zu arbeiten. Er wies auch darauf hin, dass es für alle eine Herausforderung sei, diese Bewerber auszusortieren.

Zu den ahnungslosen Arbeitgebern aus Nordkorea gehörten, wie CoinDesk aufgedeckt hat, mehrere seriöse Blockchain-Unternehmen, darunter Cosmos Hub, Injective, ZeroLend, Fantom, Sushi und Yearn Finance. „Das hat im Verborgenen stattgefunden“, sagte Manian.

Zum ersten Mal haben diese Unternehmen offen zugegeben, dass sie versehentlich Mitarbeiter der Informationstechnologie aus Nordkorea beschäftigt haben.

In den meisten Fällen führten nordkoreanische Arbeiter ihre Aufgaben ähnlich wie normale Angestellte aus. Folglich erhielten die Arbeitgeber im Allgemeinen den Wert ihrer Vergütung. Eine Untersuchung von CoinDesk ergab jedoch Beweise dafür, dass diese Arbeiter ihre Einkünfte später in Kryptowährungs-Wallets transferierten, die mit der nordkoreanischen Regierung in Verbindung standen.

Laut einer Untersuchung von CoinDesk wurde festgestellt, dass mehrere Krypto-Projekte, die nordkoreanische IT-Mitarbeiter anstellten, anschließend Hackerangriffen ausgesetzt waren. In bestimmten Fällen könnte CoinDesk die Diebstähle direkt mit mutmaßlichen nordkoreanischen IT-Mitarbeitern auf der Gehaltsliste der Unternehmen in Verbindung bringen. Ein solches Beispiel ist Sushi, ein bekanntes dezentrales Finanzprotokoll, das im Jahr 2021 Opfer eines 3-Millionen-Dollar-Hackangriffs wurde, an dem möglicherweise IT-Personal aus Nordkorea beteiligt war.

Im Jahr 2022 begann das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums und des Justizministeriums, öffentliche Ankündigungen über Nordkoreas Bemühungen zu machen, in die amerikanische Kryptowährungsindustrie einzudringen. Untersuchungen von CoinDesk ergaben jedoch, dass bereits 2018 nordkoreanische IT-Mitarbeiter mit gefälschten Identitäten bei Kryptofirmen beschäftigt waren.

Manian erklärte: „Viele scheinen zu glauben, dass dieses jüngste Ereignis beispiellos ist. Wenn Sie sich jedoch ihre GitHub-Konten oder andere verwandte Plattformen ansehen, werden Sie feststellen, dass sie bereits seit 2016, 2017 und sogar 2018 aktiv sind.“ “ (GitHub, eine Plattform von Microsoft, auf der zahlreiche Softwareunternehmen Code hosten, damit Entwickler zusammenarbeiten können.)

1) Laut CoinDesk haben sie nordkoreanische IT-Mitarbeiter über verschiedene Mittel mit verschiedenen Unternehmen in Verbindung gebracht, beispielsweise über Blockchain-Transaktionsaufzeichnungen, öffentliche GitHub-Codierungsbeiträge, E-Mails von US-Regierungsbeamten und Interviews mit den Zielunternehmen selbst. Eines der wichtigsten nordkoreanischen Zahlungssysteme, das von CoinDesk untersucht wurde, wurde ursprünglich von ZachXBT entdeckt, einem Blockchain-Ermittler, der im August eine Liste mutmaßlicher Entwickler aus der DVRK veröffentlichte.

Zuvor hatten Arbeitgeber aus Angst vor negativer Publizität oder möglichen rechtlichen Konsequenzen beschlossen, sich nicht zu äußern. Angesichts der umfangreichen Finanzunterlagen und anderer von CoinDesk aufgedeckter Beweise haben sich einige dieser Unternehmen jedoch entschieden, ihre Erfahrungen zum ersten Mal offenzulegen und damit die massiven Fortschritte Nordkoreas im Kryptowährungssektor offenzulegen.

Gefälschte Dokumente

Nach der Aufnahme von Ryuhei, dem scheinbar japanischen Teammitglied, verzeichnete Rusts Truflation-Unternehmen einen Zustrom an Bewerbungen. Innerhalb weniger Monate rekrutierte Rust unwissentlich vier weitere Entwickler aus Nordkorea, die angeblich in Montreal, Vancouver, Houston und Singapur ansässig waren.

Der Bereich der Kryptowährung bietet eine einzigartige Gelegenheit für Cyberangriffe durch IT-Fachkräfte aus Nordkorea. Angesichts der weltweiten Natur dieses Sektors sind Kryptounternehmen oft bereit, entfernte oder sogar anonyme Programmierer einzustellen, was sie zu potenziell gefährdeten Zielen macht.

CoinDesk untersuchte die von der Demokratischen Volksrepublik Korea (DVRK) eingereichten Bewerbungen, die aus mehreren Quellen eingingen, darunter Messaging-Apps wie Telegram und Discord, spezialisierte Krypto-Jobplattformen wie Crypto Jobs List und allgemeine Einstellungswebsites wie Indeed.

Laut Taylor Monahan, einem Produktmanager bei der Krypto-Wallet-App von MetaMask, der oft Einblicke in nordkoreanische Kryptowährungsaktivitäten gibt, sind die Teams, die bei der Arbeitssuche am erfolgreichsten sind, junge, innovative Startups. Diese Startups verfügen in der Regel nicht über etablierte Einstellungsverfahren, die Hintergrundüberprüfungen erfordern. Stattdessen bezahlen sie ihre Mitarbeiter oft in Kryptowährung.

Einfacher ausgedrückt gab Rust an, dass sie für jeden neuen Mitarbeiter bei Truflation persönlich Verifizierungsprozesse durchgeführt hätten. Dazu gehörte es, ihre Pässe und Ausweisdokumente zu erhalten, uns ihre GitHub-Projekte zur Verfügung zu stellen, einen Test zu absolvieren und sie schließlich im Team willkommen zu heißen.

Für einen ungeübten Beobachter scheinen viele gefälschte Papiere mit echten Pässen und Visa identisch zu sein. Fachleute auf diesem Gebiet vermuten jedoch, dass diese Fälschungen möglicherweise von gründlichen Prüfstellen entdeckt wurden.

Während es für Start-ups weniger üblich ist, sich auf professionelle Hintergrundprüfer zu verlassen, ist es nicht ungewöhnlich, nordkoreanische IT-Mitarbeiter in größeren Unternehmen zu finden. Sie können direkt angestellt oder als Auftragnehmer beauftragt werden. Diese Aussage wurde von Monahan gemacht.

Versteckt sich vor aller Augen

Forscher von CoinDesk fanden oft heraus, dass nordkoreanische IT-Experten Open-Source-Blockchain-Informationen in verschiedenen Unternehmen nutzten.

Letztes Jahr brauchte ich als Blockchain-Analyst bei Iqlusion Unterstützung für ein Projekt, das auf die Aktualisierung der weit verbreiteten Cosmos Hub-Blockchain abzielte. Auf meiner Suche nach qualifizierten freiberuflichen Programmierern hatte ich das Glück, auf zwei talentierte Personen zu stoßen, die sich als wertvolle Ergänzungen für unser Team erwiesen. Gemeinsam haben wir die anstehende Aufgabe erfolgreich gemeistert.

Manian hatte keine Gelegenheit, „Jun Kai“ und „Sarawut Sanit“ persönlich zu treffen. Vor ihrer Begegnung arbeiteten sie an einem Open-Source-Softwareprojekt zusammen, das THORChain, ein eng verbundenes Blockchain-Netzwerk, finanziell unterstützte. Sie teilten Manian mit, dass ihre Operationsbasis Singapur sei.

Manian erwähnte, dass er ein ganzes Jahr lang fast jeden Tag regelmäßige Gespräche mit ihnen geführt habe. Um es einfach auszudrücken: Sie haben sich um ihre Aufgaben gekümmert, und ehrlich gesagt war er mit dem Ergebnis recht zufrieden.

Ungefähr zwei Jahre nach Abschluss des Projekts der Freiberufler erhielt Manian eine E-Mail von einem FBI-Agenten, der Token-Transaktionen untersuchte, die offenbar von Iqlusion stammten und in Richtung mutmaßlicher nordkoreanischer Kryptowährungskonten gingen, die mit Wallet-Adressen verknüpft waren. Es stellte sich heraus, dass es sich bei den untersuchten Transaktionen um Zahlungen von Iqlusion an Kai und Sanit handelte.

Obwohl das FBI gegenüber Manian nicht bestätigte, dass es sich bei den von ihm beauftragten Entwicklern um Vertreter Nordkoreas (DVRK) handelte, ergab die Untersuchung der Blockchain-Wallets von Kai und Sanit durch CoinDesk, dass sie ihre Einkünfte in den Jahren 2021 und 2022 an zwei Personen im Office of Foreign Assets überwiesen hatten Sanktionsliste der Kontrolle (OFAC): Kim Sang Man und Sim Hyon Sop.

Laut OFAC gilt Sim als Vertreter der Kwangson Banking Corp, einer nordkoreanischen Bank, die dafür bekannt ist, Gelder von IT-Mitarbeitern zu waschen. Berichten zufolge unterstützt diese Aktivität die Finanzierung der Massenvernichtungswaffen- und ballistischen Raketenprogramme der DVRK. Es scheint, dass Sarawut alle seine Einnahmen an Sim und verschiedene mit Sim verknüpfte Blockchain-Wallets überwiesen hat.

In einer anderen Entwicklung überwies Kai etwa 8 Millionen US-Dollar direkt an Kim. Es ist erwähnenswert, dass Kim laut einem OFAC-Gutachten aus dem Jahr 2023 ein Vertreter der Chinyong Information Technology Cooperation Company ist, die mit Nordkorea verbunden ist. Dieses Unternehmen entsendet über von ihm kontrollierte Unternehmen und deren Vertreter Teams nordkoreanischer IT-Mitarbeiter, die in Russland und Laos tätig sind.

Iqlusions Überweisung an Kai war deutlich geringer als 50.000 US-Dollar im Vergleich zu den fast 8 Millionen US-Dollar, die er an Kim überwiesen hatte, wobei einige zusätzliche Mittel von anderen Kryptowährungsfirmen den Rest ausmachten.

Laut CoinDesk wurden Zahlungen von der Fantom Foundation, den Erfindern der beliebten Fantom-Blockchain, an „Jun Kai“ und einen anderen Entwickler mit Verbindungen zu Nordkorea zurückverfolgt.

Als Forscher würde ich es so umformulieren: „In meinen Erkenntnissen aus dem letzten Jahr habe ich zwei Personen außerhalb unseres Teams entdeckt, die Verbindungen zu Nordkorea hatten. Diese Personen standen im Zusammenhang mit einem externen Projekt, das noch nicht abgeschlossen und nicht umgesetzt wurde.“

Die Fantom Foundation erklärte: „Die beiden betreffenden Personen wurden entlassen, sie haben nie schädlichen Code geschrieben und sich nie Zugang zu unserer Fantom-Codebasis verschafft. Es waren keine Fantom-Benutzer betroffen.“ Einer der Mitarbeiter aus Nordkorea soll jedoch einen Angriff auf die Server von Fantom versucht haben, der jedoch aufgrund unzureichender Zugriffsrechte erfolglos blieb, wie der Sprecher erklärte.

Wie die OpenSanctions-Datenbank berichtet, hat eine Regierung Kims mit der DVRK verknüpfte Blockchain-Adressen erst im Mai 2023 öffentlich in Verbindung gebracht; Dies geschah über zwei Jahre nach der Abwicklung ihrer Transaktionen durch Iqlusion und Fantom.

Spielraum gegeben

Die USA und die UN haben die Einstellung von IT-Arbeitskräften aus der DVRK in den Jahren 2016 bzw. 2017 sanktioniert.

Es ist illegal, nordkoreanische Arbeiter in den USA zu bezahlen, unabhängig davon, ob Sie es wissen oder nicht – ein Rechtsbegriff, der als „verschuldensunabhängige Haftung“ bezeichnet wird.

Unabhängig vom Standort eines Unternehmens könnte die Beschäftigung von Arbeitnehmern aus der Demokratischen Volksrepublik Korea (DVRK) mit potenziellen rechtlichen Konsequenzen rechnen, da solche Maßnahmen im Widerspruch zu Handelssanktionen stehen könnten, die von bestimmten Ländern verhängt werden, die mit ihnen Geschäfte machen.

Dennoch ist es nach wie vor so, dass kein Kryptounternehmen von den USA oder einem anderen Mitgliedsstaat der Vereinten Nationen wegen der Beschäftigung nordkoreanischer IT-Fachkräfte vor Gericht gestellt wurde.

Es war das US-Finanzministerium, das eine Untersuchung von Iqlusion, einem in den Vereinigten Staaten ansässigen Unternehmen, einleitete. Allerdings endete diese Untersuchung nach Angaben von Manian ohne verhängte Sanktionen oder Strafen.

US-Beamte haben ein gewisses Maß an Verständnis und Flexibilität an den Tag gelegt, indem sie nicht sofort Anklage gegen diese Unternehmen erhoben haben, da sie offenbar entweder in eine außergewöhnlich komplexe und fortgeschrittene Form des Identitätsbetrugs verwickelt waren oder in etwas, das als langwieriger und zutiefst peinlicher Betrug angesehen werden könnte.

Einfacher ausgedrückt erklärte Monahan von MetaMask, dass es zwar möglicherweise nicht direkt um rechtliche Fragen gehe, die Entschädigung der IT-Mitarbeiter der DVRK jedoch problematisch sein könne, da sie im Wesentlichen von ihrem Regime ausgebeutet würden.

Laut dem 615-seitigen Bericht des Sicherheitsrats der Vereinten Nationen behalten IT-Mitarbeiter in der Demokratischen Volksrepublik Korea einen bescheidenen Teil ihres Gehalts. Konkret geht aus dem Bericht hervor, dass diejenigen mit geringerem Einkommen rund 10 % behalten, während die Spitzenverdiener bis zu 30 % behalten könnten.

Auf einfachere Weise drückte Monahan aus: „Es spielt keine Rolle, wo diese Leute arbeiten, aber wenn ich sie bezahle, werden sie gezwungen, ihr gesamtes Einkommen an ihren Vorgesetzten zu übergeben – der zufällig die nordkoreanische Regierung ist.“ – Es würde mich noch mehr beunruhigen, wenn dieser Vorgesetzte das nordkoreanische Regime selbst wäre.

Während unserer Untersuchung haben wir versucht, mehrere Personen zu kontaktieren, bei denen es sich vermutlich um IT-Mitarbeiter der DVRK handelte, wir erhielten jedoch keine Antwort von ihnen.

Kommt nach vorne

CoinDesk hat über zwei Dutzend Firmen gefunden, die möglicherweise nordkoreanische Techniker eingestellt haben, indem es Blockchain-Transaktionen untersucht hat, die mit Organisationen in Verbindung stehen, die unter US-Sanktionen stehen. Zwölf dieser Unternehmen gaben gegenüber CoinDesk zu, dass sie in ihren früheren Gehaltsabrechnungen tatsächlich mutmaßliches nordkoreanisches IT-Personal aufgedeckt hatten.

Andere entschieden sich wegen möglicher rechtlicher Konsequenzen für das Schweigen, doch einige waren bereit, ihre Geschichten zu erzählen, in der Hoffnung, dass ihre Berichte anderen helfen könnten, mit ähnlichen Situationen klarzukommen.

In vielen Fällen waren die Mitarbeiter der DVRK nach ihrer Einstellung leichter zu identifizieren.

Als Eric Chen, der CEO von Injective – einem Projekt, das sich dem Bereich der dezentralen Finanzierung widmet – habe ich bereits 2020 einen freiberuflichen Entwickler eingestellt. Aufgrund der unterdurchschnittlichen Leistung hielt ich es jedoch für notwendig, mich frühzeitig von dieser Person zu trennen.

Chen bemerkte: „Seine Amtszeit war kurz“, was darauf hindeutet, dass die Person Code von schlechter Qualität produzierte, der häufig fehlerhaft funktionierte. Erst kürzlich, im letzten Jahr, erfuhr Chen durch den Kontakt einer US-Regierungsbehörde mit Injective, dass dieser Mitarbeiter Verbindungen nach Nordkorea hatte.

Mehrere Firmen teilten CoinDesk mit, dass sie das Arbeitsverhältnis eines Mitarbeiters bereits gekündigt hatten, bevor sie irgendwelche Verbindungen zur DVRK entdeckten, meist aufgrund schlechter Arbeitsleistung.

„Milchlohnabrechnung für ein paar Monate“

IT-Mitarbeiter in der DVRK ähneln jedoch typischen Entwicklern darin, dass ihre Fähigkeiten variieren können.

Auf der einen Seite nehmen einige Mitarbeiter möglicherweise an Vorstellungsgesprächen teil und kassieren ein paar Monate lang ihr Gehalt, ohne einen nennenswerten Beitrag zu leisten, so Manian. Umgekehrt gibt es Personen, deren technische Fähigkeiten während des Interviewprozesses wirklich glänzen.

Rust erwähnte, dass es bei Truflation einen außergewöhnlichen Entwickler gab, der behauptete, aus Vancouver zu stammen, in Wirklichkeit aber aus Nordkorea stammte. Er beschrieb diese Person als recht jung, scheinbar frisch von der Uni mit einem Hauch von Unerfahrenheit, aber dennoch eifrig und begeistert von der Jobmöglichkeit.

Darüber hinaus wurde berichtet, dass Cluster, ein auf dezentrale Finanzierung spezialisiertes Unternehmen, im August zwei seiner Entwickler entlassen hat, nachdem ZachXBT Vorwürfe wegen ihrer Verbindungen zur nordkoreanischen Regierung (DVRK) erhoben hatte.

Z3n, der anonyme Schöpfer von Cluster, teilte CoinDesk mit, dass es erstaunlich sei, wie viel Wissen diese Personen zu besitzen schienen. Rückblickend gab es deutliche Warnzeichen. Sie änderten beispielsweise alle zwei Wochen ihre Zahlungsadresse und wechselten gelegentlich monatlich ihren Discord- oder Telegram-Benutzernamen.

Webcam aus

In Gesprächen mit CoinDesk wiesen zahlreiche Arbeitgeber auf ungewöhnliche Verhaltensweisen hin, die deutlicher wurden, als sie herausfanden, dass ihre Mitarbeiter möglicherweise nordkoreanischer Herkunft waren.

Als Forscher stieß ich gelegentlich auf subtile Indikatoren, die mir seltsam vorkamen. Beispielsweise schienen die gemeldeten Arbeitspläne einiger Mitarbeiter deutlich von den angegebenen Standorten abzuweichen, was auf mögliche Unstimmigkeiten oder unkonventionelle Arbeitsvereinbarungen hindeutet.

An verschiedenen anderen Arbeitsplätzen, wie etwa bei Truflition, bemerkten sie Anzeichen, die darauf hindeuteten, dass es sich bei einem Mitarbeiter tatsächlich um mehrere Personen handeln könnte, die vorgaben, eine einzelne Person zu sein – eine Tatsache, die sie durch die Deaktivierung ihrer Webcam zu verbergen versuchten. (Normalerweise waren es Männer, die sich dieser Praxis widmeten).

Ein Mitarbeiter einer Firma erschien bei morgendlichen Besprechungen, schien sich jedoch im Laufe des Tages nicht an die Diskussionen aus diesen Sitzungen erinnern zu können – eine Besonderheit, die deutlicher wurde, als man feststellte, dass diese Person den ganzen Tag über mit mehreren Personen sprach.

Als Rust einem Investor, der sich mit der Überwachung illegaler Finanztransaktionen auskannte, seine Sorgen um Ryuhei, seinen Mitarbeiter japanischer Herkunft, mitteilte, entdeckte der Investor prompt die weiteren vier Personen aus dem nordkoreanischen IT-Sektor, die ebenfalls bei Truflation beschäftigt waren.

„Als wir die Notwendigkeit erkannten, haben wir schnell alle Verbindungen abgebrochen“, erklärte Rust. Anschließend führte unser Team eine gründliche Überprüfung unseres Codes aus Sicherheitsgründen durch, verstärkte unsere Verfahren zur Hintergrundüberprüfung und nahm einige Anpassungen an unseren bestehenden Richtlinien vor. Eine dieser Änderungen war die Durchsetzung des Einsatzes von Kameras bei Remote-Mitarbeitern.

Ein 3-Millionen-Dollar-Hack

Mehrere von CoinDesk befragte Unternehmen glaubten fälschlicherweise, dass die IT-Mitarbeiter der DVRK unabhängig von der nordkoreanischen Hacking-Abteilung arbeiten; Beweise aus Blockchain-Daten und Diskussionen mit Spezialisten deuten jedoch auf einen häufigen Zusammenhang zwischen den Hacking-Operationen des Regimes und seinen IT-Mitarbeitern hin.

Bereits im September 2021 kam es bei einer von Sushi entwickelten Kryptowährungs-Token-Startplattform namens MISO zu einem Diebstahl im Wert von 3 Millionen US-Dollar. Über diesen hochkarätigen Vorfall wurde ausführlich von CoinDesk berichtet. Ihre Untersuchung ergab mögliche Verbindungen zwischen dem Angriff und zwei von Sushi beauftragten Entwicklern, die in der Vergangenheit Transaktionen im Zusammenhang mit Blockchain-Zahlungen aus Nordkorea durchgeführt hatten.

Zum Zeitpunkt des Cyberangriffs war Sushi eine der am häufigsten diskutierten Plattformen im schnell wachsenden Bereich der dezentralen Finanzierung (DeFi). Innerhalb von SushiSwap waren bereits Vermögenswerte im Wert von über 5 Milliarden US-Dollar gespeichert, die in erster Linie als „dezentrale Handelsplattform“ fungierten, auf der Einzelpersonen Kryptowährungen austauschen konnten, ohne dass Zwischenhändler erforderlich waren.

Joseph Delong, damals Chief Technology Officer von Sushi, entdeckte, dass der MISO-Überfall von zwei unabhängigen Programmierern durchgeführt wurde, die während der Entwicklung als Anthony Keller und Sava Grujic bezeichnet wurden. Delong glaubt nun, dass diese Entwickler, bei denen es sich seiner Meinung nach um eine Person oder eine Gruppe handelte, schädlichen Code in das MISO-System eingefügt und Gelder auf eine von ihnen verwaltete Wallet umgeleitet haben.

Bei ihrem Beitritt zu Sushi DAO, einer dezentralen autonomen Organisation, die das Sushi-Protokoll verwaltet, stellten Keller und Grujic Qualifikationen vor, die für Nachwuchsentwickler Standard waren und sogar bemerkenswert erschienen.

In seinem öffentlichen Leben trug Keller den Pseudonym „eratos1122“. Als er sich jedoch für eine Stelle bei MISO bewarb, stellte er sich als Anthony Keller vor. In einem von Delong an CoinDesk übermittelten Lebenslauf wurde Kellers Wohnsitz als Gainesville, Georgia, und sein Bildungshintergrund als Bachelor-Abschluss in Computertechnik der University of Phoenix aufgeführt. (Die Universität hat nicht überprüft, ob es einen solchen Absolventen gibt.)

In Kellers Lebenslauf finden sich echte Hinweise auf frühere Jobs. Eine bemerkenswerte Erfahrung ist Yearn Finance, ein weit verbreitetes Kryptowährungs-Investitionsprotokoll, das es Benutzern ermöglicht, durch verschiedene vordefinierte Anlagestrategien Zinsen zu verdienen. Insbesondere Banteg, ein wichtiger Entwickler bei Yearn, bestätigte, dass Keller zu Coordinape beigetragen habe, einer von Yearn entwickelten Anwendung für Teamzusammenarbeit und Zahlungsabwicklungszwecke. Es ist wichtig anzumerken, dass Banteg erwähnte, dass Kellers Arbeit auf Coordinape beschränkt war und er keinen Zugriff auf die Kerncodebasis von Yearn Finance hatte.

Als Forscher teile ich ein interessantes Ergebnis meiner Untersuchung: Keller stellte Grujic MISO vor, und laut Delong stellten sie sich als Freunde dar. Interessanterweise reichte Grujic, ähnlich wie Keller, einen Lebenslauf unter seinem angeblichen richtigen Namen statt unter dem Online-Alias ​​„AristoK3“ ein. Er gab an, aus Serbien zu stammen und einen Bachelor-Abschluss in Informatik von der Universität Belgrad erworben zu haben. Sein GitHub-Konto war aktiv und in seinem Lebenslauf wurden Erfahrungen mit verschiedenen kleineren Kryptowährungsprojekten und Gaming-Startup-Initiativen hervorgehoben.

Vor jedem Hack hatte Rachel Chu – eine ehemalige Hauptmitarbeiterin bei Sushi, die häufig mit Keller und Grujic zusammenarbeitete – ihnen gegenüber bereits Gefühle des Unbehagens oder Misstrauens geäußert.

Obwohl Grujic und Keller angeblich aus verschiedenen Orten auf der ganzen Welt stammen, hatten sie den gleichen Akzent und Textstil, wie Chu erwähnte. Sie bemerkte weiter, dass während der Gespräche oft Hintergrundgeräusche zu hören seien, die darauf hindeuteten, dass sie sich in einer Produktionsumgebung befänden. Chu erinnerte sich, Kellers Gesicht erkannt zu haben, aber nie das von Grujic, und sie erklärte, dass Kellers Kamera so nah herangezoomt war, dass sie nichts sehen konnte, was über ihn hinausging.

Während des Höhepunkts der COVID-19-Krise stellten Keller und Grujic ungefähr zur gleichen Zeit ihre Beteiligung an MISO ein. Delong schlug vor, dass es sich möglicherweise um dieselbe Person handele, was zu der Entscheidung führte, sie nicht weiter zu entschädigen, da entfernte Krypto-Entwickler möglicherweise vorgeben, mehrere Personen zu sein, um sich in diesem Zeitraum zusätzliche Einkünfte aus der Lohn- und Gehaltsabrechnung zu sichern.

Nach dem Weggang von Keller und Grujic im Sommer 2021 gelang es dem Sushi-Team nicht, ihre Berechtigungen aus der MISO-Codebasis zu entfernen.

Am 2. September hat Aristok3 (Grujics Pseudonym) schädliche Software auf die MISO-Plattform hochgeladen. Durch diese Aktion wurden etwa 3 Millionen US-Dollar in eine neu erstellte digitale Geldbörse umgeleitet, wie aus einem Screenshot hervorgeht, der CoinDesk vorgelegt wurde.

Basierend auf einer Analyse der Blockchain-Transaktionsaufzeichnungen von CoinDesk scheint es eine mögliche Verbindung zwischen Keller, Grujic und Nordkorea zu geben. Im März 2021 teilte Keller in einem Tweet eine Blockchain-Wallet-Adresse mit, die inzwischen gelöscht wurde. CoinDesk hat zahlreiche Transaktionen zwischen dieser Adresse, einem mit Grujic verknüpften Hacker-Konto, und den von Sushi aufgezeichneten Adressen gefunden, die mit Keller verknüpft sind. Bei einer internen Untersuchung stellte Sushi fest, dass die Wallet-Adresse tatsächlich mit Keller in Verbindung stand, wie von Delong angegeben.

CoinDesk stellte fest, dass das verdächtige Konto seine Gelder hauptsächlich an eine Adresse überwies, die mit „Jun Kai“ verknüpft war, einem Entwickler von Iqlusion, der zuvor Geld an die OFAC-beschränkte Person namens Kim Sang Man geschickt hatte. Darüber hinaus gehörte auch eine weitere Wallet zu den Empfängern, die im Verdacht stand, als Stellvertreter Nordkoreas zu fungieren, da sie ebenfalls Zahlungen an Kim leistete.

Die von Sushi durchgeführte interne Untersuchung stützt zusätzlich die Hypothese, dass Keller und Grujic nordkoreanischer Herkunft sind. Diese Untersuchung ergab, dass diese Personen oft mit IP-Adressen in Russland arbeiteten, einer Region, in der laut OFAC Nordkoreas IT-Mitarbeiter vorübergehend stationiert sein könnten. (Es ist erwähnenswert, dass die mit Keller in seinem Lebenslauf verknüpfte Telefonnummer jetzt nicht mehr verknüpft ist und seine GitHub- und Twitter-Konten „eratos1122“ entfernt wurden.)

Darüber hinaus fand CoinDesk Hinweise darauf, dass bei Sushi ein weiterer mutmaßlicher IT-Auftragnehmer aus der DVRK gleichzeitig mit Keller und Grujic zusammenarbeitete. Dieser Entwickler, von ZachXBT als Gary Lee bekannt, nutzte den Pseudonym LightFury und überwies seine Einnahmen an „Jun Kai“ und eine andere mit Kim verknüpfte Adresse, die als Stellvertreter fungierte.

Als Forscher, der sich mit diesem faszinierenden Szenario befasste, befand ich mich in einer Situation, in der Sushi, der offen das mit Keller verbundene Pseudonym „eratos1122“ implizierte und sogar auf eine Beteiligung des FBI hinwies, zu einer unerwarteten Wendung der Ereignisse führte. Grujic, der betreffende IT-Mitarbeiter der DVRK, gab die gestohlenen Gelder zurück. Es mag rätselhaft erscheinen, dass ein nordkoreanischer IT-Mitarbeiter dem Schutz einer fiktiven Identität Priorität einräumt, aber es scheint, dass diese Personen dazu neigen, bestimmte Namen wiederzuverwenden und ihr Ansehen im Laufe der Zeit durch die Teilnahme an zahlreichen Projekten zu verbessern. Dies könnte eine Methode sein, mit der sie bei potenziellen zukünftigen Arbeitgebern Glaubwürdigkeit aufbauen und einen Ruf aufbauen können, der auf Vertrauen und Zuverlässigkeit basiert.

Es ist möglich, dass jemand größere finanzielle Vorteile darin sah, die Identität von Anthony Keller zu bewahren, da eine Person, die diesen Namen verwendete, fast zwei Jahre nach dem Sushi-Vorfall im Jahr 2023 einen Antrag bei Truflation, dem Unternehmen von Stefan Rust, einreichte.

Versuche, „Anthony Keller“ und „Sava Grujic“ um einen Kommentar zu bitten, blieben erfolglos.

Raubüberfälle im Stil der DVRK

Die UN haben berichtet, dass Nordkorea in den letzten sieben Jahren durch Hacking-Aktivitäten illegal Kryptowährungen im Wert von über 3 Milliarden US-Dollar erworben hat. Nach Angaben des Blockchain-Analyseunternehmens Chainalysis handelt es sich bei etwa der Hälfte der Hacks, die sie im ersten Halbjahr 2023 verfolgt haben und bei denen ein Zusammenhang mit Nordkorea vermutet wird, um Diebstähle durch IT-Mitarbeiter. Madeleine Kennedy, eine Vertreterin des Unternehmens, gab diese Erklärung ab.

Im Gegensatz zur Darstellung in Hollywood-Filmen, in denen Charaktere mit Kapuzenpullovern sich in riesige Systeme mit komplizierter Codierung und monochromatischen Computerbildschirmen hacken, unterscheiden sich nordkoreanische Cyberangriffe in der Regel deutlich von solchen Darstellungen.

Von der Demokratischen Volksrepublik Korea ausgehende Angriffe sind in der Regel weniger ausgefeilt. Typischerweise wenden sie Social-Engineering-Taktiken an, bei denen es darum geht, das Vertrauen einer Person zu gewinnen, die Zugriff auf ein System hat. Sobald das Vertrauen gewonnen ist, manipuliert der Angreifer diese Beziehung, um Zugriff auf das System zu erhalten, indem er einfach auf einen schädlichen Link in einer E-Mail klickt.

Laut Monahan scheint Nordkorea (DVRK) bisher nur Aktivitäten wie Social Engineering durchgeführt zu haben, um Zugang zu Geräten und anschließend zu privaten Schlüsseln zu erhalten. Sie haben keinerlei Anzeichen für einen direkten Cyberangriff oder Exploit gezeigt.

Fachleute der Informationstechnologie können bei Cyberangriffen gegen die Demokratische Volksrepublik Korea (DVRK) eine wichtige Rolle spielen, indem sie entweder vertrauliche Daten beschaffen, die zum Stören möglicher Ziele verwendet werden könnten, oder indem sie Softwaresysteme infiltrieren, die reich an digitalen Geldern sind.

Eine Reihe von Zufällen

Am 25. September, kurz vor der Veröffentlichung dieses Artikels, gab es eine geplante Videokonferenz zwischen CoinDesk und Rust von Truflation. Der Zweck des Anrufs bestand darin, bestimmte Fakten zu überprüfen, die er zuvor angegeben hatte.

Ein nervöser Rust schaltete sich 15 Minuten zu spät in den Anruf ein. Er war gerade gehackt worden.

Über zwei Dutzend Projekte, die offenbar fälschlicherweise nordkoreanische IT-Mitarbeiter beschäftigt hatten, wurden von CoinDesk kontaktiert. In den letzten vierzehn Tagen der Untersuchung kam es bei zwei dieser Projekte zu Hackerangriffen: Truflation und eine Kryptowährungs-Kreditanwendung namens Delta Prime.

Es bleibt unklar, ob die Hacks mit einer versehentlichen Rekrutierung nordkoreanischen IT-Personals in Zusammenhang stehen.

Am 16. September wurde zunächst berichtet, dass es bei Delta Prime zu einem Verstoß gekommen sei. Frühere Untersuchungen von CoinDesk hatten Verbindungen zwischen Delta Prime und Naoki Murano aufgedeckt, einem der mit Nordkorea verbundenen Entwickler, die von ZachXBT, einem anonymen Blockchain-Detektiv, entlarvt wurden.

Das Projekt erlitt einen finanziellen Verlust von über 7 Millionen US-Dollar, der hauptsächlich auf den Verstoß gegen einen vertraulichen digitalen Code zurückzuführen war. Trotz mehrfacher Versuche lehnte Delta Prime eine Stellungnahme zu dieser Angelegenheit ab.

Zwei Wochen nach dem Truflation-Hack begannen die Gelder aus Rusts Kryptowährungs-Wallet abzufließen, was seine Aufmerksamkeit etwa zwei Stunden vor seinem Anruf bei CoinDesk erregte. Gerade von einer Reise nach Singapur war er verwirrt über den Fehler, den er möglicherweise gemacht hatte. „Ich kann einfach nicht verstehen, wie es passiert ist“, gab er zu. „Meine Notizbücher waren sicher im Hotelsafe verwahrt und ich hatte mein Telefon die ganze Zeit über dabei.

Während er sprach, flossen große Geldsummen aus Rusts individuellen Blockchain-Wallets ab, was bedauerlich ist, da es sich dabei um Mittel für die Schul- und Ruhestandskosten seiner Kinder handelt.

Truflation und Rust verloren letztendlich rund 5 Millionen US-Dollar. Die offizielle Ursache war ein gestohlener privater Schlüssel.