Laut dem Bericht von Fortune vom 4/25 hat die nordkoreanische Regierung in den vergangenen zwei Jahren mithilfe von Remote-IT-Fachkräften in US- und Europa-Unternehmen eingeschleust und dabei etwa 2,8 Milliarden USD an Einnahmen erzielt, die zur Unterstützung von Programmen zur Entwicklung von Nuklearwaffen verwendet wurden. Dabei schätzt der Ausschuss zur multilateralen Überwachung von UN-Sanktionen, dass jährlich stabil 0,25 bis 0,6 Milliarden USD beigesteuert werden. In Anknüpfung an diese Struktur wurden die „Mithelfer im Inland der USA“ in letzter Zeit nacheinander inhaftiert, wodurch aufgedeckt wurde, dass der entscheidende Faktor dafür, dass solche Betrügereien überleben können, ein Komplizennetzwerk innerhalb des Landes ist.
DOJ: Zwei US-amerikanische Angeklagte wurden zu 7,5 Jahren und 9 Jahren verurteilt
Das US-Justizministerium hat am 4/15–4/16 in zwei Tagen zwei Angeklagte aus New Jersey verurteilt——Kejia Wang und Zhenxing Wang——wobei beide jeweils zu 7,5 Jahren bzw. 9 Jahren Freiheitsstrafe auf Bewährung verurteilt wurden. Ihnen wird vorgeworfen, seit langem „laptop farm“ zu betreiben: In den USA wurden Dutzende von von Unternehmen bereitgestellten Arbeitslaptops aufgestellt, sodass die IT-Fachkräfte, die tatsächlich in Nordkorea sitzen, über Fernverbindungen diese Laptops steuern können. Dadurch werden die Unternehmens-IT-Überwachungstools so fehlgeleitet, dass sie fälschlich annehmen, die Bedienung stamme aus dem US-amerikanischen Inland.
Die Staatsanwaltschaft führte aus, dass in diesem Fall mindestens 80 gestohlene Identitäten von US-Bürgern verwendet wurden; die betroffenen Unternehmen umfassen über 100, darunter auch Fortune-500-Unternehmen. Die Gesamtsumme beläuft sich darauf, dass die nordkoreanische Regierung mehr als 5 Millionen USD einbrachte und dass die beiden Wang als Hauptbeteiligte Unterstützer Vermittlungsprovisionen erhielten.
Funktionsmechanismus der „laptop farm“
Der Kern derartiger Betrügereien ist nicht kompliziert: Nordkoreanische IT-Fachkräfte (die meisten befinden sich in Dandong in Liaoning, oder in Wladiwostok, oder über ein Kooperationsnetzwerk an der Grenze zwischen China und Russland) bewerben sich mithilfe gestohlener US-Identitäten um Remote-Positionen bei US-Unternehmen. Sobald sie eingestellt werden, sendet das Unternehmen die Laptops an „die vom Mitarbeiter angegebene Adresse“——bei dieser Adresse handelt es sich tatsächlich um eine laptop farm, die von Mitwissern im US-Inland betrieben wird. Die Mitwisser richten die Laptops mit einer festen IP und in einer festen Zeitzone ein und sind verantwortlich für das Ein- und Ausstecken der Stromversorgung, das Verarbeiten von Kurierlieferungen sowie das Weiterleiten physischer Post. Die nordkoreanischen Mitarbeiter melden sich über Remote-Tools wie RDP oder anydesk an, um damit zu arbeiten; der produzierte Code und die Arbeitsergebnisse werden von der Firma im normalen Prozess angenommen und abgenommen. Der monatliche Lohn wird auf US-Konten überwiesen und anschließend nach Abzug der Beteiligung durch die Mitwisser als Kryptowährung (meist USDT) abgezogen.
Mit diesem Mechanismus können bei Unternehmen alle drei Compliance-Prüfpunkte für: „Mitarbeiter-IP in den USA“, „Geräte-Seriennummer ist in den USA registriert“ und „Zeitzone für pünktliches Ein- und Ausstempeln“ vollständig bestehen. Dies waren in den vergangenen drei Jahren die intern schwer erkennbaren Bedrohungen für die Sicherheitsteams der Unternehmen.
Das US-Komplizennetzwerk ist die schwächste Stelle in der Sanktionskette
Nordkorea selbst mangelt nicht an Personen mit Programmierfähigkeiten, aber es mangelt an einem Kooperationspartner, der „über reale Infrastruktur im westlichen Rechtsraum und über US-Ausweisdokumente“ verfügt. Genau das ist der Schwerpunkt der Überschrift des Fortune-Berichts: US-Bürger helfen aktiv dabei, diesen Betrug-Closed-Loop für Nordkorea abzuschließen. Die Strafdauer in den Fällen Kejia Wang und Zhenxing Wang (7,5 bzw. 9 Jahre) ist bislang eine der schwersten in den USA für Fälle von laptop farm, was widerspiegelt, dass das Justizministerium solche Fälle als doppelte Bedrohung betrachtet——„Sanktionsumgehung plus nationale Sicherheit“.
Erweiterte Risiken für die Kryptoindustrie
Dieses Konstrukt überschneidet sich stark mit der Kryptoindustrie: Am Ende fließt die Einnahmenseite aus Nordkorea typischerweise über USDT oder andere Stablecoins ab——und das ist auch eine der Zielgruppen, die in der Vergangenheit von Tether mehrfach gemeinsam mit OFAC eingefroren wurden. Zuvor hatte abmedia berichtet, dass Tether und OFAC USDT auf der Tron-Kette in Höhe von 344 Millionen USD eingefroren haben sowie dass es Anklagen des DOJ wegen Insiderhandel gegen den Polymarket-Fallschirmsoldaten (Spezialeinheiten-Offizier) gab; solche Fälle tragen mit dem vorliegenden laptop farm zusammen zu einer Vollstreckungserhöhung gegen staatlich koordinierte Cyberkriminalität in den USA bei. Für die Kryptoindustrie bedeutet dies, dass Compliance und KYC-Anforderungen weiter zunehmen werden——insbesondere wird der Überwachungsdruck für Stablecoin-Emittenten in Bezug auf „ungewöhnlich häufige P2P-Auszahlungen“ und „gebündelte Masseneinzahlungen auf konzentrierte Adressen“ weiter steigen.
Für Unternehmen ist die unmittelbarste Gegenmaßnahme: die Intensität der Identitätsverifizierung für Remote-IT-Mitarbeiter erhöhen, einschließlich Videogesprächen (nordkoreanische IT-Fachkräfte verlangen üblicherweise schriftliche Kommunikation, um das Gesicht nicht zu zeigen), das Nachverfolgen der Versandadresse für physische Geräte sowie Analysen langfristiger Muster des IP-Verhaltens und der Arbeitszeitzonen. Fortune zitierte Branchenberater, die schätzen, dass sich derzeit weiterhin unentdeckte laptop farms in den USA im Betrieb befinden und dass die Anzahl der Komplizen deutlich größer ist als bei den bereits angeklagten Fällen.
Dieser Artikel Nordkoreanische IT-Fachkräfte laptop farm-Betrug: US-Komplize zu 7–9 Jahren verurteilt, in zwei Jahren insgesamt 2,8 Milliarden USD eingestrichen Erstmals erschienen auf Kettennews ABMedia.
