Tastatur-Verzögerung entlarvt nordkoreanischen IT-Maulwurf bei Amazon.com
Die Tastenanschläge eines externen Mitarbeiters waren verdächtig verzögert. Amazon.com erkannte ihn als Nordkoreaner.
Nordkoreas Fahne
(Bild: Jiri Flogel/Shutterstock.com)
IT-Fachkräfte aus Nordkorea schleichen sich unter falschen Identitäten bei westlichen Unternehmen ein. Durch Heimarbeit verschaffen sie der nordkoreanischen Regierung Einnahmen, bei Gelegenheit sammeln sie auch regimedienliche Daten. Amazon.com hat einen solchen Maulwurf ausgehoben. Verraten hat ihn die um einen Sekundenbruchteil langsameren Tastaturbedienung.
Der Datenkonzern hatte den Administrator-Job an einen Personaldienstleister ausgelagert. Dieser meinte, jemanden in Arizona eingestellt zu haben, und Amazon schickte ihm einen Laptop. Darauf installierte Sicherheitssoftware schlug Alarm: Die Laufzeit der zu Amazons Servern übertragenen Tastaturanschläge lag nicht im Bereich einiger Dutzend Millisekunden, sondern bei 110 Millisekunden.
(Bild:Â gemeinfrei)
Das hat Amazons Chief Security Officer Stephen Schmidt dem Nachrichtendienst Bloomberg erzählt. Die längere Verzögerung deutet darauf hin, dass der Benutzer nicht, wie behauptet, in Arizona sitzt, sondern weit weg. Amazon beobachtete die Arbeit des Verdächtigen für einige Tage, ließ sich dessen Stellenbewerbung kommen und ihn schließlich hinausschmeißen.
Denn die Adresse in Arizona entpuppte sich als Haushalt einer Frau, die den Laptop aufgestellt und mit dem Server des nordkoreanischen Maulwurfs verbunden hatte. Außerdem nahm sie die Gehaltszahlungen entgegen und leitete sie weiter. Das war kein Einzelfall: In einem US-Strafverfahren ist sie wegen Einschleusens nordkoreanischer IT-Fachkräften in mehr als 300 US-Unternehmen im Juli zu achteinhalb Jahren Haft verurteilt worden (USA v Christina Chapman, Az. 1:24-cr-00220) US-Bundesbezirksgericht für den District of Coumbia,
Immer mehr nordkoreanische Bewerbungen
„Wenn wir nicht nach nordkoreanischen Arbeitern gesucht hätten, hätten wir ihn nicht gefunden”, sagt Schmidt. Zugriff auf relevante Daten habe der Täter nicht gehabt. Seine Bewerbung habe Muster wiederholt, die schon bei anderen nordkoreanischen IT-Maulwürfen beobachtet wurden. Demnach haben sie Schwierigkeiten mit bestimmten Idiomen und Artikeln der englischen Sprache. Zudem gäben sie oft die gleichen ausländischen Bildungseinrichtungen und früheren Arbeitgeber an, die zu verifizieren für US-Unternehmen nicht simpel ist.
Videos by heise
Amazon gibt an, schon eine vierstellige Zahl an Bewerbungen erhalten zu haben, die es als nordkoreanischen Betrugsversuch einstufen konnte. Dieses Jahr sei die Zahl sprunghaft gestiegen. In der direkt beschäftigten Belegschaft will Amazon noch keine heimlichen Nordkoreaner aufgedeckt haben. Im November haben sich in den USA fünf weitere Unterstützer Nordkoreas schuldig bekannt.
(ds)
