De FBI sluit websites af die Noord-Koreanen gebruikten om zich voor te doen als bedrijven

De FBI sluit websites af die Noord-Koreanen gebruikten om zich voor te doen als bedrijven

De FBI heeft beslag gelegd op verschillende websites van Noord-Koreaans Er werden operaties gebruikt om legitieme Amerikaanse en Indiase bedrijven na te bootsen. De actie leek te zijn gedaan om geld in te zamelen voor het nucleair bewapende Noord-Koreaanse regime, zo blijkt uit verklaringen op de websites en veiligheidsonderzoekers die de activiteiten hebben onderzocht.

De inbeslagname van de websites

Alle vier de websites die door cyberbeveiligingsbedrijf SentinelOne werden geïdentificeerd als Noord-Koreaanse frontbedrijven, hadden een verklaring in het Engels en Koreaans waarin stond dat ze in beslag waren genomen op grond van een bevelschrift van de Amerikaanse districtsrechtbank van Massachusetts. Dit maakt deel uit van een “gecoördineerde handhavingsactie” tegen de Noord-Koreaanse regering. SentinelOne-onderzoekers waren in staat de frontbedrijven te koppelen aan een grotere groep organisaties in China.

De uitdaging voor de nationale veiligheid

Het opsporen en elimineren van deze nepbedrijven vertegenwoordigt een grote uitdaging voor de nationale veiligheid die de regering-Biden probeert aan te pakken en die de regering-Trump zal erven. Er wordt geschat dat ongeveer de helft van Noord-Korea Raketprogramma gefinancierd door cyberaanvallen en diefstal van cryptocurrency, meldde een functionaris van het Witte Huis vorig jaar.

Opzettelijke misleiding via nepwebsites

De frontbedrijven bootsten de websites van verschillende Amerikaanse software- en adviesbureaus nauwgezet na en nodigden potentiële klanten uit om contact met hen op te nemen, zo blijkt uit de analyse van SentinelOne. De FBI weigerde commentaar te geven op de zaak.

Verwijzing naar eerdere waarschuwingen

De verklaring van de FBI en andere Amerikaanse wetshandhavingsinstanties op de in beslag genomen websites verwijst bezoekers naar een waarschuwing uit 2022 waarin Amerikaanse functionarissen benadrukten dat Noord-Korea duizenden IT-medewerkers in het buitenland gebruikte om in het geheim geld in te zamelen voor het regime.

Onderzoeken en infiltratiepogingen

Uit een CNN-onderzoek dat jaar bleek dat Noord-Koreaanse agenten op agressieve wijze probeerden Amerikaanse cryptocurrency- en andere technologiebedrijven binnen te dringen door zich voor te doen als mensen van andere nationaliteiten. Een Amerikaanse ondernemer vertelde CNN dat zijn bedrijf onbewust tienduizenden dollars had overgemaakt aan de Noord-Koreaanse overheid.

Internationale samenwerking bij fraudezaken

In sommige gevallen kunnen de Noord-Koreanen steun krijgen van Amerikanen. Amerikaanse federale aanklagers beschuldigden in mei een vrouw uit Arizona van deelname aan een uitgebreid fraudeplan waardoor buitenlandse IT-werknemers zich als Amerikanen konden voordoen en door grote Amerikaanse bedrijven konden worden aangenomen. Dit resulteerde in 6,8 miljoen dollar aan inkomsten die Pyongyang ten goede zouden kunnen komen.

Inzicht in een diepere werking

“Deze frontbedrijven en websites zijn slechts het topje van de ijsberg”, vertelde Tom Hegel, senior dreigingsonderzoeker bij SentinelOne, aan CNN. “Wat we hebben blootgelegd vertegenwoordigt slechts een fractie van een veel bredere en diepgewortelde operatie die is ontworpen om heimelijk te opereren.”

Tracering van activiteiten terug naar China

Hegel en zijn collega Dakota Cary konden een deel van de activiteiten van de frontcompagnieën traceren naar een adres in Liaoning, de Chinese provincie die grenst aan Noord-Korea. Dit is niet de eerste keer dat onderzoekers Noord-Koreaanse IT-werknemersactiviteiten hebben getraceerd naar Noordoost-China. CNN berichtte in april over een Noord-Koreaanse computerserver die kunstwerken bevatte die voor Amerikaanse animatiestudio's leken te zijn geproduceerd. Logboeken van de server lieten talloze toegangen zien vanaf internetverbindingen in het noordoosten van China.