Amazon ertappt nordkoreanischen Agenten per Tastatureingabe-Lag

Nordkoreanische Hacker versuchen verstärkt, IT-Jobs bei US-Firmen zu ergattern. Amazon enttarnte nun einen solchen Infiltrations­versuch durch ein winziges technisches Detail: Die Verzögerung beim Tippen auf der Tastatur verriet den Angreifer.

Latenzzeit verrät falschen US-Mitarbeiter

Ein vermeintlicher Systemadministrator, der für Amazon tätig war, entpuppte sich kürzlich als nordkoreanischer Akteur. Das Sicherheitsteam des Konzerns wurde durch eine Anomalie bei den Tastatureingaben auf die Infiltration aufmerksam. Während bei einem lokal ansässigen Mitarbeiter die Datenpakete typischerweise innerhalb von 20 bis 50 Millisekunden übertragen werden, lag die Verzögerung in diesem Fall bei über 110 Millisekunden. Das deutete darauf hin, dass die Eingabebefehle einen deutlich längeren Weg zurücklegten als vorgegeben.

Die technische Analyse bestätigte den Verdacht: Obwohl sich der Laptop physisch im US-Bundesstaat Arizona befand, wurde er über eine Remote-Verbindung ferngesteuert. Der Datenverkehr ließ sich bis nach China zurückverfolgen. Die Täter nutzten diese Methode, um ihren wahren Standort zu verschleiern und internationale Sanktionen zu umgehen. Amazon konnte den Zugriff unterbinden, bevor sensible Daten abgegriffen wurden.

Stephen Schmidt, Chief Information Security Officer von Amazon, betonte die Wichtigkeit proaktiver Überwachungsmethoden. Wie er gegenüber Bloomberg erklärte, war die kaum wahrnehmbare Eingabeverzögerung (Keystroke Lag) das entscheidende Indiz. Ohne gezielt nach Mustern nordkoreanischer Hacker zu suchen, wäre dieser Angriffsvektor vermutlich unentdeckt geblieben. Schmidt rät Unternehmen dringend dazu, Datenbanken nach spezifischen Warnsignalen zu durchsuchen.

Infiltration über Laptop-Farmen

Die Methode ist Teil eines organisierten Netzwerks, das auf sogenannten "Laptop-Farmen" basiert. Im aktuellen Fall kooperierte eine Frau aus Arizona mit den Angreifern, indem sie die Hardware in ihrem Haus betrieb. Dadurch erschienen die IP-Adressen legitim und stammten aus den USA, während die eigentliche IT-Arbeit aus der Ferne erledigt wurde. Solche Mittelsmänner erhalten oft monatliche Pauschalen, um die Geräte am Laufen zu halten und bei technischen Problemen neu zu starten. Das ermöglicht es den Hackern, die strengen Geoblocking-Maßnahmen westlicher Konzerne auszuhebeln.


Hinter diesen Aktivitäten steckt oft mehr als nur individuelle Bereicherung. US-Behörden warnen seit Jahren davor, dass Nordkorea tausende hoch qualifizierte IT-Fachkräfte ins Ausland entsendet oder über VPN-Verbindungen arbeiten lässt. Das Ziel ist die Beschaffung von Devisen für das Regime in Pjöngjang. Es wird geschätzt, dass ein einzelner IT-Arbeiter bis zu 300.000 Dollar pro Jahr verdienen kann. Da diese Arbeiter oft mehrere Vollzeitstellen gleichzeitig besetzen, summieren sich die Beträge erheblich.

Einnahmen für das Regime

Ein Großteil dieser Einnahmen fließt direkt in die Finanzierung des nordkoreanischen Atom- und Raketenprogramms. Die Arbeiter selbst dürfen meist nur einen minimalen Bruchteil ihres Gehalts behalten und stehen unter ständiger Überwachung durch politische Kommissare. Neben dem finanziellen Aspekt besteht für die betroffenen Unternehmen das Risiko von Datendiebstahl und Sabotage.

Was haltet ihr von dieser James-Bond-artigen Enttarnung durch Tipp-Verzögerungen? Nutzt ihr in euren Unternehmen ähnliche Sicherheitsmechanismen für Remote-Mitarbeiter? Schreibt uns eure Erfahrungen gerne in die Kommentare.


Siehe auch: