IT-Fachkräfte aus Nordkorea schleichen sich unter falschen Identitäten bei westlichen Unternehmen ein. Durch Heimarbeit verschaffen sie der nordkoreanischen Regierung Einnahmen, bei Gelegenheit sammeln sie auch regimedienliche Daten. Amazon.com hat einen solchen Maulwurf ausgehoben. Verraten hat ihn die um einen Sekundenbruchteil langsameren Tastaturbedienung.

Der Datenkonzern hatte den Administrator-Job an einen Personaldienstleister ausgelagert. Dieser meinte, jemanden in Arizona eingestellt zu haben, und Amazon schickte ihre einen Laptop. Darauf installierte Sicherheitssoftware schlug Alarm: Die Laufzeit der zu Amazons Servern übertragenen Tastaturanschläge lag nicht im Bereich einiger Dutzend Millisekunden, sondern bei 110 Millisekunden.

Das hat Amazons Chief Security Officer Stephen Schmidt dem Nachrichtendienst Bloomberg erzählt. Die längere Verzögerung deutet darauf hin, dass der Benutzer nicht, wie behauptet, in Arizona sitzt, sondern weit weg. Amazon beobachtete die Arbeit des Verdächtigen für einige Tage, ließ sich dessen Stellenbewerbung kommen und ihn schließlich hinausschmeißen.

Denn die Adresse in Arizona entpuppte sich als Haushalt einer Frau, die den Laptop aufgestellt und mit dem Server des nordkoreanischen Maulwurfs verbunden hatte. Außerdem nahm sie die Gehaltszahlungen entgegen und leitete sie weiter. Das war kein Einzelfall: In einem US-Strafverfahren ist sie wegen Einschleusens nordkoreanischer IT-Fachkräften in mehr als 300 US-Unternehmen im Juli zu achteinhalb Jahren Haft verurteilt worden (USA v Christina Chapman, Az. 1:24-cr-00220) US-Bundesbezirksgericht für den District of Coumbia,

Immer mehr nordkoreanische Bewerbungen

„Wenn wir nicht nach nordkoreanischen Arbeitern gesucht hätten, hätten wir ihn nicht gefunden”, sagt Schmidt. Zugriff auf relevante Daten habe der Täter nicht gehabt. Seine Bewerbung habe Muster wiederholt, die schon bei anderen nordkoreanischen IT-Maulwürfen beobachtet wurden. Demnach haben sie Schwierigkeiten mit bestimmten Idiomen und Artikeln der englischen Sprache. Zudem gäben sie oft die gleichen ausländischen Bildungseinrichtungen und früheren Arbeitgeber an, die zu verifizieren für US-Unternehmen nicht simpel ist.

Amazon gibt an, schon eine vierstellige Zahl an Bewerbungen erhalten zu haben, die es als nordkoreanischen Betrugsversuch einstufen konnte. Dieses Jahr sei die Zahl sprunghaft gestiegen. In der direkt beschäftigten Belegschaft will Amazon noch keine heimlichen Nordkoreaner aufgedeckt haben. Im November haben sich in den USA fünf weitere Unterstützer Nordkoreas schuldig bekannt.

(ds)

Der SPD-Politiker Sebastian Fiedler hat in einer Bundestagsdebatte zur Chatkontrolle am vergangenen Mittwoch gefordert: „Es darf kein Endgerät mehr auf dem europäischen Markt geben, das überhaupt in der Lage ist, kinderpornografisches Material anzuzeigen und zu verarbeiten.“ (Video)

Der Vorschlag würde eine extreme Form von Zensur und Inhaltskontrolle erfordern. Die Technologie und das Vorhaben wären noch weit eingriffsintensiver als die verpflichtende Chatkontrolle, die in Europa vier Jahre lang diskutiert wurde und nun vorerst vom Tisch ist. Zensurtechnologien auf Endgeräten, wie die von Fiedler vorgeschlagene Version, sind eher aus Ländern wie Nordkorea bekannt.

Der Innenpolitiker und Polizist Fiedler, der früher Vorsitzender des Bundes Deutscher Kriminalbeamter war, fordert diese Form der Überwachung und Informationskontrolle nicht zum ersten Mal. Schon im Jahr 2024 hatte er seinen Vorschlag im Rahmen der Chatkontrolle-Debatte ins Spiel gebracht. Damals behauptete er im Interview mit WDR5, dass eine technische Umsetzung des Vorschlags möglich sei.

Wir hatten schon damals nachgefragt, wie dies funktionieren soll – und bedauerlicherweise keine Antwort von Herrn Fiedler erhalten.

Neue Fragen bleiben ebenfalls unbeantwortet

Weil er nun erneut diesen Vorschlag ins Rennen schickt, haben wir wieder nachgefragt. Wir wollten wir unter anderem wissen, wie die Technologie funktionieren soll, ohne dass es zu einer anlasslosen Komplettüberwachung aller digitalen Inhalte auf sämtlichen Endgeräten kommt.

Außerdem wollten wir von Herrn Fiedler wissen, ob ihm eine Technologie bekannt ist, die das leistet.

Und wir wollten wissen, wie Herr Fiedler ausschließen möchte, dass die Technologie in autoritären Ländern oder in Deutschland unter einer AfD-Regierung dazu genutzt wird, um unliebsame politische Inhalte zu sperren.

Auch dieses Mal hat Herr Fiedler auf die Presseanfrage von netzpolitik.org nicht reagiert.

Eine Sicherheitslücke im schlanken SSH-Server Dropbear ermöglicht Angreifern, ihre Rechte im System auszuweiten. Aktualisierte Softwarepakete schließen die Sicherheitslücke.

Dropbear kommt aufgrund seiner geringen Größe oftmals auf Single-Board-Computersystemen und Routern zum Einsatz, etwa in OpenWRT. Jetzt haben die Entwickler die Dropbear-Version 2025.89 veröffentlicht und schreiben in der Ankündigung, dass bei älteren Fassungen bis einschließlich Dropbear 2024.84 Angreifer beliebige Programme im System als „root“ starten können, sofern sie eine Sicherheitslücke in Dropbear ausnutzen.

Temporäre Gegenmaßnahme

Ursache des Sicherheitslecks ist die Weiterleitung von Unix-Sockets. Andere Programme auf dem System können Unix-Sockets mittels SO_PEERCRED authentifizieren, was bei von Dropbear weitergeleiteten Verbindungen der User „root“ ist, was die Ausweitung der eigenen Rechte ermöglicht, führen die Dropbear-Programmierer aus (CVE-2025-14282, CVSS 9.8, Risiko „kritisch“).

Wer noch nicht aktualisieren kann, kann sich damit behelfen, den Zugriff auf Unix-Socket-Forwarding zu unterbinden. Das erledigt der Aufruf mit Kommandozeilenparameter dropbear -j – das deaktiviert jedoch zugleich auch TCP-Forwarding. Wer Dropbear aus den Quellen selbst baut, kann auch in den Header-Dateien „localoptions.h“ sowie „distrooptions.h“ einen Define passend setzen: „#define DROPBEAR_SVR_LOCALSTREAMFWD 0“ sorgt dafür, dass die anfällige Funktion nicht ausgeführt wird. Die vollständige Korrektur benötigt jedoch weiterreichende Änderungen.

„Die Weiterleitung von Unix-Sockets ist jetzt deaktiviert, wenn erzwungene Befehlsoptionen verwendet werden, da sie Befehlsbeschränkungen umgehen könnten“, erklären die Dropbear-Entwickler. Das stehe nicht direkt mit der Rechteausweitung in Verbindung, aber könnte die Ausführung beliebiger Befehle als korrekter User erlauben.

Die Risikoeinstufung als „kritisch“ der Schwachstelle stammt vom CERT-Bund. Wer Dropbear als SSH-Server einsetzt, sollte nach aktualisierten Paketen Ausschau halten und diese zeitnah installieren. Sofern das noch nicht möglich ist, hilft der vorgeschlagene Workaround, die eigene Installation abzusichern.

(dmk)