Nordkorea ist nicht verrückt
Um die Cyberaktivitäten Nordkoreas zu verstehen, ist die Absicht von entscheidender Bedeutung.
Klicken Sie hier, um die komplette Analyse als PDF herunterzuladen.
Das Verständnis der nationalen Ziele, staatlichen Organisationen und Militärstrategie Nordkoreas ist für die Diskussionen über die Zuordnung der Cyberaktivitäten Nordkoreas von zentraler Bedeutung und fehlt häufig. Häufig beschreiben hochrangige politische Führer, Cybersicherheitsexperten und Diplomaten die nordkoreanische Führung oder ihr jeweiliges Handeln als „verrückt“, „unberechenbar“ oder „nicht rational“. Das ist nicht der Fall. Betrachtet man die Cyberaktivitäten aus der Perspektive der nordkoreanischen Militärstrategie, der nationalen Ziele und der Sicherheitsvorstellungen, entsprechen sie ihrem umfassenderen Ansatz.
Untersuchungen von Recorded Future zeigen, dass nordkoreanische Cyber-Akteure weder verrückt noch irrational sind: Sie verfügen lediglich über einen größeren operativen Handlungsspielraum als die meisten anderen Geheimdienste.
Dieser Bereich umfasst ein breites Spektrum krimineller und terroristischer Aktivitäten, darunter die illegale Herstellung und den illegalen Verkauf von Drogen, die Herstellung von Falschgeld, Bombenanschläge, Attentate und mehr. Die National Security Agency (NSA) hat die WannaCry-Ransomware-Angriffe im April dem nordkoreanischen Geheimdienst Reconnaissance General Bureau (RGB) zugeschrieben . Wir gehen davon aus, dass der Einsatz von Ransomware zur Beschaffung von Mitteln für den Staat sowohl in die asymmetrische Militärstrategie Nordkoreas als auch in seine Politik der „Selbstfinanzierung“ fällt und in den breiten operativen Zuständigkeitsbereich der Geheimdienste des Landes fällt.
Hintergrund
Die Demokratische Volksrepublik Korea (DVRK oder Nordkorea) ist eine erbliche asiatische Monarchie mit staatlichen, parteilichen und militärischen Organisationen, die sich dem Erhalt der Führung der Koreanischen Arbeiterpartei (KWP) und des Militärs, der Koreanischen Volksarmee (KPA), verschrieben haben.
Das Reconnaissance General Bureau (RGB), auch bekannt als „ Einheit 586“, wurde 2009 nach einer umfassenden Umstrukturierung mehrerer staatlicher, militärischer und parteilicher Geheimdienstelemente gegründet. Der KPA unterstellt, entwickelte er sich seitdem nicht nur zum dominierenden nordkoreanischen Auslandsgeheimdienst, sondern auch zum Zentrum für geheime Operationen. Man geht davon aus, dass das RGB und seine Vorgängerorganisationen für eine Reihe von Bombenanschlägen, Attentaten, Flugzeugentführungen und Entführungen ab den späten 1950er-Jahren verantwortlich sind. Zudem sind sie für eine Reihe krimineller Aktivitäten verantwortlich, darunter Drogenschmuggel und -herstellung, Produktfälschung, zerstörerische Cyber-Angriffe und mehr.
Satellitenbild des südlichen RGB-Operationsgebäudes in Pjöngjang. (Quelle)
Als Nordkoreas führender Verwalter geheimer Operationen ist das RGB wahrscheinlich auch die wichtigste Organisation für Cyberoperationen. Wie das Center for Strategic and International Studies im Bericht von 2015 beschreibt:
Das RGB ist eine Zentrale nordkoreanischer Geheimdienst-, Kommando- und Sabotageoperationen. Die Geschichte der RGB-Führung und ihrer einzelnen Mitglieder zeichnet das Bild einer zentralen Anlaufstelle für illegale und geheime Aktivitäten außerhalb der Demokratischen Volksrepublik Korea. Der RGB bzw. seine Bestandteile waren vor 2009 in alles Mögliche verwickelt, von Kommandoüberfällen vom Seeweg bis hin zu Entführungen und Spionage. Die Tatsache, dass das RGB die Kontrolle über Cyberressourcen hat, deutet darauf hin, dass die Demokratische Volksrepublik Korea beabsichtigt, diese Ressourcen für Provokationszwecke einzusetzen.
Das RGB besteht wahrscheinlich aus sieben Büros: sechs ursprünglichen Büros und einem neuen siebten (Büro 121), das wahrscheinlich irgendwann nach 2013 hinzugefügt wurde.
RGB-Organigramm, zusammengestellt mit Informationen aus The Korea Herald, 38 North und CSIS.
Das Büro 121 ist wahrscheinlich Nordkoreas wichtigste Einheit für Cyberoperationen, es gibt jedoch auch andere Einheiten innerhalb der KPA und KWP , die möglicherweise ebenfalls Cyberoperationen durchführen.
Die Zuordnung spezifischer Cyberaktivitäten zum nordkoreanischen Staat oder zu Geheimdiensten ist schwierig und beruhte bis vor kurzem nur auf Indizien. Am 12. Juni veröffentlichte US-CERT eine gemeinsame technische Warnung , die eine Analyse des US-Heimatschutzministeriums (DHS) und des FBI zu den „Werkzeugen und der Infrastruktur, die von Cyber-Akteuren der nordkoreanischen Regierung verwendet werden, um die Medien-, Luft- und Raumfahrt-, Finanz- und kritischen Infrastruktursektoren in den Vereinigten Staaten und weltweit anzugreifen“ zusammenfasste.
Diese Warnung war das erste Mal, dass die US-Regierung Bedrohungsakteurgruppen und Schadsoftware, von denen lange vermutet wurde, dass sie von staatlich gesponserten nordkoreanischen Akteuren eingesetzt werden, mit der nordkoreanischen Regierung selbst in Verbindung brachte. DHS und FBI haben ausdrücklich zwei Bedrohungsakteursgruppen identifiziert: Lazarus Group und Guardians of Peace sowie drei Tools: Destover, Wild Positron/Duuzer und Hangman, die von der nordkoreanischen Regierung verwendet werden. Obwohl FBI und DHS zahlreiche Hinweise auf eine Kompromittierung, Yara-Regeln und Netzwerksignaturen identifizierten, lieferte der Bericht keinerlei Beweise, die eine Zuschreibung an die nordkoreanische Regierung stützen, und auch keine Details dazu, welche Organisation oder Einheit dafür verantwortlich sein könnte.
Die Lazarus-Gruppe, von der inzwischen bekannt ist, dass es sich um staatlich geförderte nordkoreanische Akteure handelt, führt seit mindestens 2009 DDoS-Angriffe auf US-amerikanische und südkoreanische Websites mit dem Wurm MYDOOM durch. Bis Ende 2015 konzentrierten sich die Cyberaktivitäten der Lazarus-Gruppe hauptsächlich auf südkoreanische und US-amerikanische Regierungs- und Finanzorganisationen, darunter zerstörerische Angriffe auf den südkoreanischen Banken- und Mediensektor im Jahr 2013 und viel beachtete Angriffe auf Sony Pictures Entertainment im Jahr 2014.
Zeitleiste der Cyber-Operationen der Lazarus Group seit 2009.
Anfang 2016 zeichnete sich im Zuge einer ungewöhnlichen Aktion gegen die Zentralbank von Bangladesch ein neues Aktivitätsmuster ab. Akteure verschafften sich die gültigen Zugangsdaten der Zentralbank von Bangladesch für das Interbanken-Nachrichtensystem SWIFT und versuchten damit, 951 Millionen US-Dollar aus den Mitteln der Bank auf Konten in der ganzen Welt zu überweisen. Durch einige einfache Fehler der Akteure (und etwas reines Glück) gelang es den Zentralbanken, den Transfer des Großteils der Gelder zu verhindern oder ihn sogar zurückzufordern. Die Angreifer erbeuteten am Ende jedoch fast 81 Millionen US-Dollar.
Die National Security Agency (NSA) hat diesen Angriff auf die Zentralbank von Bangladesch dem nordkoreanischen Staat zugeschrieben; die Ermittlungen innerhalb der US-Regierung dauern allerdings noch an. Bedrohungsanalysten zahlreicher Unternehmen haben diesen Angriff und nachfolgende Angriffe auf Banken auf der ganzen Welt bis Anfang 2017 der Lazarus Group zugeschrieben (die DHS, FBI und NSA in den letzten drei Tagen alle mit der nordkoreanischen Regierung in Verbindung gebracht haben).
Einem am 14. Juni in der Washington Post veröffentlichten Bericht zufolge hat die NSA eine nachrichtendienstliche Einschätzung der WannaCry-Kampagne erstellt und die Entwicklung des WannaCry-Wurms „vom RGB gesponserten Cyber-Akteuren“ zugeschrieben. In dieser Einschätzung, die offenbar letzte Woche intern veröffentlicht wurde, wird von „mäßigem Vertrauen“ in die Zuschreibung gesprochen und die Kampagne im April als „Versuch, Einnahmen für das Regime zu erzielen“ bezeichnet.
Die Angriffe auf die Zentralbank von Bangladesch und auf weitere Banken weltweit sowie die Erpresserkampagne „WannaCry“ markieren eine neue Phase der Cyberoperationen Nordkoreas. Sie spiegelt die Phasen der Gewalt und Kriminalität wider, die Nordkorea in den letzten 50 Jahren durchlaufen hat. Wir werden diese Phasen später in diesem Beitrag untersuchen.
Die große Bandbreite bekannter und mutmaßlicher Cyber-Operationen Nordkoreas wirft seit Jahren Fragen nach der Rationalität der nordkoreanischen Führung auf, nach möglichen Beweggründen und Vorteilen dieser Art von Cyber-Aktivitäten für das Land und nach Gründen, warum Nordkorea die Verantwortung für diese Angriffe abstreitet. Die Forschung von Recorded Future geht diesen Fragen nach, indem sie das Gesamtbild untersucht und geopolitische und strategische Informationen mit Bedrohungsinformationen kombiniert.
Analyse
Es ist wichtig, einige dieser früheren Aktivitäten Nordkoreas näher zu untersuchen, um den Cyber-Operationen, die wir seit 2009 verfolgen, einen Kontext zu verleihen. Nordkoreas Beteiligung an einer breiten Palette krimineller und terroristischer Aktivitäten ist Teil seiner umfassenden nationalen Strategie, die auf asymmetrischen Operationen und Überraschungsangriffen beruht, um das konventionelle nationale Machtdefizit Nordkoreas zu überwinden.
Laut einem Interview mit einem ehemaligen Beamten des US-Außenministeriums und Nordkorea-Experten in der Zeitschrift Vanity Fairist „die Kriminalität, mit anderen Worten, ein integraler Bestandteil der nordkoreanischen Wirtschaft geworden.“ „Das zahlt sich nicht nur aus, es kommt auch ihrer Strategie entgegen, westliche Interessen zu untergraben.“1 “
Es ist von entscheidender Bedeutung, Nordkoreas kriminelle und Cyber-Aktivitäten in den Kontext seiner umfassenderen militärischen und nationalen Sicherheitsstrategien zu stellen, die zwei Hauptziele verfolgen:
- Fortbestand des Kim-Regimes,
- Vereinigung der koreanischen Halbinsel unter nordkoreanischer Führung.
Eine Studie der University of Washington aus dem Jahr 2016 fasst Nordkoreas asymmetrische Militärstrategie prägnant zusammen:
Seit dem Ende des Koreakrieges hat Nordkorea eine asymmetrische Militärstrategie, asymmetrische Waffen und asymmetrische Stärke entwickelt, da seine konventionelle Militärmacht weitaus schwächer ist als die der USA und Südkoreas. Nordkorea hat daher drei militärstrategische Säulen entwickelt: Überraschungsangriff, schneller, entscheidender Krieg und gemischte Taktiken. Erstens bezieht sich die Überraschungsangriffsstrategie darauf, den Feind zu einem unerwarteten Zeitpunkt und an einem unerwarteten Ort anzugreifen. Zweitens besteht die Strategie des Landes, schnell und entschieden vorzugehen und das südkoreanische Militär zu besiegen, bevor das US-Militär oder die internationale Gemeinschaft eingreifen kann. Schließlich besteht die Strategie der gemischten Taktik darin, mehrere Taktiken gleichzeitig anzuwenden, um das strategische Ziel zu erreichen.
Trotz seiner fast ununterbrochenen Tirade kriegerischer Rhetorik und des Beteuerns seiner Stärke betrachtet Nordkorea die Welt grundsätzlich aus einer Position der Schwäche und hat eine nationale Strategie entwickelt, die seine relativen Stärken ausnutzt – die vollständige Kontrolle über eine Bevölkerung von 25 Millionen Menschen und eine unerschütterliche, amoralische Ergebenheit gegenüber der Erbdynastie der Kim-Dynastie.
In diesem Zusammenhang passen Kriminalität, Terrorismus und zerstörerische Cyberangriffe allesamt in die asymmetrische Militärstrategie Nordkoreas, die auf Überraschungsangriffe und gemischte Taktiken setzt. Die Kriminalität und die Cyberangriffe haben zudem den zusätzlichen Vorteil, dass sie es Nordkorea ermöglichen, genau jene internationalen Wirtschafts- und Politiksysteme zu untergraben, die es einschränken und bestrafen.
Es mehren sich die Hinweise darauf, dass Sanktionen, internationaler Druck und möglicherweise verstärkte Maßnahmen durch China der nordkoreanischen Wirtschaft zu schaden beginnen und insbesondere die Fähigkeit der nordkoreanischen Geheimdienste beeinträchtigen, Güter für die Regimeführung zu beschaffen . Ein Bericht des Korea Development Institute vom Mai 2017 kam zu dem Schluss, dass Nordkoreas Schwarzmarkt dem Land im vergangenen Jahr dabei geholfen habe, die Auswirkungen der internationalen Sanktionen besser zu ertragen.
Nachfolgend werden zahlreiche nicht-cyberbasierte Operationen detailliert beschrieben, die von den Vorgängerorganisationen des RGB durchgeführt wurden. Die Gewalt, die Zerstörung und das kriminelle Ausmaß dieser Operationen offenbaren die große operative Reichweite dieser Geheimdienste und den Kontext, in dem sie durchgeführt werden.
Diese Daten enthüllen außerdem eine Geschichte von Dementis der nordkoreanischen Führung, die bis in die 1960er Jahre zurückreicht, und stellen die Dementis der Cyber-Operationen durch die derzeitige Führung in einen Kontext.
Notiz
Die im Folgenden aufgeführten Aktivitäten sollen lediglich als Beispiel für den umfassenden operativen Rahmen nordkoreanischer Operationen dienen und stellen keine vollständige Liste dar.
„Überfall auf das Blaue Haus“
Einer der ersten großen Angriffe auf Südkorea seit der Waffenstillstandserklärung nach dem Koreakrieg 1953 ereignete sich im Jahr 1968. Bei dem sogenannten „ Blue House Raid“ handelt es sich um einen Mordanschlag von 31 nordkoreanischen Spezialeinheiten auf den damaligen Präsidenten Park Chung Hee in der Nacht des 20. Januar 1968. Die 31 nordkoreanischen Soldaten durchquerten die entmilitarisierte Zone (DMZ) zu Fuß und schafften es, bis auf eine halbe Meile an die Residenz des Präsidenten (das sogenannte „Blaue Haus“) heranzukommen, bevor sie enttarnt wurden. Nach der Entdeckung kam es zu einer Reihe von Feuergefechten zwischen nordkoreanischen Soldaten und südkoreanischen Streitkräften . Dabei wurden 68 Südkoreaner und drei US-Soldaten getötet. Die meisten nordkoreanischen Soldaten wurden in den acht Tagen nach dem Angriff getötet; zwei schafften es zurück über die DMZ und einer wurde gefangen genommen.
Der gefangene nordkoreanische Soldat behauptete während einer Pressekonferenz, sie seien gekommen, um „ Park Chung Hee die Kehle durchzuschneiden“. Dieser Bericht wurde während eines geheimen Treffens im Jahr 1972 zwischen einem südkoreanischen Geheimdienstmitarbeiter und dem damaligen Premierminister Kim Il-sung bestritten. Kim behauptete, seine Regierung habe mit dem Überfall nichts zu tun und „wusste damals noch nicht einmal davon“.
Ein gefangener nordkoreanischer Soldat nach dem Überfall auf das Blaue Haus. (Quelle)
Bombenanschlag in Rangun 1983
Am 9. Oktober 1983 versuchten drei nordkoreanische Soldaten, den damaligen südkoreanischen Präsidenten Chun Doo Hwan während einer Reise nach Myanmar zu ermorden. Eine Bombe in einem Mausoleum, das der Präsident besuchen sollte, detonierte vorzeitig und tötete 21 Menschen, darunter den koreanischen Außenminister und den stellvertretenden Premierminister.
Während des Prozesses gegen die Attentäter kam durch Zeugenaussagen heraus, dass die nordkoreanischen Agenten ein nordkoreanisches Handelsschiff benutzt hatten, um nach Myanmar und zum Haus eines nordkoreanischen Diplomaten zu reisen und dort die Bomben vorzubereiten. Zehn Tage nach dem Bombenanschlag legten CIA-Analysten in einem geheimen Bericht (der im Jahr 2000 freigegeben wurde) überzeugende Argumente dafür vor, dass Nordkorea für den Angriff verantwortlich sei, obwohl die staatliche nordkoreanische Nachrichtenagentur eine Beteiligung offiziell dementierte . Die nordkoreanischen Staatsmedien warfen Präsident Chun sogar vor, den Angriff zu nutzen, um die Spannungen auf der Halbinsel zu erhöhen.
Südkoreanische Beamte warten am Mausoleum in Rangun wenige Minuten
bevor die Bombe detoniert. (Quelle)
Bombenanschlag auf Korean-Air-Flug 858
Am 29. November 1987 enterten zwei nordkoreanische Geheimdienstagenten ein Flugzeug der Korean Air von Bagdad (Irak) nach Seoul und platzierten eine Bombe. Während eines Zwischenstopps in Abu Dhabi verließen die beiden Agenten das Flugzeug, ließen jedoch die als Radio getarnte Bombe an Bord zurück. Die Bombe detonierte und das Flugzeug stürzte im Dschungel an der thailändisch-burmesischen Grenze ab. Alle 115 Menschen an Bord kamen ums Leben.
Einer der nordkoreanischen Geheimdienstagenten, der lebend gefangen genommen wurde, erklärte später, dass das Ziel des Bombenanschlags darin bestand, „ ausländische Teilnehmer von der Teilnahme an den Olympischen Spielen 1988 in Seoul abzuschrecken und Unruhen in Südkorea zu stiften“. Der Agent gestand außerdem, dass der Befehl zur Bombardierung des Flugzeugs direkt vom damaligen nordkoreanischen Machthaber Kim Il-Sung oder seinem Sohn, dem späteren Machthaber Kim Jong-Il, gekommen sei.
Übergang zur Kriminalität
Bis Mitte der 1990er Jahre war in Nordkorea ein Übergang vom Terrorismus zur Kriminalität erfolgt. Während Nordkorea seit Ende der 1970er Jahre eine Politik der „ Selbstfinanzierung“ betrieb,2 bei der Botschaften und diplomatische Außenposten gezwungen waren, ihr Geld in der Regel durch illegale Aktivitäten wie Schmuggel zu verdienen, entwickelte sich diese Kriminalität erst in den 1990er Jahren zu einem Geschäft des gesamten Staates und nicht nur des diplomatischen Establishments. Dieser Wandel wurde von einer Reihe von Faktoren beeinflusst. Dazu gehörten das Ende des Kalten Krieges und die Einstellung wichtiger Hilfeleistungen durch Wohltäter wie die Sowjetunion und China, eine verheerende Hungersnot, ein Führungswechsel sowie Jahre internationaler Verurteilungen und Strafmaßnahmen.
Ein Bericht des Menschenrechtsausschusses in Nordkorea aus dem Jahr 2015 unterteilt Nordkoreas Beteiligung an „illegalen wirtschaftlichen Aktivitäten“ in drei separate Phasen. Erstens, von den Anfängen des staatlichen Engagements in Nordkorea in den 1970er Jahren bis Mitte der 1990er Jahre, von Mitte der 90er Jahre bis Mitte der 2000er Jahre und von etwa 2005 bis heute. Das Generalbüro für Aufklärung (RGB), seine Vorgängerorganisationen und andere Militär- und Nachrichtendienste unterstützen diese illegalen Aktivitäten.
Illegale Drogenherstellung und -schmuggel
In Nordkorea gibt es seit Mitte der 1970er Jahre ein staatlich gefördertes Drogenschmuggelprogramm (und später auch Drogenherstellungsprogramm). Dieses riesige Unternehmen wurde vom Militär, den Geheimdiensten und Diplomaten unterstützt und beinhaltete oft die Zusammenarbeit mit kriminellen Organisationen wie der taiwanesischen Bande United Bamboo, philippinischen Verbrechersyndikaten und der japanischen organisierten Kriminalität.3
Wissenschaftliche Untersuchungen deuten darauf hin, dass Nordkorea umfassende verdeckte Schmuggelnetzwerke und -kapazitäten aufgebaut hat, vor allem um dem Kim-Regime Devisen zu verschaffen.
Der nordkoreanische Staat baut aktiv Schlafmohn an und produziert bis zu 50 Tonnen Rohopium pro Jahr. Zum Vergleich: Nach Schätzungen der Vereinten Nationen hat Afghanistan im Jahr 2014 6.400 Tonnen Rohopium produziert. Nordkorea ist damit vergleichsweise ein kleiner Produzent. Einem Bericht des Congressional Research Service zufolge sind staatliche Verarbeitungslabore in der Lage, jedes Jahr die doppelte Menge zu Opium oder Heroin zu verarbeiten. Experten gehen davon aus, dass Nordkorea durch illegale Wirtschaftsaktivitäten jährlich zwischen 550 Millionen und einer Milliarde US-Dollar in die Wirtschaft einnimmt.
Fälschung
Eines der am häufigsten in den Medien erwähnten kriminellen Unterfangen Nordkoreas ist die Herstellung gefälschter amerikanischer 100- (und 50-)Dollar-Scheine, der sogenannten „ Supernotes“. In einer Aussage vor dem Kongress im Jahr 2006 stellte der US-Geheimdienst eine eindeutige Verbindung zwischen der Herstellung der „Supernote“ und dem nordkoreanischen Staat her.
Interviews in einem Artikel des New York Times Magazineaus dem Jahr 2006 zufolge geht die staatliche Unterstützung Nordkoreas bei der Fälschung amerikanischer Banknoten auf eine Direktive Kim Jong-ils aus der Mitte der 1970er Jahre zurück. Bei der ursprünglichen Geldfälschung ging es darum, 1-Dollar-Scheine zu bleichen und sie dann als 100-Dollar-Scheine neu zu drucken. Diese Methode entwickelte sich im Laufe der Zeit weiter, als Nordkorea zunehmend international isoliert wurde und seine Wirtschaft zusammenbrach.
„Supernote“ und ein echter 100-Dollar-Schein. (Quelle)
Der Vertrieb und die Produktion der Supernoten verliefen nach einem ähnlichen Muster wie bei den in Nordkorea produzierten Rauschgiften: An der Produktion waren globale Verbrechersyndikate, Staats- und Geheimdienstbeamte sowie legale Unternehmen beteiligt. Nordkorea hat wiederholt eine Beteiligung an Geldfälschungen oder anderen illegalen Operationen bestritten.
Eine Geschichte der Verleugnung
Wie oben dargelegt, hat Nordkorea in seiner Vergangenheit die Verantwortung für seine gewalttätigen, illegalen und zerstörerischen Operationen abgestritten. Dazu gehört die Abstreitung einer Beteiligung am Überfall auf das Blaue Haus, am Bombenanschlag in Rangun sowie an allen kriminellen und illegalen Aktivitäten, darunter der Fälschung von US-Dollar, dem Angriff auf Sony Pictures Entertainment und dem Raubüberfall auf die Zentralbank von Bangladesch. Einige Wissenschaftler argumentieren , dass Handlungen wie die Fälschung einer Landeswährung einen „ Casus Belli “ darstellen, also eine Handlung oder ein Ereignis, das einen Krieg rechtfertigt. Andere wiederum argumentieren, dass „ internationale Rechtsnormen und -konstruktionen die Frage, was im Cyberbereich einen Casus Belli darstellt, nicht ausreichend regeln“.
Beide Argumente sowie das Verständnis der asymmetrischen Militärstrategie Nordkoreas unterstreichen, warum Nordkorea für viele dieser zerstörerischen und gewalttätigen Taten nicht die Verantwortung übernehmen möchte. Die Anerkennung staatlicher Verantwortung könnte den Vereinigten Staaten oder Südkorea einen gültigen Casus Belli liefern und zu einem Krieg führen, den Nordkorea mit Sicherheit verlieren würde. Auch wenn die Beweislage überzeugend ist, schaffen die offiziellen Dementis der Regierung Unsicherheit und geben Nordkorea Raum, seine Operationen fortzusetzen.
Auswirkungen
Was in der Diskussion darüber, ob Nordkorea für die WannaCry-Kampagne und die Banküberfälle verantwortlich ist, fehlt, ist das Warum – also die geopolitischen und strategischen Informationen, die den zivilgesellschaftlichen Organisationen, Sicherheitsexperten und Bedrohungsanalysten einen Kontext für die von ihnen beobachteten Aktivitäten liefern.
Seit letzter Woche bringen die NSA und mehrere Unternehmen, darunter Symantec und Kaspersky, die jüngste Ransomware-Kampagne WannaCry mit Nordkorea in Verbindung. Recorded Future geht davon aus, dass diese Art von Cyberaktivität sowohl in den Rahmen der „Selbstfinanzierungspolitik“ Nordkoreas als auch seiner asymmetrischen Militärstrategie fällt.
Vor diesem Hintergrund ist Recorded Future als Land, das unter enormem internationalen finanziellen und politischen Druck steht und derartige Richtlinien und Strategien anwendet, davon überzeugt, dass die Cyber-Operationen Nordkoreas (mit dem Ziel, an harte Währung zu gelangen) zumindest kurz- bis mittelfristig (ein bis drei Jahre) fortgesetzt werden. Darüber hinaus werden die zerstörerischen Cyber-Operationen gegen die südkoreanische Regierung und kommerzielle Unternehmen im gleichen Zeitraum anhalten und sich wahrscheinlich auf japanische oder westliche Organisationen ausweiten, wenn die Spannungen zwischen den USA und Nordkorea hoch bleiben.
Die oben skizzierte Cyber-Bedrohungslage und Militärstrategie legen nahe, dass Unternehmen in mehreren wichtigen Wirtschaftssektoren die Überwachung der nordkoreanischen Cyber-Aktivitäten verstärken sollten. Finanzdienstleistungsunternehmen müssen ständig auf der Hut sein hinsichtlich der Ausnutzung ihrer SWIFT-Verbindungen und Anmeldeinformationen, möglicher zerstörerischer Malware-Angriffe und DDoS-Angriffe sowie Bedrohungen für Kundenkonten und -daten. Unternehmen im öffentlichen Auftragswesen und im Verteidigungssektor, insbesondere Unternehmen, die den Einsatz des Terminal High Altitude Area Defense (THAAD) -Systems sowie US-amerikanische oder südkoreanische Operationen auf der Halbinsel unterstützen, sollten sich der erhöhten Bedrohungslage für ihre Netzwerke und Operationen auf der koreanischen Halbinsel bewusst sein.
Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – sollten auf der Hut vor einer breiten Palette von Cyberaktivitäten aus Nordkorea sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.
Dies ist Teil eins einer zweiteiligen Serie über Nordkorea. Im zweiten Teil untersuchen wir Verhaltensmuster und Internetaktivitäten in Nordkorea, darunter die weit verbreitete Verwendung virtueller privater Server (VPS) und virtueller privater Netzwerke (VPN), um das Surfverhalten, Internettransaktionen und andere möglicherweise böswillige Aktivitäten zu verschleiern.
1Zwar gibt es kein perfektes Analogon zu den staatlich geförderten Verbrechen Nordkoreas, doch was den operativen Umfang der Geheimdienste angeht, kommt dem Iran das Land wahrscheinlich am nächsten. Weitere Informationen zu den iranischen Sicherheitsdiensten und Cyberaktivitäten finden Sie unter: http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf, https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ploy, http://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528.
2Nicht alle Maßnahmen zur Mittelbeschaffung im Rahmen dieser „Selbstfinanzierungs“-Politik sind in den jeweiligen Gastländern illegal.
3 Ibison, David. „Pjöngjangs Spionageschiff enthüllt ein dunkles Geheimnis: Beweise vom Schiff deuten darauf hin, dass Nordkorea mit kriminellen Banden zusammenarbeitet, um Drogen in Japan zu verteilen.“ Financial Times, 28. Mai 2003: 12.
Verwandt