>
Research (Insikt)

Nordkoreas herrschende Elite passt ihr Internetverhalten ausländischer Kontrolle an

Veröffentlicht: 25. April 2018
Von: Insikt Group

Eine eingehende Analyse der nordkoreanischen Internetaktivitäten offenbart eine Abkehr von den westlichen sozialen Medien und eine dramatische Zunahme operativer Sicherheitsmaßnahmen.

insikt-group-logo-aktualisiert-3-300x48.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Hinweis zum Geltungsbereich: Die Insikt Group untersuchte die Internetaktivitäten der obersten Führung Nordkoreas, indem sie mithilfe einer Reihe von Tools Daten von Drittanbietern, IP-Geolokalisierung, Routingtabellen des Border Gateway Protocol (BGP) und Open Source Intelligence (OSINT) analysierte. Dies ist eine Fortsetzung unserer Analyse vom Juli 2017. Die für diesen Bericht analysierten Daten erstrecken sich vom 1. Dezember 2017 bis zum 15. März 2018.

Executive Summary

Im Juli 2017 veröffentlichte Recorded Future eine Studie über das Internet-Surfverhalten der vertrauenswürdigsten Führer Nordkoreas, der „0,1 Prozent“ des Nordens. Bei dieser Untersuchung stellten wir fest, dass die herrschende Elite Nordkoreas in die moderne Internet-Gesellschaft eingebunden und technisch versiert war und ein Internet-Nutzungsverhalten aufwies, das dem der Internetnutzer im Westen sehr ähnelte.

Im Dezember beschlossen wir, die Analyse noch einmal aufgreifen zu wollen und stellten fest, dass es wesentliche Veränderungen in der Art und Weise gibt, wie die herrschende Elite Nordkoreas das Internet nutzt. Insbesondere hat die nordkoreanische Führung in den sechs Monaten seit unserer ursprünglichen Analyse westliche soziale Medien nahezu vollständig aufgegeben und ihre operativen Sicherheitsvorkehrungen deutlich verstärkt.

Dieser dramatische Wandel im Verhalten ist wahrscheinlich auf einen oder mehrere der folgenden Faktoren zurückzuführen: 1) zunehmende ausländische Forschung und Aufmerksamkeit im Hinblick auf den Medienkonsum der Nordkoreaner, 2) erneute Durchsetzung des seit April 2016 geltenden offiziellen Verbots dieser westlichen sozialen Mediendienste oder 3) erhöhte operative Sicherheitsmaßnahmen seitens der nordkoreanischen Elite.

Wichtige Urteile

  • Die nordkoreanische Elite migrierte fast vollständig von westlichen sozialen Medien und Diensten zu ihren chinesischen Pendants – Alibaba, Tencent und Baidu.
  • Innerhalb von sechs Monaten steigerte die nordkoreanische Elite ihre Nutzung von Internet-Verschleierungsdiensten um 1.200 Prozent. Hierzu gehört ein dramatischer Anstieg von Diensten wie Virtual Private Networks (VPN), Virtual Private Servers (VPS), Transport Layer Security (TLS) und The Onion Router (Tor).
  • Wir entdeckten zwei weitere Länder, Thailand und Bangladesch, in denen die Heuristik1- Analyse ergab, dass Nordkoreaner wahrscheinlich dort lebten und dort illegalen Einnahmequellen nachgingen. Hinzu kommen acht Länder, die wir 2017 entdeckt haben, darunter Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik, Indonesien und China.
  • Nordkorea setzte den Abbau von Bitcoin fort und begann Ende Januar auch mit dem Abbau von Monero.

Hintergrund

Wie wir bereits im Juli ausführlich dargelegt haben, gibt es in der obersten Führungsriege Nordkoreas einige wenige Personen, denen direkter Zugriff auf das globale Internet gestattet ist. Zwar liegen keine verlässlichen Zahlen über die Zahl der nordkoreanischen Internetnutzer vor, doch schätzen Reporter, dass es sich um „ nur eine sehr kleine Zahl“ oder „ den inneren Zirkel der nordkoreanischen Führung“ oder „ nur ein paar Dutzend Familien“ handelt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers klar: ein vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.

Die nordkoreanische Elite greift auf drei wesentliche Wege auf das globale Internet zu. Wie bei allen mit dem Internet verbundenen Netzwerken gibt es gelegentlich Berichte über böswillige Aktivitäten aus diesen Bereichen. Die Mehrzahl der böswilligen Cyberoperationen Nordkoreas dürfte jedoch aus dem Ausland durchgeführt werden (weitere Informationen hierzu finden Sie weiter unten im Abschnitt „Präsenz im Ausland“).

Die erste Methode erfolgt über die zugewiesene .kp Bereich, 175.45.176.0/22, der auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains wie co.kp, gov.kp und edu.kp sowie etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungsseiten.

Nordkorea-Internetverhalten-1.png

Zeitleiste der Ereignisse im Zusammenhang mit 175.45.176.0/22 Bereich von Juli 2017 bis April 2018.

Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname „KPTC“ ist die Abkürzung für Korea Posts and Telecommunications Co., das staatliche Telekommunikationsunternehmen.

Nordkorea-Internetverhalten-2.png

Zeitleiste der Ereignisse im Zusammenhang mit 210.52.109.0/24 Bereich von Juli 2017 bis April 2018.

Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon aufgelöst wird.

Nordkorea-Internetverhalten-3.png

Die Zeitleiste der Ereignisse im Zusammenhang mit 77.94.35.0/24 reicht von Juli 2017 bis April 2018.

Anmerkung der Redaktion

Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „nordkoreanischem Verhalten“ sprechen, meinen wir die Nutzung des globalen Internets und nicht das nordkoreanische Intranet Kwangmyong, zu dem nur wenige ausgewählte Politiker und die herrschende Elite Zugang haben. Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, denen der Zugriff auf Kwangmyong oder diplomatische und ausländische Einrichtungen in Nordkorea gestattet ist.

Darüber hinaus haben wir diesen Zeitraum vom 1. Dezember 2017 bis zum 15. März 2018 gewählt, weil er eine Übergangsphase darstellt und den innerkoreanischen Dialog im Vorfeld der Olympischen Winterspiele im Februar 2018 in Südkorea intensiviert.

Analyse

Ähnlich wie bei internationalen Nutzern des globalen Internets beschränken sich die Internetaktivitäten der nordkoreanischen Elite größtenteils auf Internetvideos, Online-Spiele und das Surfen im Internet. Eine Analyse von Cisco ergab, dass 77 Prozent des weltweiten Internetverkehrs im Jahr 2017 aus Internetvideos und Online-Spielen bestanden. 70 Prozent der Aktivitäten nordkoreanischer Benutzer bestanden aus Internetvideos oder Online-Spielen, 17 Prozent aus Surfen im Internet, Abrufen von E-Mails und Herunterladen von Daten und 13 Prozent erfolgten in einem virtuellen privaten Netzwerk (VPN) oder waren auf andere Weise verschleiert.

Wandel im Social-Media-Konsum

Die nordkoreanische Führung verbrachte von Dezember bis März etwa genauso viel Zeit in sozialen Medien, beim Einkaufen und auf Suchmaschinen wie im vergangenen Sommer. Allerdings haben sich die von ihnen genutzten Dienste dramatisch verändert.

Nordkorea-Internetverhalten-4.png

Stündliche Aktivität auf acht sozialen Netzwerken, Shopping- und Suchseiten vom 1. Dezember 2017 bis 15. März 2018 (tatsächlich). Die Anbieter werden nach Popularität aufgelistet, von Alibaba (höchste Popularität) bis Instagram (niedrigste Popularität).

Im Juli zeigten unsere Daten, dass die nordkoreanische Führung die westlichen sozialen Medien, insbesondere Facebook, Google und Instagram, stark nutzte. Tatsächlich war Facebook der mit Abstand beliebteste Dienst; die tägliche tatsächliche Nutzung war mehr als doppelt so hoch wie bei allen chinesischsprachigen Diensten.

Das Auffälligste an der Social-Media-Aktivität im Datensatz von Dezember 2017 bis März 2018 ist das nahezu vollständige Fehlen von Facebook- und Instagram-Aktivitäten und der deutliche Anstieg bei der Nutzung chinesischer Dienste. Die Aktivität auf Facebook und Instagram ist so gering, dass sie im obigen Diagramm nicht sichtbar ist.

Innerhalb von nur sechs Monaten wanderten die nordkoreanischen Eliten fast vollständig von westlichen sozialen Medien und Diensten zu Alibaba, Tencent und Baidu ab. Die restlichen westlichen Dienste in den Top Acht wurden hauptsächlich für das Streamen von Inhalten und nicht für soziale Netzwerke genutzt.

Diese Verhaltensänderung könnte das Ergebnis der zunehmenden ausländischen Forschung und Aufmerksamkeit hinsichtlich des Medienkonsums der Nordkoreaner, der erneuten Durchsetzung des seit April 2016 geltenden offiziellen Verbots dieser westlichen sozialen Mediendienste oder erhöhter operativer Sicherheitsmaßnahmen durch die nordkoreanische Elite sein.

Muster des Lebens

Die nordkoreanischen Führer weisen in diesem Zeitraum deutliche Muster in der täglichen Nutzung auf, die denen im Sommer 2017 ähneln. Im Allgemeinen liegen die Zeiten mit der höchsten Aktivität weiterhin zwischen etwa 9.00 Uhr und 20.00 oder 21.00 Uhr, wobei Samstag und Sonntag die Tage mit durchweg höchster Aktivität sind. Die Aktivitätsspitzen am späten Samstagabend und frühen Sonntagmorgen bestanden hauptsächlich aus Content-Streaming oder Online-Gaming, was darauf schließen lässt, dass sich die nordkoreanische Elite an den Wochenenden Freizeit gönnt.

Nordkorea-Internetverhalten-5.png

Tägliche Internetnutzung pro Stunde (kein Durchschnitt).

Gaming als gewinnorientiertes Unternehmen

Eine Reihe von Interviews mit Überläufern, die seit etwa 2012 von Reportern, Wissenschaftlern und Forschern geführt wurden, haben der Außenwelt einen Einblick in die Ziele und die personelle Besetzung der nordkoreanischen Cyberoperationen gegeben. Überläufer haben das Bild eines nordkoreanischen Operationsapparats gezeichnet , der hauptsächlich aus in Einrichtungen im Ausland lebenden Bedienern und Programmierern besteht und dessen übergeordnete Aufgabe darin besteht, Einnahmen für das Kim-Regime zu generieren.

Dieses operative Modell , Nordkoreaner zur Durchführung von Cyberoperationen ins Ausland zu schicken, wird besonders relevant, wenn man die Art und Weise, wie diese Hacker Geld für das Regime verdienten, mit dem von uns analysierten Webverkehr der nordkoreanischen Elite vergleicht. Überläufer haben detailliert dargelegt, in welchem Ausmaß das Fälschen und Betrügen von Video- und Onlinespielen sowie deren Nutzern für die Einnahmequellen des Kim-Regimes von entscheidender Bedeutung geworden ist. Ein Überläufer, der mit Dutzenden anderer nordkoreanischer Hacker in einem Haus in China gearbeitet hatte, berichtete, dass diese Männer fast 100.000 Dollar pro Jahr verdienen mussten und 80 Prozent davon an das Kim-Regime überwiesen wurden. Um dieser Anforderung nachzukommen, erstellten die Männer gefälschte Videospiele, Bots, die digitale Objekte wie Waffen, Punkte und Ausrüstung stahlen und diese mit Gewinn weiterverkauften, sowie neue Schwachstellen in Spielesoftware entdeckten und verkauften.

Die folgende Liste stellt eine umfassendere Nutzung von Online-Spielen durch die nordkoreanische Elite seit Juli 2017 dar und könnte Forschern Hinweise darauf geben, welche Spiele nordkoreanische Hacker im Ausland ausnutzen, um Einnahmen für das Regime zu generieren. Es ist nicht klar, welcher Anteil dieser Art von Einnahmen aus dem Territorium Nordkoreas stammt. Es ist jedoch klar, dass ausländische Betreiber oft Bots oder Gaming-Hacks für Plattformen und Dienste entwickelten, mit denen sie bereits vertraut waren.

  • 0AD: Aufsteigendes Imperium
  • Pik-Ass
  • Beben
  • Die Marathon-Trilogie-Spiele
  • Bewaffneter Angriff 1-3
  • World of Warcraft
  • Würfel 2: Sauerbraten
  • Diablo 2
  • League of Legends
  • Zweites Leben
  • Konten und Spiele auf Steam

Die nordkoreanische Elite nutzt außerdem zahlreiche Spielkonsolen oder -systeme, darunter Nintendo und PlayStation, sowie Spielespeicher- und Kontoanbieter wie Steam und Blizzard.

Präsenz im Ausland

Im Rahmen unserer Untersuchung im Juli haben wir eine Heuristik entwickelt, um bedeutende physische und virtuelle Präsenzen Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik berücksichtigte überdurchschnittliche Internetaktivitäten Nordkoreas von und zu diesen Ländern, aber auch das Durchsuchen und Verwenden zahlreicher lokaler Ressourcen wie Nachrichtenagenturen, Bezirks- oder Stadtverwaltungen, lokaler Bildungseinrichtungen und mehr.

Mithilfe dieser Technik konnten wir acht Länder identifizieren, in denen Nordkoreaner lebten oder sich aufhielten, darunter Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik, Indonesien und China. Für diesen Datensatz von Dezember bis März haben wir die Daten für diese acht Länder erneut untersucht und Beispiele von Ländern aufgenommen, die nicht in das Muster passten, um eine höhere Genauigkeit der analytischen Schlussfolgerungen zu erreichen.

Nordkorea-Internetverhalten-6.png

Wichtigste Exportziele für Nordkorea im Jahr 2015 (Daten mit freundlicher Genehmigung des MIT Observatory of Economic Complexity). China, Indien, Indonesien, Thailand, Bangladesch, Nepal (als Teil des „übrigen Asiens“) und Mosambik stehen auf der Liste der wichtigsten Exportziele.

Von den acht im letzten Sommer ermittelten Ländern entsprechen lediglich Malaysia und Neuseeland nicht mehr der Verhaltensheuristik, allerdings auf leicht unterschiedliche Weise.

Während das Datenverkehrsvolumen in Neuseeland relativ konstant blieb, entsprach die Aktivität nicht mehr der zweiten Hälfte der Heuristik (lokale Ressourcen und mehr). Stattdessen schien es sich in erster Linie um einen Knotenpunkt für nordkoreanische BitTorrent-, Video-Streaming- und Gaming-Dienste zu handeln. Über einen Zeitraum von drei Tagen Anfang Januar versuchte eine IP der neuseeländischen Streitkräfte wiederholt, eine Verbindung mit nordkoreanischen Netzwerken herzustellen. Die Aktivität war wiederholt und laut, jedoch nicht auf einem Niveau, das eine Störung der nordkoreanischen Internetdienste verursacht hätte.

Möglicherweise reagierte Neuseeland auf einige der operativen Aktivitäten Nordkoreas mit Maßnahmen, die es im August 2017 ergriff, indem es nordkoreanischen Akademikern Visa verweigerte und die Sanktionsregime der Vereinten Nationen und der USA unterstützte .

In Malaysia ist das Verkehrsaufkommen zwar deutlich zurückgegangen, es gibt dort aber offensichtlich auch einige Nordkoreaner. So beobachten wir beispielsweise, dass von Kuala Lumpur aus wiederholt offizielle E-Mail-Konten Nordkoreas überprüft werden. Allerdings ist der Umfang der lokalen nordkoreanischen Aktivitäten wesentlich geringer als im vergangenen Sommer.

Die Beziehungen zwischen Malaysia und Nordkorea haben sich seit dem letzten Sommer und infolge der Ermordung Kim Jong-nams deutlich verschlechtert. Malaysia berief seinen Botschafter aus Pjöngjang ab, verhängte Beschränkungen für nordkoreanische Gastarbeiter, Unternehmen und Flüge, verhängte ein Reiseverbot und verlangt möglicherweise von Nordkorea, die Größe seiner Mission in Kuala Lumpur zu reduzieren.

Zusätzlich zu den verbleibenden sechs Ländern – Indien, Nepal, Kenia, Mosambik, Indonesien und China – wiesen die Internetaktivitäten zweier weiterer Länder das gleiche Verhaltensmuster auf: Thailand und Bangladesch. Wir gehen davon aus, dass diese acht Länder wissentlich oder unwissentlich Nordkoreaner beherbergen. Diese Nordkoreaner betreiben wahrscheinlich illegale Einnahmequellen mit der Absicht, internationale Sanktionen zu umgehen oder sich eine höhere Bildung anzueignen, um die nordkoreanischen Atomwaffen- und Cyberoperationsprogramme voranzutreiben.

Im ersten Teil unserer Untersuchung zu den strategischen Beweggründen für die Durchführung von Cyberoperationen haben wir einige der umfangreichen kriminellen Operationen im Ausland detailliert beschrieben, mit denen das Kim-Regime Gelder für die Raketen- und Atomentwicklungsprogramme des Landes erhält.

Nordkoreas illegale Netzwerke zur Generierung von Einnahmen wurden von Forschern, Reportern und Akademikern ausgiebig untersucht. Diese und zahlreiche weitere Studien zeigen, wie Nordkorea seine diplomatischen Einrichtungen im Ausland, die staatliche Restaurantkette und seine im Ausland lebenden Bürger nutzt, um illegale Einnahmen zu generieren und Training für Atom- und Cyberoperationen zu ermöglichen.

Thailand und Bangladesch beherbergen staatlich geführte nordkoreanische Restaurants und diplomatische Niederlassungen mit Verbindungen zu kriminellen Machenschaften. Zudem sind nordkoreanische Investitionen in Thailand und Bangladesch zulässig. Die von uns entwickelte und angewendete digitale Signatur ist lediglich ein weiterer Datenpunkt, der unsere Zuversicht hinsichtlich der Aufnahme dieser beiden Länder in diese Liste stärkt.

Hohes Volumen, aber keine Signaturübereinstimmung

Mehrere Länder zeigten ein hohes Aktivitätsvolumen im Vergleich zu den nordkoreanischen Reichweiten, erfüllten jedoch nicht die zweite bzw. lokale Hälfte der Heuristik. Insbesondere unter den Top-10-Ländern wurden die meisten dieser Länder von nordkoreanischen Benutzern lediglich für Video-Streaming, Content-Delivery oder VPN/VPS-Dienste genutzt.

Nordkorea-Internetverhalten-7.png

Top 10 Länder mit der höchsten Internetaktivität von oder nach Nordkorea (tatsächliche Zahlen).

Interessanterweise scheinen die Video-Streaming- und Content-Delivery-Netzwerke von Alibaba den aus Nordkorea stammenden Datenverkehr über US-Server zu leiten, was der Haupttreiber der US-Aktivitäten war. Im Falle der Niederlande und Deutschlands wurde die Infrastruktur beider Länder massiv ausgenutzt, um Aktivitäten zu verschleiern, hauptsächlich durch VPN- oder VPS-Dienste und Tor-Exit-Knoten.

Dies steht in krassem Gegensatz zum letzten Sommer, als weniger als ein Prozent aller nordkoreanischen Internetaktivitäten in irgendeiner Form verschleiert oder verborgen wurden. Die Gründe für diesen Wechsel zu europäischen Anbietern sind nicht klar, wir gehen jedoch davon aus, dass die Umsetzung der DSGVO und der europäische Fokus auf den individuellen Datenschutz im Internet Gründe dafür sein könnten.

Kryptowährungsaktivität

Seit unseren ersten Berichten , dass Nordkorea seit mindestens Mai 2017 Bitcoins schürft, ist das Interesse des Nordens an Kryptowährungen und seine Nutzung dieser Kryptowährungen explosionsartig gestiegen. Im Jahr 2017 beging Nordkorea zahlreiche Diebstähle von südkoreanischen Kryptowährungsbörsen, wurde mit dem WannaCry-Angriff im Mai in Verbindung gebracht und hat mit dem Mining von Monero begonnen.

In diesem neuen Datensatz sehen wir ein erweitertes Interesse der nordkoreanischen Eliten an Kryptowährungen und eine Fortsetzung des Bitcoin-Mining. Obwohl unsere Daten uns keinen Einblick in den vollen Umfang der Bitcoin-Aktivitäten Nordkoreas geben, konnten wir eine Fortsetzung der Mining-Aktivitäten feststellen, die wir im Mai vom 24. Januar bis zum Ende dieses Datensatzes am 15. März beobachtet haben. Das Verkehrsaufkommen und die Kommunikationsrate mit Peers waren dieselben wie im letzten Sommer, wir konnten jedoch immer noch keine Hash-Rate oder keinen Build bestimmen. Dieser Mining-Aufwand scheint klein angelegt und auf wenige Maschinen beschränkt zu sein, ähnlich der Aktivität im letzten Sommer.

Wir haben auch einen wahrscheinlich separaten Benutzer gesehen, der die Bitcoind- Schnittstelle verwendet, die eine lokale oder Fernsteuerung und Integration mit anderer Software oder in größere Zahlungssysteme ermöglicht. Dies ist ein starker Hinweis darauf, dass nordkoreanische Benutzer Bitcoin-Transaktionen durchführen, wir können jedoch nicht bestätigen, was gekauft wurde, welche Wallets damit verbunden waren oder wie viele Münzen der Benutzer besaß.

Zusätzlich zu der oben beschriebenen Bitcoin-Aktivität beobachteten wir ab dem 29. Januar Monero-Mining aus nordkoreanischen Netzwerken. Diese Aktivität dauerte bis zum Ende unseres Datensatzes am 15. März an. Das Monero-Mining ähnelt dem Bitcoin-Mining darin, dass es die gleiche „Proof-of-Work“-Methode verwendet, bei der der Hash gefunden werden muss, der einem bestimmten Zielwert entspricht.

Monero unterscheidet sich von Bitcoin dadurch, dass es wirklich anonym ist. Alle Transaktionen werden innerhalb der Blockchain verschlüsselt, sodass nur der Absender oder Empfänger einer Transaktion von der anderen Kenntnis haben kann. Monero unterscheidet sich auch dadurch, dass es für den Abbau durch Maschinen mit geringerer Kapazität konzipiert wurde und seine Abbau-Ports tendenziell mit der Kapazität skalieren. Beispielsweise verwenden viele Miner Port 3333 für Low-End-Maschinen und Port 7777 für High-End-Maschinen mit höherer Kapazität. In diesem Fall haben wir das Mining über Port 7777 beobachtet, was darauf schließen lässt, dass eine Maschine mit höherer Kapazität das Mining durchführte und auch eine höhere Hash-Rate aufwies. Die von uns beobachteten Portnummern und die Aktivität reichten nicht aus, um die Hash-Rate zu bestimmen. Wir konnten lediglich feststellen, dass Mining stattfand.

Verschleierte Aktivität

Ein weitaus höherer Prozentsatz – fast 13 Prozent – der Internetaktivitäten der Führungsebene wurde in diesem Zeitraum auf die eine oder andere Weise verschleiert, im Gegensatz zu weniger als einem Prozent Aktivität im letzten Sommer. Von April bis Juli 2017 wurden weniger als ein Prozent aller nordkoreanischen Internetaktivitäten verschleiert. Im Laufe von etwa sechs Monaten hat die nordkoreanische Führung die Art und Weise, wie sie im Internet surft, sucht und Inhalte abruft, erheblich verändert.

Nordkorea-Internetverhalten-8.png

Prozentualer Anteil der Nutzung von Verschleierungsdiensten durch die nordkoreanische Führung insgesamt.

Das Point-to-Point Tunneling Protocol (PPTP) war der am häufigsten genutzte Verschleierungsdienst, gefolgt von HTTPS (über Port 443) oder sicherem Surfen und dem IPSec-VPN.

Von April bis Juli 2017 hat die nordkoreanische Führung weniger als ein Prozent aller ihrer Internetaktivitäten verschleiert – dazu gehörten das Surfen mit TLS , die Verwendung von VPN oder VPS und anderen Tunnelprotokollen und sogar die Verwendung von Tor. Bis Dezember hatten nordkoreanische Benutzer ihr Browserverhalten grundlegend geändert und ihre Nutzung von Verschleierungsdiensten um das Zwölffache erhöht.

Wenn man bedenkt, dass 70 Prozent der nordkoreanischen Internetaktivität aus Internetvideos oder Online-Spielen besteht, stellen 13 Prozent einen beträchtlichen Anteil des verbleibenden Webverkehrs dar, was unseren Blick auf die Aktivitäten der Führung noch weiter einschränkt.

Netzwerkanalyse

Am 1. Oktober 2017 beobachteten Forscher , dass das russische Telekommunikationsunternehmen Trans TeleCom (AS 20485) in den Internet-Routing-Datenbanken für den primären IP-Bereich Nordkoreas, 175.45.176.0/22, auftauchte. Vor Oktober 2017 wurde Nordkoreas wichtigste Verbindung zum globalen Internet vom chinesischen Telekommunikationsunternehmen China Unicom (AS4837) bereitgestellt.

Zu unterschiedlichen Zeiten am 1. Oktober waren drei der vier Subnetze von 175.45.176.0/22 (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 und 175.45.179.0/24) wurden von Trans Telecom geroutet , bis die Verbindung stabil war und dann nur noch die 175.45.178.0/24 Ein Subnetz wurde weiterhin über die Infrastruktur von Trans Telecom übertragen, die anderen drei nutzten China Unicom.

Von Dezember 2017 bis 15. März 2018 nur die 175.45.178.0/24 Subnetz wurde immer über Trans Telecom geleitet, während die anderen drei weiterhin über die Infrastruktur von China Unicom geleitet wurden. Obwohl Nordkorea durch die Trans-Telecom-Route über einen alternativen Internetzugang verfügt, wird dieser offenbar nur für etwa ein Drittel der gesamten Internetaktivitäten Nordkoreas genutzt.

Nordkorea-Internetverhalten-9.png

Nutzung jedes Subnetzes innerhalb des primären Bereichs von 175.45.176.0/24 als Prozentsatz des gesamten Datenverkehrs.

Das Subnetz 176 erzeugt die meiste Aktivität, da es die überwiegende Mehrheit der öffentlich zugänglichen Websites Nordkoreas hostet. Darüber hinaus besteht dieses Subnetz auch aus einer Reihe gemeinsam genutzter Server, die sowohl Websites hosten als auch ausgehenden Datenverkehr weiterleiten, sowie aus Proxys und Lastenausgleichsmodulen. Unsere Analyse zeigt beispielsweise, dass Nordkorea einen F5 BIG-IP- Load Balancer verwendet, um ausgehenden Datenverkehr auf mindestens acht IP-Adressen in diesem Subnetz zu verteilen. Lastenausgleichsmodule verwalten den eingehenden und ausgehenden Internetverkehr und verteilen ihn auf einen bestimmten Serverbereich, um die Kapazität und Netzwerkzuverlässigkeit für gleichzeitige Benutzer zu erhöhen.

Für viele, die versucht haben, auf eine der in Nordkorea gehosteten Websites zuzugreifen, mag dies überraschend klingen, da das Laden dieser Seiten bekanntermaßen langsam ist und häufig mehrere Versuche erforderlich sind, bevor der Inhalt angezeigt wird. Unsere Analyse zeigt, dass dieser Lastausgleich in erster Linie für die gemeinsam genutzten Server genutzt wird und seine Leistung wahrscheinlich sowohl durch das Fehlen eines redundanten Systems als auch durch die Belastung der begrenzten Bandbreite aufgrund der Menge an Video-Streaming und Online-Gaming beeinträchtigt wird.

Dies bedeutet, dass sich hinter jeder dieser IP-Adressen wahrscheinlich mehrere physische Computer verbergen, obwohl nicht genau bekannt ist, wie viele das sind. Das Volumen der Internetaktivität, das wir von und zu nordkoreanischen IP-Bereichen beobachtet haben, ist ziemlich gering, insbesondere für ein nationales Netzwerk. Da nur ein so kleiner Prozentsatz der Bevölkerung Zugriff auf das globale Internet hat, entspricht die Anzahl der Computer hinter diesen Subnetzen eher dem Äquivalent eines mittelgroßen Unternehmens als einem Land mit der entsprechenden Bevölkerungszahl (ungefähr 25 Millionen).

Für die 210.52.109.0/24 Bereich und Routing-Tabellen bestätigen, dass der Zugriffspunkt von China Netcom unter AS9929 verwaltet wird. Aus den Routingdaten geht außerdem hervor, dass Daten aus diesem Bereich in mindestens der Hälfte der Fälle auch über eine Sprint zugewiesene Autonomous System Number (AS oder ASN), AS1239, geroutet werden. Es ist nicht klar, ob dieser Weg tatsächlich über die physische Infrastruktur der Vereinigten Staaten führt oder ob er das Ergebnis einer gemeinsamen AS-Mitgliedschaft ist.

Im Oktober 2017 führten Sicherheitsforscher eines Antivirenunternehmens eine Untersuchung zu diesem 175.45.176.0/22 durch Bereich und spekulierte, dass bestimmte IP-Adressen ausländischen Besuchern zugewiesen und speziell für deren Internetzugang verwendet werden. Dies basierte auf der Beobachtung von „Web-Verkehr“ von dreizehn IP-Adressen im Bereich 175.45.178.0/24 Subnetz.

Unsere Analyse zeigt, dass der „Web-Verkehr“ von nordkoreanischen IP-Adressen nicht ausreicht, um die Nutzung durch Ausländer zu bestimmen. Andernfalls könnte dieser gesamte /22-Bereich als ausländischen Besuchern zugeordnet angesehen werden. Wir haben Internet-Browsing, Video-Streaming, Online-Gaming, VPN-Nutzung und andere Arten von Datenverkehr von den dreizehn identifizierten IP-Adressen festgestellt. Dieser Verkehr machte weniger als 0,5 Prozent unseres gesamten beobachteten Verkehrs aus und wir haben ihn aus unserer Gesamtanalyse ausgeschlossen, da er statistisch unbedeutend war.

Ausblick

Bereits im Juli argumentierten wir, dass unsere Untersuchungen gezeigt hätten, wie stark die herrschende Elite Nordkoreas mit der modernen Internet-Gesellschaft vernetzt sei und dass die internationalen Sanktionen nicht ausgereicht hätten, um Nordkorea von der Außenwelt zu isolieren. Darüber hinaus erklärten wir, dass neue Instrumente und Beziehungen erforderlich seien, um einen nachhaltig negativen Einfluss auf das Kim-Regime auszuüben.

In den Monaten seit diesem ersten Bericht haben wir substanzielle Veränderungen sowohl in der Art und Weise festgestellt, wie die nordkoreanische Elite das Internet nutzt, als auch in der Vielfalt der internationalen Beteiligung an Sanktionen und dem Druck auf das Kim-Regime. In weniger als einem halben Jahr hat die nordkoreanische Führung die von ihr genutzten Internetdienste und ihr Online-Verhalten grundlegend geändert, um die Anonymität zu erhöhen. Sie haben Kryptowährungen als Mittel zur Umgehung von Sanktionen genutzt und versucht, Gelder von Finanzinstituten weltweit zu stehlen.

Die nordkoreanische Elite der Internetnutzer passt sich ihrer veränderten digitalen Umgebung an, während die physischen Sanktionen immer strenger werden und Koalitionen von Staaten ihre Aktivitäten mit dem Kim-Regime einstellen. Unsere Einschätzung vom Juli, dass neue Instrumente erforderlich sind, die sich nicht auf das territoriale Nordkorea konzentrieren, um einen nachhaltigen negativen Einfluss auf das derzeitige Kim-Regime zu erzielen, gilt jedoch weiterhin. Das Expertengremium der Vereinten Nationen zu Nordkorea konzentriert sich weiterhin stark auf den Diebstahl militärischer Geheimnisse durch das Internet, und die US-Sanktionen haben sich bislang nicht mit Cyber-Operationen befasst.

Die Breite der Internetnutzung Nordkoreas – vom Surfen der politischen Führung über die Erzielung von Einnahmen bis hin zu taktischen Cyberoperationen – zeigt, wie unverzichtbar dieses Medium für das Kim-Regime ist. Zu den internationalen Bemühungen, die Aktivitäten und den Handlungsspielraum dieses Schurkenstaates einzuschränken, müssen auch Sanktionen oder Strafmaßnahmen gegen die Cyber-Operationen Nordkoreas gehören.

Für Cybersicherheitsexperten und Netzwerkverteidiger unterstreicht dieser Wandel im Internetverhalten der Führung weiterhin, wie komplex die Verteidigung gegen böswillige nordkoreanische Cyberaktivitäten sein kann. Wir empfehlen Finanzdienstleistungsunternehmen, Banken, Kryptowährungsbörsen, Benutzern und allen, die den THAAD-Einsatz des US-amerikanischen und südkoreanischen Militärs sowie die Operationen auf der Halbinsel unterstützen, weiterhin höchste Wachsamkeit und Bewusstsein für die erhöhte Bedrohungslage in ihren Netzwerken walten zu lassen.

Ebenso sollten Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – vor einer breiten Palette von Cyberaktivitäten aus Nordkorea auf der Hut sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.

1Bei der heuristischen Analyse handelt es sich um einen Problemlösungsansatz, der durch methodische Annäherung ein Analyseergebnis ermittelt, das auf der Anwendung mehrerer Kriterien auf die zugrunde liegenden Daten beruht. In diesem Fall handelt es sich um das Ergebnis einer eingehenden Analyse eines großen Datensatzes in Kombination mit einer genauen Kenntnis des wahrscheinlichen Handlungsumfelds im Ausland lebender nordkoreanischer Staatsangehöriger.

2Acht ist keine magische Zahl – es scheint lediglich die Anzahl der Länder zu sein, in denen das Verhalten zur Signatur passt.

Verwandt