>
Research (Insikt)

Nordkoreas herrschende Elite ist nicht isoliert

Veröffentlicht: 25. Juli 2017
Von: Insikt Group

insikt-group-logo-aktualisiert-3-300x48.png

Eine eingehende Analyse der nordkoreanischen Internetaktivitäten offenbart eine informierte, moderne und technisch versierte herrschende Elite.

Klicken Sie hier, um die komplette Analyse als PDF herunterzuladen.

Executive Summary

Dies ist Teil zwei unserer Serie über Nordkorea. Im ersten Teil mit dem Titel „ Nordkorea ist nicht verrückt“ haben wir aufgezeigt, dass die nordkoreanischen Cyber-Akteure weder verrückt noch irrational sind: Sie verfügen lediglich über einen größeren operativen Spielraum als die meisten anderen Geheimdienste.

Hier erweitern wir unsere Analyse durch unseren Geheimdienstpartner Team Cymru und führen eine umfassende Studie durch, die einzigartige Erkenntnisse darüber liefert, wie die nordkoreanische Führung und die herrschende Elite das Internet nutzen und was uns das über ihre Pläne und Absichten verraten kann.

Unsere Analyse zeigt, dass die begrenzte Zahl nordkoreanischer Führer und herrschender Eliten mit Internetzugang aktiv in westlichen und populären sozialen Medien aktiv ist, regelmäßig internationale Nachrichten liest, viele derselben Dienste wie Video-Streaming und Online-Gaming nutzt und, was am wichtigsten ist, weder von der Welt im Allgemeinen noch von den Auswirkungen der Aktionen Nordkoreas auf die Staatengemeinschaft abgekoppelt ist. Darüber hinaus sind wir zu folgendem Schluss gekommen:

  • Versuche, die nordkoreanische Elite und Führung von der internationalen Gemeinschaft zu isolieren, scheitern. Tatsächlich unterscheiden sich ihre Internetaktivitäten in vielerlei Hinsicht nicht groß von denen der meisten Westler.
  • Der untersuchte Datensatz legt nahe, dass die allgemeine Internetaktivität in Nordkorea entgegen landläufigen Hypothesen möglicherweise keine Frühwarnung vor einer strategischen Militäraktion darstellt. Falls es einen Zusammenhang zwischen den Aktivitäten Nordkoreas und den Raketentests gibt, wird dieser durch das Verhalten der Führung und der herrschenden Elite im Internet nicht deutlich gemacht.
  • Nordkorea nutzt für seine Cyber-Operationen keine territorialen Ressourcen und die meisten vom nordkoreanischen Staat geförderten Aktivitäten werden wahrscheinlich aus dem Ausland verübt, was eine Möglichkeit bietet, asymmetrischen Druck auf das Kim-Regime auszuüben.

Diese Analyse zeigt gemeinsam mit dem ersten Teil unserer Blogserie, dass es wahrscheinlich noch andere Druckpunkte seitens des Regimes gibt und dass daher auch andere Instrumente, Verfahren und Partner nötig sind, die auf dem Weg zu einer Denuklearisierung Nordkoreas in Erwägung gezogen werden könnten.

Hintergrund

Nordkorea-Internetaktivität-1.jpg

Südkoreanische Medien gehen davon aus, dass es in Nordkorea bis zu vier Millionen Mobilgeräte geben könnte. Obwohl Mobilgeräte in Nordkorea weit verbreitet sind, hat die überwiegende Mehrheit der Nordkoreaner keinen Zugang zum Internet. An normale Nordkoreaner verkaufte Mobilgeräte (siehe unten das Bild eines in Nordkorea hergestellten Geräts) verfügen über minimale 3G-Dienste, darunter Sprache, Textnachrichten und Bild-/Videonachrichten, und können nur über das Netzwerk des nordkoreanischen Providers Koryolink betrieben werden.

Einer kleinen Minderheit von Benutzern, etwa Universitätsstudenten, Wissenschaftlern und ausgewählten Regierungsbeamten, ist der Zugriff auf das staatliche Intranet Nordkoreas über gemeinsam genutzte Computer an Universitäten und Internetcafés gestattet. Slate beschrieb das heimische Intranet folgendermaßen:

Das Netzwerk mit dem Namen „Kwangmyong“ verbindet derzeit Bibliotheken, Universitäten und Regierungsbehörden und findet langsam seinen Weg in die Privathaushalte wohlhabenderer Bürger. Es beherbergt eine Reihe inländischer Websites, ein Online-Lernsystem und E-Mail. Die Websites selbst bieten keinen großen Aufsehen: Sie gehören dem nationalen Nachrichtendienst, Universitäten, staatlichen IT-Servicezentren und einer Handvoll anderer offizieller Organisationen. Es gibt anscheinend auch eine Kochseite mit Rezepten für koreanische Gerichte.

Nordkorea-Internetaktivität-2.jpg

Computerlabor an der Kim-Il-Sung-Universität. Quelle: Sophie Schmidt.

Zu den wenigen Auserwählten, die das Intranet des Landes nutzen dürfen, gehört eine noch kleinere Gruppe der ranghöchsten Politiker und der herrschenden Elite, denen ein direkter Zugang zum weltweiten Internet gewährt wird. Zwar liegen keine verlässlichen Zahlen zur Zahl der nordkoreanischen Internetnutzer vor, doch schätzen Reporter, dass es sich um „ nur eine sehr kleine Zahl“ über „ den inneren Zirkel der nordkoreanischen Führung“ bis hin zu „nur einigen Dutzend Familien“ handelt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers klar: vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.

Die nordkoreanische Elite greift im Wesentlichen auf drei Wege auf das Internet zu.

Erstens über die ihnen zugewiesenen .kp Bereich 175.45.176.0/22, der auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains (wie etwa co.kp, gov.kp und edu.kp) und etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungsseiten.

Nordkorea-Internetaktivität-3.png

Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname „KPTC“ ist die Abkürzung für Korea Posts and Telecommunications, Co, das staatliche Telekommunikationsunternehmen.

Nordkorea-Internetaktivität-4.png

Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon aufgelöst wird.

Nordkorea-Internetaktivität-5.png

Anmerkung der Redaktion

Zwei wichtige Hinweise: Erstens: Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „Verhalten“ sprechen, meinen wir die Nutzung des Internets (nicht des nordkoreanischen Intranets Kwangmyong) durch die wenigen ausgewählten Führer und die herrschende Elite, denen der Zugriff gestattet ist. Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, denen der Zugang zu Kwangmyong oder diplomatischen und ausländischen Einrichtungen in Nordkorea gestattet ist.

Zweitens haben wir diesen Zeitraum vom 1. April bis 6. Juli 2017 gewählt, weil er einen der Zeiträume mit der höchsten Raketenstart- und Testaktivität darstellt und auch, weil die Daten für diesen Zeitraum die größte Tiefe und Genauigkeit aufweisen. Obwohl uns Daten bis zum 1. Januar 2017 vorliegen, ist dieser Datensatz (1. Januar bis 31. März) weitaus weniger robust.

Analyse

In den frühen Morgenstunden des 1. April 2017, als viele Menschen im Westen gerade aufwachten und ihre E-Mails und sozialen Medien checkten, begann eine kleine Gruppe nordkoreanischer Eliten den Tag auf ganz ähnliche Weise. Einige checkten die Nachrichten auf Xinhua oder der People's Daily, andere loggten sich in ihre E-Mail-Konten bei 163.com ein und wieder andere streamten chinesischsprachige Videos auf Youku und durchsuchten Baidu und Amazon.

Die Analyse dieses zeitlich begrenzten Datensatzes durch Recorded Future hat uns neue Einblicke in dieses isolierte Land und das herrschende Regime gegeben. Unsere Analyse zeigt, dass die wenigen nordkoreanischen Führer und herrschenden Eliten mit Internetzugang sich viel aktiver und engagierter in der Welt, der Popkultur, den internationalen Nachrichten und bei modernen Diensten und Technologien engagieren, als viele außerhalb Nordkoreas bisher angenommen hatten. Die nordkoreanische Führung ist sich der Welt und den Konsequenzen ihres Handelns durchaus bewusst.

Diese Datenquelle ist zwar nicht absolut, bietet uns jedoch ein detailliertes Bild der nordkoreanischen Internetnutzung und -aktivität im Zeitraum von April bis Juli 2017, wodurch wir eine Reihe einzigartiger neuer Erkenntnisse gewinnen können.

Die Daten zeigen, dass die Führung und die herrschende Elite Nordkoreas in die moderne Internetgesellschaft eingebunden sind und sich wahrscheinlich der Auswirkungen bewusst sind, die ihre Entscheidungen hinsichtlich Raketentests, Unterdrückung der Bevölkerung, krimineller Aktivitäten und vielem mehr auf die internationale Gemeinschaft haben. Diese Entscheidungen werden weder isoliert noch auf der Grundlage schlechter Informationen getroffen, wie viele glauben.

Nutzungsmuster spiegeln westliche Nutzer wider

Die Internetaktivitäten der nordkoreanischen Elite und Führung unterscheiden sich in vielerlei Hinsicht nicht groß von denen der meisten westlichen Länder. Dies trotz der äußerst geringen Zahl von Menschen mit Internetzugang, der relativ geringen Anzahl an Computern und IP-Bereichen, von denen aus man darauf zugreifen kann, der sprachlichen, kulturellen, sozialen und rechtlichen Barrieren und der schieren Feindseligkeit gegenüber dem Rest der Welt.

Ähnlich wie Nutzer in der entwickelten Welt verbringen Nordkoreaner beispielsweise einen Großteil ihrer Zeit online, indem sie Social-Media-Konten prüfen, im Internet suchen und bei Amazon und Alibaba stöbern.

Facebook ist das am häufigsten genutzte soziale Netzwerk der Nordkoreaner, obwohl es Berichte gibt, wonach Facebook, Twitter, YouTube und zahlreiche andere im April 2016 von der nordkoreanischen Zensurbehörde gesperrt wurden.

Nordkorea-Internetaktivität-6.png Stündliche Aktivität auf acht sozialen Netzwerken, Shopping- und Suchseiten vom 1. April bis 6. Juli 2017 (tatsächlich). Die Anbieter werden nach Beliebtheit aufgelistet, von Facebook (höchste Beliebtheit) bis Apple (niedrigste Beliebtheit).

Darüber hinaus weisen die Nordkoreaner in diesem Zeitraum auch ausgeprägte Muster in der täglichen Nutzung auf. An Wochentagen ist die Aktivität von etwa 9:00 Uhr bis 20:00 oder 21:00 Uhr am höchsten. Montag und Dienstag sind durchweg die Tage mit der höchsten Aktivität.

Nordkorea-Internetaktivität-7.png Tägliche Internetnutzung pro Stunde (kein Durchschnitt).

Keine Frühwarnung für Raketenaktivitäten

Viele Forscher und Wissenschaftler haben die Hypothese aufgestellt, dass zwischen der Cyberaktivität Nordkoreas und Raketenstarts bzw. -tests ein Zusammenhang bestehen könnte. Insbesondere, dass wir aufgrund der Cyber- oder Internetaktivitäten Nordkoreas möglicherweise in der Lage sind, einen Raketentest vorherzusagen oder vorherzusehen. Obwohl es uns nicht möglich war, das Ausmaß der böswilligen Cyberaktivitäten Nordkoreas zu untersuchen, scheint es für diesen begrenzten Zeitraum anhand dieses Datensatzes keinen Zusammenhang zwischen der allgemeinen Internetaktivität Nordkoreas und Raketentests oder -starts zu geben.

Nordkoreanische Botschaft in Indien

Tägliche tatsächliche Internetaktivität vom 1. April bis 6. Juli 2017. Rote Balken zeigen die Daten nordkoreanischer Raketentests oder -starts an.

Die aktuelle Datenlage ist zu kurz, um daraus langfristige Schlüsse über die Nützlichkeit von Internetaktivitäten als Warninstrument für Raketentests ziehen zu können. Unsere Analyse legt jedoch nahe, dass ein möglicher Zusammenhang zwischen den Aktivitäten Nordkoreas und den Raketentests sich nicht durch das Internetverhalten der Führung und der herrschenden Elite erkennen lässt.

Präsenz im Ausland

Dass es zwischen April und Juli 2017 vom nordkoreanischen Festland aus praktisch keine bösartigen Cyberaktivitäten gab, deutet wahrscheinlich darauf hin, dass das Land für seine Cyberoperationen größtenteils keine territorialen Ressourcen nutzt und dass die meisten staatlich geförderten Aktivitäten aus dem Ausland ausgeführt werden. Dies stellt eine erhebliche operative Schwäche dar, die ausgenutzt werden könnte, um asymmetrischen Druck auf das Kim-Regime auszuüben, die derzeitige operative Freiheit und Flexibilität Nordkoreas im Cyberspace einzuschränken und die Möglichkeit einzuschränken, ungestraft zu operieren.

Diese Daten und Analysen belegen, dass in mehreren Ländern weltweit eine bedeutende physische und virtuelle Präsenz Nordkoreas besteht – Länder, in denen Nordkoreaner wahrscheinlich an böswilligen Cyber- und kriminellen Aktivitäten beteiligt sind (wie im ersten Teil gezeigt). Zu diesen Ländern gehören Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik und Indonesien.

Basierend auf unserer Analyse konnten wir Folgendes feststellen:

  • Es ist klar, dass Nordkorea in Indien physisch und virtuell stark präsent ist. Die von uns analysierten Daten charakterisieren die Beziehung zwischen Indien und Nordkorea als eine Beziehung der „ Freundschaft, Zusammenarbeit und des Verständnisses“ und stützen die Berichte über zunehmend engere diplomatische und Handelsbeziehungen zwischen Indien und Nordkorea.
  • Aktivitätsmuster legen nahe, dass Nordkorea an mindestens sieben Universitäten im ganzen Land Studierende beschäftigt und möglicherweise mit mehreren Forschungsinstituten und Regierungsbehörden zusammenarbeitet.
  • Fast ein Fünftel aller in diesem Zeitraum beobachteten Aktivitäten betrafen Indien.

Nordkorea-Internetaktivität-9.jpg

Nordkoreanische Botschaft in Indien. (Quelle)

Nordkorea verfügt außerdem über eine große und aktive Präsenz in Neuseeland, Malaysia, Nepal, Kenia, Mosambik und Indonesien. Unsere Quelle hat nicht nur ein überdurchschnittliches Aktivitätsniveau von und zu diesen Ländern aufgedeckt, sondern auch zu vielen lokalen Ressourcen, Nachrichtenagenturen und Regierungen, was für die Aktivitäten Nordkoreas in anderen Ländern untypisch ist.

Es wurde vielfach darüber berichtet , dass Nordkorea physisch in China präsent ist und Cyber-Operationen durchführt. Unter anderem ist das Land gemeinsam mit den Chinesen Eigentümer eines Hotels in Shenyang, von dem aus Nordkorea böswillige Cyber-Aktivitäten durchführt. Fast 10 Prozent aller in diesem Zeitraum beobachteten Aktivitäten betrafen China, die von chinesischen Telekommunikationsunternehmen bereitgestellten Internetzugangspunkte nicht mitgerechnet.

Unsere Analyse zeigt, dass sich das Aktivitätsprofil für China von dem der oben genannten sieben Länder unterschied. Der Hauptgrund dafür war, dass die nordkoreanischen Führungsnutzer so viele chinesische Dienste wie Taobao, Aliyun und Youku verwendeten, was die Daten verfälschte. Nach Berücksichtigung der Nutzung chinesischer Internetdienste – die natürlich weder eine physische noch eine virtuelle Präsenz in China bedeutet – spiegelte das Aktivitätsmuster bei lokalen chinesischen Ressourcen, Nachrichtenagenturen und Regierungsbehörden das der sieben zuvor identifizierten Länder wider.

Dieses chinesische Beispiel, bei dem das von uns entdeckte ausgeprägte Aktivitätsmuster mit den bereits bekannten Möglichkeiten für Cyberoperationen kombiniert wurde, liefert uns ein Modell, das wir auf die anderen sieben Nationen anwenden können.

Angesichts der Tatsache, dass Nordkorea in mehreren Ländern weltweit über eine bedeutende physische und virtuelle Präsenz verfügt, und unserer bisherigen Untersuchungen in Teil 1 ist es sehr wahrscheinlich, dass Nordkorea Cyberoperationen von Drittstaaten aus durchführt. Daher könnte alternativ untersucht werden, ob böswillige Cyberaktivitäten dieser Länder mit Raketenstarts oder -tests korrelieren oder ob es sich dabei nicht um Aktivitäten aus dem territorialen Nordkorea handelt.

Schlechte Sicherheit führt zu neuen Erkenntnissen

Weniger als ein Prozent der nordkoreanischen Internetaktivitäten wurden während dieses Zeitraums in irgendeiner Weise verschleiert oder geschützt. Die Aktivitäten, die dieses Kriterium erfüllten, reichten in vielerlei Hinsicht von der falschen Implementierung von TLS/SSL bis hin zur Verwendung nahezu nicht nachvollziehbarer Ketten mehrerer virtueller privater Netzwerke (VPN) und virtueller privater Server (VPS) zur Übertragung großer Datenmengen.

Ein Beispiel für eine fehlerhafte Implementierung: Ein nordkoreanischer Benutzer machte sich die Mühe, seine Aktivitäten mithilfe von Tor (The Onion Router) zu verschleiern, nutzte dann jedoch das Torrent-Filesharing und verließ das Tor-Netzwerk über drei Monate lang jeden Tag vom selben Knoten aus.

Die Benutzer, die Verschleierungstechnologien einsetzten, nutzten eine breite Palette von VPN- und VPS-Diensten und -Anbietern. Bei fast allen von Nordkoreanern genutzten VPNs und VPS handelt es sich um Monatsabonnements, die wahrscheinlich von einer Einzelperson oder einer Regierungsbehörde verwaltet werden.

Es ist nicht klar, wie diese Dienste eingekauft werden und viele der Anbieter sind große und bekannte westliche Unternehmen. Dazu gehören Sharktech, iWeb, Digital Ocean, Linode, Leaseweb USA, Telemax, Touch VPN und andere.

Viele VPNs und VPS wurden verwendet, um das Surfen zu verschleiern oder zu erleichtern, entweder vor passiver Internetüberwachung oder vor inländischen Zensoren.

Ein US-VPN wurde von einem iPad verwendet, um ein Gmail-Konto zu überprüfen, auf Google Cloud zuzugreifen, Facebook- und MSN-Konten zu überprüfen und Inhalte für Erwachsene anzuzeigen. Andere VPNs und VPS wurden verwendet, um Metasploit auszuführen, Einkäufe mit Bitcoins zu tätigen, Twitter zu checken, Videospiele zu spielen, Videos zu streamen, Dokumente auf Dropbox zu posten und bei Amazon zu stöbern.

Aufgrund dieser insgesamt schlechten Verschleierung ermöglichten uns diese Daten Einblicke in die Interessen der nordkoreanischen Führung und Elite, die wir nie zuvor hatten. Beispielsweise nutzten viele Benutzer VoIP-Dienste, um mit anderen im Ausland zu telefonieren und ihnen Nachrichten zu schicken. Andere hatten noch immer AOL-Konten und überprüften diese regelmäßig. Einige Benutzer besuchten häufig Websites zum Thema Schönheit und Gesundheit. Andere kauften teure Turnschuhe online. Viele Benutzer informierten sich über Dienste zur Optimierung von Industriehardware und -technologie. Wieder andere nutzten iPhones, iPads und Blackberries zur Kommunikation.

Andere Benutzer verbrachten jeden Tag Zeit damit, Cybersicherheitsunternehmen und ihre Forschungsergebnisse zu recherchieren, darunter Kaspersky, McAfee, Qihoo360 und Symantec, sowie Unternehmen und Technologien zur DDoS- Prävention wie DoSarrest und Sharktech. Ein Benutzer erhielt eine Schulung zur Verwendung von THURAYA und Satellitenkommunikationsgeräten und andere recherchierten in den Physik- und Ingenieurabteilungen mehrerer malaysischer, US-amerikanischer und kanadischer Universitäten.

Gaming und Content-Streaming machten 65 Prozent aller Internetaktivitäten in Nordkorea aus. Im Großen und Ganzen konsumieren Benutzer Inhalte hauptsächlich vom chinesischen Video-Hosting-Dienst Youku, iTunes und verschiedenen BitTorrent- und Peer-to-Peer-Streaming-Diensten. Bei den Spielen scheinen die nordkoreanischen Benutzer die von Valve gehosteten Spiele und ein Massively Multiplayer Online Game namens World of Tanks zu bevorzugen.

Verdächtige Aktivität

Während die Mehrheit der Aktivitäten Nordkoreas in diesem Zeitraum nicht böswilliger Natur waren, gab es eine kleinere, aber signifikante Anzahl höchst verdächtiger Aktivitäten. Ein Beispiel dafür war der Beginn des Bitcoin-Minings durch Benutzer in Nordkorea am 17. Mai.

Laut dem Bitcoin-Wiki ist Bitcoin-Mining „der Vorgang des Hinzufügens von Transaktionsdatensätzen zum öffentlichen Hauptbuch vergangener Transaktionen von Bitcoin (oder der Blockkette).“ Das Bitcoin-Mining ist schwierig, da es sich um eine rechenintensive Aufgabe handelt und bis zu 90 Prozent der Leistung einer Maschine beanspruchen kann.

Der Vorteil bei der Nutzung dieser gesamten Energie und dem Hinzufügen der Transaktionsdatensätze zur Blockchain besteht darin, dass jedem Miner nicht nur die von den Benutzern, die die Transaktion senden, gezahlten Gebühren gutgeschrieben werden, sondern auch 25 Bitcoins, sobald er einen neuen Block entdeckt.

Vor diesem Tag hatte es auf Bitcoin-bezogenen Websites oder Knotenpunkten bzw. bei der Nutzung Bitcoin-spezifischer Ports oder Protokolle praktisch keine Aktivität gegeben. Ab dem 17. Mai nahm diese Aktivität exponentiell zu, von null auf Hunderte pro Tag. Der Zeitpunkt dieses Minings ist deshalb von Bedeutung, weil es sehr bald nach den WannaCry -Ransomware-Angriffen im Mai begann, die die NSA dem nordkoreanischen Geheimdienst Reconnaissance General Bureau (RGB) zuschreibt und die als Versuch betrachtet, Gelder für das Kim-Regime zu sammeln.

Zu diesem Zeitpunkt (17. Mai) dürften Akteure innerhalb der Regierung erkannt haben, dass die Bewegung der Bitcoins von den drei WannaCry-Lösegeldkonten leicht nachzuverfolgen wäre und dass es nicht ratsam wäre, den Angriff abzustreiten.

Es ist nicht klar, wer das Bitcoin-Mining in Nordkorea betreibt. Angesichts der relativ geringen Anzahl von Computern in Nordkorea und des begrenzten IP-Raums ist es jedoch unwahrscheinlich, dass diese rechenintensive Aktivität außerhalb der Kontrolle des Staates stattfindet.

Darüber hinaus schien es während dieses Zeitraums so, als ob einige nordkoreanische Benutzer Nachforschungen anstellten oder möglicherweise sogar die Netzwerke zahlreicher Labore und Forschungszentren im Ausland auskundschafteten.

Insbesondere Aktivitäten, die sich gegen das National Remote Sensing Centreder Indian Space Research Organization, das Indian National Metallurgical Laboratory und die Advanced Science and Technology Research Institutes des philippinischen Ministeriums für Wissenschaft und Technologie richteten, gaben Anlass zu Verdächtigungen, wir konnten jedoch kein böswilliges Verhalten bestätigen.

Auswirkungen

Die internationale Politik und Strategie gegenüber Nordkorea konnte über Jahrzehnte hinweg kaum Wirkung zeigen, weil sie auf den gleichen Instrumenten (Sanktionen, zunehmende internationale Isolation) basierte und dieselben Länder (China, Russland, die fünf Ständigen Mitglieder des UN-Sicherheitsrats) als Partner hatte. Diese zweiteilige Serie zeigt, dass es wahrscheinlich noch andere Druckpunkte auf das Regime gibt und daher auch andere Instrumente, Techniken und Partner, die untersucht werden sollten.

Die Informationen von Team Cymru und die Analyse von Recorded Future haben zwei unterschiedliche Realitäten ans Licht gebracht.

Erstens: Trotz der Sanktionen und des massiven internationalen Drucks sind die nordkoreanischen Führer nicht von der Außenwelt isoliert. Sie sind aktive und engagierte Teilnehmer der modernen Internet-Gesellschaft und -Wirtschaft. Das bedeutet, dass die Versuche, die nordkoreanische Führung von der Weltwirtschaft abzuschotten, weitgehend gescheitert sind.

Zweitens bedarf es neuer Instrumente, die sich nicht nur auf Pjöngjang und die territorialen Grenzen Nordkoreas konzentrieren, um einen nachhaltigen negativen Einfluss auf das derzeitige Kim-Regime zu erzielen. Wir haben andere Nationen identifiziert, mit denen der Westen Partnerschaften eingehen könnte, und haben alternative Instrumente und Techniken ermittelt, mit denen asymmetrischer Druck auf Nordkorea ausgeübt werden könnte. Durch eine Partnerschaft mit Ländern wie Indien, Malaysia, Indonesien oder den anderen oben genannten könnten die USA und andere westliche Staaten unkooperative Partner in China und Russland umgehen und Druck auf die breite nordkoreanische operative Diaspora ausüben, was aufgrund der Abhängigkeit des Regimes für die Führung vermutlich höhere reale Kosten verursachen würde.

Diese zweiteilige Serie zeigt Cybersicherheitsexperten und Netzwerkverteidigern, wie komplex die Verteidigung gegen bösartige Cyberaktivitäten aus Nordkorea sein kann. Wir empfehlen Finanzdienstleistungsunternehmen und allen, die den THAAD-Einsatz sowie die Operationen des US-amerikanischen und südkoreanischen Militärs auf der koreanischen Halbinsel unterstützen, weiterhin höchste Wachsamkeit und Bewusstsein für die erhöhte Bedrohungslage für ihre Netzwerke und Operationen auf der koreanischen Halbinsel aufrechtzuerhalten.

Ebenso sollten Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – auf der Hut vor einer breiten Palette von Cyberaktivitäten aus Nordkorea sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.

Verwandt