
Nordkoreas herrschende Elite ist nicht isoliert
Eine eingehende Analyse der nordkoreanischen Internetaktivitäten offenbart eine informierte, moderne und technisch versierte herrschende Elite.
Executive Summary
Dies ist der zweite Teil unserer Serie über Nordkorea. Im ersten Teil mit dem Titel "Nordkorea ist nicht verrückt" haben wir enthüllt, dass nordkoreanische Cyberakteure nicht verrückt oder irrational sind: Sie haben nur einen größeren operativen Spielraum als die meisten anderen Geheimdienste.
Hier erweitern wir unsere Analyse mithilfe unseres Geheimdienstpartners Team Cymru und führen eine umfassende Studie durch, die einzigartige Einblicke in die Art und Weise gewährt, wie die nordkoreanische Führung und herrschende Elite das Internet nutzt und was uns das über ihre Pläne und Absichten verraten kann.
Unsere Analyse zeigt, dass die begrenzte Zahl nordkoreanischer Führer und herrschender Eliten mit Internetzugang aktiv in westlichen und populären sozialen Medien aktiv ist, regelmäßig internationale Nachrichten liest, viele derselben Dienste wie Video-Streaming und Online-Gaming nutzt und, was am wichtigsten ist, weder von der Welt im Allgemeinen noch von den Auswirkungen der Aktionen Nordkoreas auf die Staatengemeinschaft abgekoppelt ist. Darüber hinaus sind wir zu folgendem Schluss gekommen:
- Versuche, die nordkoreanische Elite und Führung von der internationalen Gemeinschaft zu isolieren, scheitern. Tatsächlich unterscheiden sich ihre Internetaktivitäten in vielerlei Hinsicht nicht groß von denen der meisten Westler.
- Der untersuchte Datensatz legt nahe, dass die allgemeine Internetaktivität in Nordkorea entgegen landläufigen Hypothesen möglicherweise keine Frühwarnung vor einer strategischen Militäraktion darstellt. Falls es einen Zusammenhang zwischen den Aktivitäten Nordkoreas und den Raketentests gibt, wird dieser durch das Verhalten der Führung und der herrschenden Elite im Internet nicht deutlich gemacht.
- Nordkorea nutzt für seine Cyber-Operationen keine territorialen Ressourcen und die meisten vom nordkoreanischen Staat geförderten Aktivitäten werden wahrscheinlich aus dem Ausland verübt, was eine Möglichkeit bietet, asymmetrischen Druck auf das Kim-Regime auszuüben.
Diese Analyse zeigt gemeinsam mit dem ersten Teil unserer Blogserie, dass es wahrscheinlich noch andere Druckpunkte seitens des Regimes gibt und dass daher auch andere Instrumente, Verfahren und Partner nötig sind, die auf dem Weg zu einer Denuklearisierung Nordkoreas in Erwägung gezogen werden könnten.
Hintergrund
Südkoreanische Medien schätzen, dass es in Nordkorea bis zu 4 Millionen mobile Geräte geben könnte. Während also mobile Geräte in Nordkorea weit verbreitet sind, hat die überwiegende Mehrheit der Nordkoreaner keinen Zugang zum Internet. Mobile Geräte (siehe Bild eines in Nordkorea hergestellten Geräts unten), die an normale Nordkoreaner verkauft werden, sind mit minimalen 3G-Diensten ausgestattet, einschließlich Sprach-, Textnachrichten und Bild-/Videonachrichten, und dürfen nur über das nordkoreanische Provider-Netzwerk Koryolink betrieben werden.
Eine kleine Minderheit der Nutzer, wie Studenten, Wissenschaftler und ausgewählte Regierungsbeamte, erhält über gemeinsam genutzte Computer an Universitäten und Internetcafés Zugang zu Nordkoreas inländischem, staatlichem Intranet. Slate beschrieb das inländische Intranet folgendermaßen:
Computerraum an der Kim-Il-Sung-Universität. Quelle: Sophie Schmidt.
Unter den wenigen Auserwählten, die die Erlaubnis haben, das Intranet des Landes zu nutzen, befindet sich eine noch kleinere Gruppe der ranghöchsten Führer und der herrschenden Elite, denen direkter Zugang zum weltweiten Internet gewährt wird. Es gibt zwar keine verlässlichen Zahlen über nordkoreanische Internetnutzer, aber Reporter schätzen, dass es von "nur einer sehr kleinen Anzahl" über "den inneren Kreis der nordkoreanischen Führung" bis hin zu "nur ein paar Dutzend Familien" reicht. Unabhängig von der genauen Anzahl ist das Profil eines nordkoreanischen Internetnutzers eindeutig; Vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.
Die nordkoreanische Elite greift im Wesentlichen auf drei Wege auf das Internet zu.
Die erste ist über die ihnen zugewiesene .kp range, 175.45.176.0/22, die auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains (z. B. co.kp, gov.kp und edu.kp) und etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, >Reise - und Bildungsseiten.
Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname "KPTC" ist die Abkürzung für Korea Posts and Telecommunications, Co, das staatliche Telekommunikationsunternehmen.
Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon aufgelöst wird.
Anmerkung der Redaktion
Zwei wichtige Hinweise: Erstens: Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „Verhalten“ sprechen, meinen wir die Nutzung des Internets (nicht des nordkoreanischen Intranets Kwangmyong) durch die wenigen ausgewählten Führer und die herrschende Elite, denen der Zugriff gestattet ist. Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, denen der Zugang zu Kwangmyong oder diplomatischen und ausländischen Einrichtungen in Nordkorea gestattet ist.
Zweitens haben wir diesen Zeitraum vom 1. April bis 6. Juli 2017 gewählt, weil er einen der Zeiträume mit der höchsten Raketenstart- und Testaktivität darstellt und auch, weil die Daten für diesen Zeitraum die größte Tiefe und Genauigkeit aufweisen. Obwohl uns Daten bis zum 1. Januar 2017 vorliegen, ist dieser Datensatz (1. Januar bis 31. März) weitaus weniger robust.
Analyse
In den frühen Morgenstunden des 1. April 2017, als viele Menschen im Westen gerade aufwachten und ihre E-Mails und sozialen Medien checkten, begann eine kleine Gruppe nordkoreanischer Eliten den Tag auf ganz ähnliche Weise. Einige checkten die Nachrichten auf Xinhua oder der People's Daily, andere loggten sich in ihre E-Mail-Konten bei 163.com ein und wieder andere streamten chinesischsprachige Videos auf Youku und durchsuchten Baidu und Amazon.
Die Analyse dieses zeitlich begrenzten Datensatzes durch Recorded Future hat uns neue Einblicke in dieses isolierte Land und das herrschende Regime gegeben. Unsere Analyse zeigt, dass die wenigen nordkoreanischen Führer und herrschenden Eliten mit Internetzugang sich viel aktiver und engagierter in der Welt, der Popkultur, den internationalen Nachrichten und bei modernen Diensten und Technologien engagieren, als viele außerhalb Nordkoreas bisher angenommen hatten. Die nordkoreanische Führung ist sich der Welt und den Konsequenzen ihres Handelns durchaus bewusst.
Diese Datenquelle ist zwar nicht absolut, bietet uns jedoch ein detailliertes Bild der nordkoreanischen Internetnutzung und -aktivität im Zeitraum von April bis Juli 2017, wodurch wir eine Reihe einzigartiger neuer Erkenntnisse gewinnen können.
Die Daten zeigen, dass die Führung und die herrschende Elite Nordkoreas in die moderne Internetgesellschaft eingebunden sind und sich wahrscheinlich der Auswirkungen bewusst sind, die ihre Entscheidungen hinsichtlich Raketentests, Unterdrückung der Bevölkerung, krimineller Aktivitäten und vielem mehr auf die internationale Gemeinschaft haben. Diese Entscheidungen werden weder isoliert noch auf der Grundlage schlechter Informationen getroffen, wie viele glauben.
Nutzungsmuster spiegeln westliche Nutzer wider
Die Internetaktivitäten der nordkoreanischen Elite und Führung unterscheiden sich in vielerlei Hinsicht nicht groß von denen der meisten westlichen Länder. Dies trotz der äußerst geringen Zahl von Menschen mit Internetzugang, der relativ geringen Anzahl an Computern und IP-Bereichen, von denen aus man darauf zugreifen kann, der sprachlichen, kulturellen, sozialen und rechtlichen Barrieren und der schieren Feindseligkeit gegenüber dem Rest der Welt.
Ähnlich wie Nutzer in Industrieländern verbringen Nordkoreaner beispielsweise einen Großteil ihrer Zeit online mit der Überprüfung von Social-Media-Konten, der Suche im Internet und dem Stöbern bei Amazon und Alibaba.
Facebook ist das am weitesten verbreitete soziale Netzwerk für Nordkoreaner, trotz Berichten , dass es, Twitter, YouTube und eine Reihe anderer im April 2016 von der nordkoreanischen Zensur blockiert wurden.
Darüber hinaus weisen die Nordkoreaner in diesem Zeitraum auch ausgeprägte Muster in der täglichen Nutzung auf. An Wochentagen ist die Aktivität von etwa 9:00 Uhr bis 20:00 oder 21:00 Uhr am höchsten. Montag und Dienstag sind durchweg die Tage mit der höchsten Aktivität.
Keine Frühwarnung für Raketenaktivitäten
Viele Forscher und Wissenschaftler haben die Hypothese aufgestellt, dass zwischen der Cyberaktivität Nordkoreas und Raketenstarts bzw. -tests ein Zusammenhang bestehen könnte. Insbesondere, dass wir aufgrund der Cyber- oder Internetaktivitäten Nordkoreas möglicherweise in der Lage sind, einen Raketentest vorherzusagen oder vorherzusehen. Obwohl es uns nicht möglich war, das Ausmaß der böswilligen Cyberaktivitäten Nordkoreas zu untersuchen, scheint es für diesen begrenzten Zeitraum anhand dieses Datensatzes keinen Zusammenhang zwischen der allgemeinen Internetaktivität Nordkoreas und Raketentests oder -starts zu geben.
Tägliche tatsächliche Internetaktivität vom 1. April bis 6. Juli 2017. Rote Balken zeigen die Daten nordkoreanischer Raketentests oder -starts an.
Die aktuelle Datenlage ist zu kurz, um daraus langfristige Schlüsse über die Nützlichkeit von Internetaktivitäten als Warninstrument für Raketentests ziehen zu können. Unsere Analyse legt jedoch nahe, dass ein möglicher Zusammenhang zwischen den Aktivitäten Nordkoreas und den Raketentests sich nicht durch das Internetverhalten der Führung und der herrschenden Elite erkennen lässt.
Präsenz im Ausland
Dass es zwischen April und Juli 2017 vom nordkoreanischen Festland aus praktisch keine bösartigen Cyberaktivitäten gab, deutet wahrscheinlich darauf hin, dass das Land für seine Cyberoperationen größtenteils keine territorialen Ressourcen nutzt und dass die meisten staatlich geförderten Aktivitäten aus dem Ausland ausgeführt werden. Dies stellt eine erhebliche operative Schwäche dar, die ausgenutzt werden könnte, um asymmetrischen Druck auf das Kim-Regime auszuüben, die derzeitige operative Freiheit und Flexibilität Nordkoreas im Cyberspace einzuschränken und die Möglichkeit einzuschränken, ungestraft zu operieren.
Diese Daten und Analysen zeigen, dass es in mehreren Ländern auf der ganzen Welt eine signifikante physische und virtuelle Präsenz Nordkoreas gibt – Länder, in denen Nordkoreaner wahrscheinlich an böswilligen Cyber- und kriminellen Aktivitäten beteiligt sind (wie im ersten Teil gezeigt). Zu diesen Ländern gehören Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik und Indonesien.
Basierend auf unserer Analyse konnten wir Folgendes feststellen:
- Es ist klar, dass Nordkorea eine breite physische und virtuelle Präsenz in Indien hat. Die vom indischen Außenministerium als eine Beziehung der "Freundschaft, Zusammenarbeit und des Verständnisses" charakterisierten Daten stützen die Berichte über immer engere diplomatische und Handelsbeziehungen zwischen Indien und Nordkorea.
- Aktivitätsmuster legen nahe, dass Nordkorea an mindestens sieben Universitäten im ganzen Land Studierende beschäftigt und möglicherweise mit mehreren Forschungsinstituten und Regierungsbehörden zusammenarbeitet.
- Fast ein Fünftel aller in diesem Zeitraum beobachteten Aktivitäten betrafen Indien.
Nordkoreanische Botschaft in Indien. (Quelle)
Nordkorea verfügt außerdem über eine große und aktive Präsenz in Neuseeland, Malaysia, Nepal, Kenia, Mosambik und Indonesien. Unsere Quelle hat nicht nur ein überdurchschnittliches Aktivitätsniveau von und zu diesen Ländern aufgedeckt, sondern auch zu vielen lokalen Ressourcen, Nachrichtenagenturen und Regierungen, was für die Aktivitäten Nordkoreas in anderen Ländern untypisch ist.
Es wurde weithin berichtet , dass Nordkorea eine physische Präsenz hat, um Cyberoperationen in China durchzuführen, einschließlich des Mitbesitzes eines Hotels in Shenyang mit den Chinesen, von dem aus Nordkorea böswillige Cyberaktivitäten durchführt. Fast 10 Prozent aller in diesem Zeitraum beobachteten Aktivitäten betrafen China, die von chinesischen Telekommunikationsunternehmen bereitgestellten Internetzugangspunkte nicht eingerechnet.
Unsere Analyse zeigt, dass sich das Aktivitätsprofil für China von dem der oben genannten sieben Länder unterschied. Der Hauptgrund dafür war, dass die nordkoreanischen Führungsnutzer so viele chinesische Dienste wie Taobao, Aliyun und Youku verwendeten, was die Daten verfälschte. Nach Berücksichtigung der Nutzung chinesischer Internetdienste – die natürlich weder eine physische noch eine virtuelle Präsenz in China bedeutet – spiegelte das Aktivitätsmuster bei lokalen chinesischen Ressourcen, Nachrichtenagenturen und Regierungsbehörden das der sieben zuvor identifizierten Länder wider.
Dieses chinesische Beispiel, bei dem das von uns entdeckte ausgeprägte Aktivitätsmuster mit den bereits bekannten Möglichkeiten für Cyberoperationen kombiniert wurde, liefert uns ein Modell, das wir auf die anderen sieben Nationen anwenden können.
Angesichts der Tatsache, dass Nordkorea in mehreren Ländern weltweit über eine bedeutende physische und virtuelle Präsenz verfügt, und unserer bisherigen Untersuchungen in Teil 1 ist es sehr wahrscheinlich, dass Nordkorea Cyberoperationen von Drittstaaten aus durchführt. Daher könnte alternativ untersucht werden, ob böswillige Cyberaktivitäten dieser Länder mit Raketenstarts oder -tests korrelieren oder ob es sich dabei nicht um Aktivitäten aus dem territorialen Nordkorea handelt.
Schlechte Sicherheit führt zu neuen Erkenntnissen
Weniger als ein Prozent der nordkoreanischen Internetaktivitäten in diesem Zeitraum wurde verschleiert oder in irgendeiner Weise geschützt. Unter den Aktivitäten, die dieses Kriterium erfüllten, variierte das Handwerk weitgehend von der falschen Implementierung von TLS/SSL bis hin zur Verwendung nahezu nicht nachvollziehbarer Ketten mehrerer virtueller privater Netzwerke (VPN) und virtueller privater Server (VPS) zur Übertragung großer Datenmengen.
Ein Beispiel für eine fehlerhafte Implementierung ist ein nordkoreanischer Benutzer, der sich die Mühe machte, Tor (The Onion Router) zu verwenden, um seine Aktivitäten zu verschleiern, dann aber die Torrent-Dateifreigabe nutzte und das Tor-Netzwerk über drei Monate lang jeden Tag vom selben Knoten aus verließ.
Die Benutzer, die Verschleierungstechnologien einsetzten, nutzten eine breite Palette von VPN- und VPS-Diensten und -Anbietern. Bei fast allen von Nordkoreanern genutzten VPNs und VPS handelt es sich um Monatsabonnements, die wahrscheinlich von einer Einzelperson oder einer Regierungsbehörde verwaltet werden.
Es ist nicht klar, wie diese Dienste eingekauft werden und viele der Anbieter sind große und bekannte westliche Unternehmen. Dazu gehören Sharktech, iWeb, Digital Ocean, Linode, Leaseweb USA, Telemax, Touch VPN und andere.
Viele VPNs und VPS wurden verwendet, um das Surfen zu verschleiern oder zu erleichtern, entweder vor passiver Internetüberwachung oder vor inländischen Zensoren.
Ein US-VPN wurde von einem iPad verwendet, um ein Gmail-Konto zu überprüfen, auf Google Cloud zuzugreifen, Facebook- und MSN-Konten zu überprüfen und Inhalte für Erwachsene anzuzeigen. Andere VPNs und VPS wurden verwendet, um Metasploit auszuführen, Einkäufe mit Bitcoins zu tätigen, Twitter zu checken, Videospiele zu spielen, Videos zu streamen, Dokumente auf Dropbox zu posten und bei Amazon zu stöbern.
Aufgrund dieser insgesamt schlechten Verschleierung ermöglichten uns diese Daten Einblicke in die Interessen der nordkoreanischen Führung und Elite, die wir nie zuvor hatten. Beispielsweise nutzten viele Benutzer VoIP-Dienste, um mit anderen im Ausland zu telefonieren und ihnen Nachrichten zu schicken. Andere hatten noch immer AOL-Konten und überprüften diese regelmäßig. Einige Benutzer besuchten häufig Websites zum Thema Schönheit und Gesundheit. Andere kauften teure Turnschuhe online. Viele Benutzer informierten sich über Dienste zur Optimierung von Industriehardware und -technologie. Wieder andere nutzten iPhones, iPads und Blackberries zur Kommunikation.
Andere Benutzer verbrachten jeden Tag Zeit damit, Cybersicherheitsunternehmen und deren Forschung zu recherchieren, darunter Kaspersky, McAfee, Qihoo360 und Symantec. und DDoS-Präventionsunternehmen und -technologien wie DoSarrest und Sharktech. Ein Benutzer erhielt eine Schulung zur Verwendung von THURAYA- und Satellitenkommunikationsgeräten, andere forschten an den Fakultäten für Physik und Ingenieurwesen an mehreren malaysischen, US-amerikanischen und kanadischen Universitäten.
Spiele und Content-Streaming machten fünfundsechzig Prozent aller Internetaktivitäten in Nordkorea aus. Im Großen und Ganzen konsumieren die Nutzer Inhalte hauptsächlich vom chinesischen Video-Hosting-Dienst Youku, iTunes und verschiedenen BitTorrent- und Peer-to-Peer-Streaming-Diensten. Bei den Spielen scheinen nordkoreanische Nutzer Spiele zu bevorzugen, die von Valve gehostet werden, und ein Massively Multiplayer Online Game namens World of Tanks.
Verdächtige Aktivität
Während die Mehrheit der Aktivitäten Nordkoreas in diesem Zeitraum nicht böswilliger Natur waren, gab es eine kleinere, aber signifikante Anzahl höchst verdächtiger Aktivitäten. Ein Beispiel dafür war der Beginn des Bitcoin-Minings durch Benutzer in Nordkorea am 17. Mai.
Laut dem Bitcoin-Wiki ist Bitcoin-Mining "der Prozess des Hinzufügens von Transaktionsdatensätzen zum öffentlichen Hauptbuch vergangener Transaktionen (oder Blockchain) von Bitcoin". Bitcoin-Mining ist schwierig, da es sich um eine rechenintensive Aufgabe handelt und bis zu 90 Prozent der Leistung einer Maschine erforderlich sein kann.
Der Vorteil bei der Nutzung dieser gesamten Energie und dem Hinzufügen der Transaktionsdatensätze zur Blockchain besteht darin, dass jedem Miner nicht nur die von den Benutzern, die die Transaktion senden, gezahlten Gebühren gutgeschrieben werden, sondern auch 25 Bitcoins, sobald er einen neuen Block entdeckt.
Vor diesem Tag gab es praktisch keine Aktivität auf Bitcoin-bezogenen Websites oder Knoten oder bei der Nutzung Bitcoin-spezifischer Ports oder Protokolle. Ab dem 17. Mai nahm diese Aktivität exponentiell zu, von null auf Hunderte pro Tag. Der Zeitpunkt dieses Minings ist wichtig, da es sehr bald nach den WannaCry -Ransomware-Angriffen im Mai begann, die die NSA dem nordkoreanischen Geheimdienst Reconnaissance General Bureau (RGB) zuschreibt und die als Versuch zur Beschaffung von Geldern für das Kim-Regime dienen.
Zu diesem Zeitpunkt (17. Mai) dürften Akteure innerhalb der Regierung erkannt haben, dass die Bewegung der Bitcoins von den drei WannaCry-Lösegeldkonten leicht nachzuverfolgen wäre und dass es nicht ratsam wäre, den Angriff abzustreiten.
Es ist nicht klar, wer das Bitcoin-Mining in Nordkorea betreibt. Angesichts der relativ geringen Anzahl von Computern in Nordkorea und des begrenzten IP-Raums ist es jedoch unwahrscheinlich, dass diese rechenintensive Aktivität außerhalb der Kontrolle des Staates stattfindet.
Darüber hinaus schien es während dieses Zeitraums so, als ob einige nordkoreanische Benutzer Nachforschungen anstellten oder möglicherweise sogar die Netzwerke zahlreicher Labore und Forschungszentren im Ausland auskundschafteten.
Insbesondere Aktivitäten, die auf das Nationale Fernerkundungszentrumder Indian Space Research Organization, das Indian National Metallurgical Laboratory und das philippinische Department of Science and Technology Advanced Science and Technology Research Institutes abzielten, gaben Verdachtsmomente, aber wir konnten bösartiges Verhalten nicht bestätigen.
Auswirkungen
Die internationale Politik und Strategie gegenüber Nordkorea konnte über Jahrzehnte hinweg kaum Wirkung zeigen, weil sie auf den gleichen Instrumenten (Sanktionen, zunehmende internationale Isolation) basierte und dieselben Länder (China, Russland, die fünf Ständigen Mitglieder des UN-Sicherheitsrats) als Partner hatte. Diese zweiteilige Serie zeigt, dass es wahrscheinlich noch andere Druckpunkte auf das Regime gibt und daher auch andere Instrumente, Techniken und Partner, die untersucht werden sollten.
Die Informationen von Team Cymru und die Analyse von Recorded Future haben zwei unterschiedliche Realitäten ans Licht gebracht.
Erstens: Trotz der Sanktionen und des massiven internationalen Drucks sind die nordkoreanischen Führer nicht von der Außenwelt isoliert. Sie sind aktive und engagierte Teilnehmer der modernen Internet-Gesellschaft und -Wirtschaft. Das bedeutet, dass die Versuche, die nordkoreanische Führung von der Weltwirtschaft abzuschotten, weitgehend gescheitert sind.
Zweitens bedarf es neuer Instrumente, die sich nicht nur auf Pjöngjang und die territorialen Grenzen Nordkoreas konzentrieren, um einen nachhaltigen negativen Einfluss auf das derzeitige Kim-Regime zu erzielen. Wir haben andere Nationen identifiziert, mit denen der Westen Partnerschaften eingehen könnte, und haben alternative Instrumente und Techniken ermittelt, mit denen asymmetrischer Druck auf Nordkorea ausgeübt werden könnte. Durch eine Partnerschaft mit Ländern wie Indien, Malaysia, Indonesien oder den anderen oben genannten könnten die USA und andere westliche Staaten unkooperative Partner in China und Russland umgehen und Druck auf die breite nordkoreanische operative Diaspora ausüben, was aufgrund der Abhängigkeit des Regimes für die Führung vermutlich höhere reale Kosten verursachen würde.
Diese zweiteilige Serie zeigt Cybersicherheitsexperten und Netzwerkverteidigern, wie komplex die Verteidigung gegen bösartige Cyberaktivitäten aus Nordkorea sein kann. Wir empfehlen Finanzdienstleistungsunternehmen und allen, die den THAAD-Einsatz sowie die Operationen des US-amerikanischen und südkoreanischen Militärs auf der koreanischen Halbinsel unterstützen, weiterhin höchste Wachsamkeit und Bewusstsein für die erhöhte Bedrohungslage für ihre Netzwerke und Operationen auf der koreanischen Halbinsel aufrechtzuerhalten.
Ebenso sollten Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – auf der Hut vor einer breiten Palette von Cyberaktivitäten aus Nordkorea sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.