Wie Nordkorea das Internet als Werkzeug für Schurkenregime revolutionierte

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Für diese Untersuchung untersuchte die Insikt Group die Internetaktivitäten der nordkoreanischen Führungsspitze, indem sie mithilfe einer Reihe von Tools Daten von Drittanbietern, IP-Geolokalisierung, Routingtabellen des Border Gateway Protocol (BGP), Netzwerkverkehrsanalysen und Open Source Intelligence (OSINT) analysierte. Die für diesen Bericht analysierten Daten erstrecken sich vom 1. Januar 2019 bis zum 1. November 2019.

Dieser Bericht dürfte vor allem für Ministerien und Organisationen in den Bereichen Technologie, Finanzen, Verteidigung, Kryptowährungen und Logistik von Interesse sein, sowie für jene, die die Umgehung nordkoreanischer Sanktionen, illegale Finanzierung und staatlich geförderte Cyber-Spionage untersuchen.

Executive Summary

In den letzten drei Jahren hat Recorded Future eine Reihe von Forschungsbeiträgen veröffentlicht, die einzigartige Einblicke in das Verhalten der obersten Führung Nordkoreas gewähren. Unsere Beobachtungen und Erkenntnisse aus dem Jahr 2019 erweitern diese Beobachtungen und lassen allgemeinere Schlussfolgerungen über die Art und Weise zu, wie die nordkoreanische Führung das Internet nutzt. Für die politische und militärische Elite Nordkoreas zeigen die Daten aus dem Jahr 2019, dass das Internet nicht nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern ein entscheidendes Instrument zur Erzielung von Einnahmen, zum Zugang zu verbotenen Technologien und Wissen sowie zur operativen Koordinierung.

Darüber hinaus gehen wir davon aus, dass Nordkorea ein internetbasiertes Modell zur Umgehung der internationalen Finanzkontrollen und Sanktionsregime entwickelt hat, die ihm von multinationalen Organisationen und dem Westen auferlegt wurden. Hierzu gehört nicht nur die Nutzung des Internets zur Erzielung von Einnahmen, sondern auch die Nutzung als Instrument zur Aneignung verbotener Kenntnisse und Fähigkeiten, wie sie etwa bei der Entwicklung des nordkoreanischen Atom- und Raketenprogramms sowie bei Cyberoperationen zum Einsatz kamen. Dieses Modell verwendet drei primäre Taktiken zur Erzielung von Einnahmen: Bankdiebstahl über das Internet, Verwendung und Ausnutzung von Kryptowährungen und Blockchain-Technologie sowie einfache Informationstechnologie (IT)-Arbeit und Finanzkriminalität.

Im Grunde hat Nordkorea ein Modell entwickelt, das das Internet als Mechanismus zur Umgehung von Sanktionen nutzt. Dieses Modell ist einzigartig, aber nicht außergewöhnlich. Dieses Modell ist zwar einmalig, aber wiederholbar. Und was am besorgniserregendsten ist: Es könnte anderen finanziell isolierten Ländern wie Venezuela, dem Iran oder Syrien als Beispiel dafür dienen, wie sie das Internet nutzen können, um Sanktionen zu umgehen.

Wichtige Urteile

• Seit 2017 beobachten wir einen Anstieg des Aktivitätsvolumens von und zu nordkoreanischen Netzwerken um 300 %. Wir gehen davon aus, dass hierfür mehrere Faktoren verantwortlich sind, unter anderem die verstärkte Nutzung der über Russland geleiteten Infrastruktur von TransTelekom, die Verwendung eines Teils des bislang nicht aufgelösten IP-Raums Nordkoreas und die Einrichtung neuer Mailserver, FTP-Server und DNS-Nameserver zur Bewältigung der gestiegenen Verkehrslast.
• Die anhaltenden Veränderungen im Lebensstil und bei den Inhalten deuten darauf hin, dass das Internet für die oberste Führung Nordkoreas wahrscheinlich zu einem professionellen Werkzeug geworden ist. Die höchste Internetnutzung findet mittlerweile an Wochentagen während der nordkoreanischen Arbeitszeiten statt. Das ist eine Veränderung gegenüber 2017, als die Aktivität an den Wochenenden sowie am späten Nachmittag und Abend am höchsten war.
• Wir gehen davon aus, dass das Internet in Kombination mit der 300-prozentigen Steigerung des Aktivitätsvolumens, der erhöhten Bandbreite und Kapazität durch die Weiterleitung eines zusätzlichen /24-Subnetzes über die Infrastruktur von TransTelekom sowie der jüngsten Nutzung einiger bislang nicht genutzter IP-Bereiche nicht länger nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern zu einem entscheidenden Instrument der nordkoreanischen Führung geworden ist.
• Wir haben herausgefunden, dass Nordkorea durch Ausnutzung des Domain Name Service (DNS) sein eigenes einzigartiges virtuelles privates Netzwerk (VPN) erstellt hat. Dieses VPN verwendet eine Technik namens DNS-Tunneling. Dabei wird der DNS-Prozess nicht zur Domänenauflösung, sondern zum Übertragen von Daten oder zum Tunneln innerhalb eines geschlossenen Netzwerks verwendet. Wir gehen davon aus, dass nordkoreanische Benutzer diese Technik verwenden könnten, um Daten aus den Netzwerken ahnungsloser Ziele zu extrahieren oder um staatlich verhängte Inhaltskontrollen zu umgehen.
• Wir glauben, dass der offensichtliche Fokus des Kim-Regimes auf die Verbesserung der Erreichbarkeit seiner verbleibenden vier staatlichen Versicherer im Laufe des Jahres 2019 ein Versuch sein könnte, sowohl den Versicherungsbetrug als Einnahmequelle nach der Sanktionierung von KNIC im Jahr 2017 wiederzubeleben als auch potenzielle Investoren in Nordkorea zu beruhigen.
• Wir haben seit Mai 2019 eine mindestens zehnfache Zunahme der Monero-Mining-Aktivität aus nordkoreanischen IP-Bereichen beobachtet. Wir glauben, dass Monero aufgrund seiner Anonymität und des geringeren Bedarfs an Rechenleistung für nordkoreanische Benutzer wahrscheinlich attraktiver ist als Bitcoin.

Hintergrund

Wie unsere Untersuchungen seit April 2017 zeigen, gibt es in der obersten Führungsriege Nordkoreas nur eine Handvoll Personen, denen direkter Zugriff auf das globale Internet gestattet ist. Zwar liegen keine verlässlichen Zahlen über die Zahl der nordkoreanischen Internetnutzer vor, doch schätzen Reporter, dass es sich um alles von „ nur einer sehr kleinen Zahl“, „ dem inneren Zirkel der nordkoreanischen Führung“ bis hin zu „ nur ein paar Dutzend Familien“ handelt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers klar: Es handelt sich um ein Familienmitglied oder ein anderes vertrauenswürdiges Mitglied der herrschenden Klasse.

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only global internet-accessible websites. These include nine top-level domains such as co[.]kp, gov[.]kp, and edu[.]kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications Co., the state-run telecommunications company. The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

Wir weisen hier darauf hin, dass wir, wenn wir von „nordkoreanischer Internetaktivität“ oder „nordkoreanischem Verhalten“ sprechen, die Nutzung des globalen Internets meinen, zu dem nur einige wenige politische Führer und die herrschende Elite Zugang haben, nicht jedoch das nordkoreanische Intranet (Kwangmyong). Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe von Nordkoreanern, die Zugriff auf Kwangmyong oder diplomatische und ausländische Einrichtungen in Nordkorea haben.

Analyse

Normalisierung der Internetnutzung

Wie wir in unserem Bericht vom Oktober 2018 feststellten, hat das Ausmaß der Internetaktivität zugenommen, seit wir Anfang 2017 begonnen haben, das Verhalten der nordkoreanischen Führung zu untersuchen. Im Laufe der letzten fast drei Jahre hat das Aktivitätsvolumen von und zu nordkoreanischen Netzwerken um fast 300 Prozent zugenommen. Wir glauben, dass es für diesen Anstieg der Internetnutzung mehrere mögliche Gründe gibt.

First, North Korea has increased its bandwidth and capacity for accessing the global internet. Back in October 2017, North Korea acquired a new partner, Russia’s TransTelekom (AS20485), to route the internet traffic for one of the subsets of its largest IP range, 175.45.176.0/22. Prior to then, all traffic from the entire 175.45.176.0/22 range had been routed by China Unicom (AS4837), and as of early September 2019, only the 175.45.178.0/24 subnet had ever used the TransTelekom infrastructure.

However, in mid-September 2019, we observed a change in BGP routing tables, indicating that the 175.45.177.0/24 subnet had been transitioned completely from China Unicom to TransTelekom. Both traceroutes and BGP route queries run by Hurricane Electric and other services confirm that the 175.45.177.0/24 subnet now traverses TransTelekom infrastructure.

Darüber hinaus zeigt die Subnetzanalyse, dass mittlerweile 45 % des gesamten nordkoreanischen Internetverkehrs über die Infrastruktur von TransTelekom laufen; Anfang 2018 waren es lediglich 36 %. Wir gehen davon aus, dass die erhöhte Kapazität zumindest einen Teil der Zunahme des Internetverkehrsvolumens im vergangenen Jahr erklärt. Das Routing separater Subnetze über die Infrastruktur von TransTelekom und China Unicom verringert wahrscheinlich die Latenz bei der Internetkommunikation und erhöht Geschwindigkeit und Zugänglichkeit für Benutzer der nordkoreanischen Führung.

Second, North Korea has begun to use some of its previously unresolved IP space over the last six months. In early June, North Korean network administrators moved the IP resolution of two DNS nameservers for the kptc[.]kp domain. Previously, the nameservers for kptc[.]kp resolved to 175.45.176.15 and 175.45.176.16. As of early June 2019, those nameservers moved to 175.45.177.15 and 175.45.177.16, respectively. Prior to early June, those two IP addresses did not resolve at all. Since then, these two IPs have taken on additional roles as SMTP (or mail) and FTP servers.

While these changes may at first appear trivial, what they signify is the expansion of services being offered to North Korean users. We believe that the kptc[.]kp nameservers were migrated away from 175.45.176.15 and 175.45.176.16 because those IP addresses have traditionally handled a significant portion of both inbound and outbound North Korean internet traffic. On average, over the past nearly three years, 175.45.176.15 and 175.45.176.16 have handled 30% of all North Korean inbound and outbound traffic — a substantial load for two machines, which we assessed in June 2018 likely caused page loading delays and latency problems for both foreign and domestic users.

Wir gehen davon aus, dass die Änderungen in der Netzwerkadministration, die wir in den letzten sechs Monaten beobachtet haben, wahrscheinlich eine Reaktion auf die gestiegene Nachfrage nordkoreanischer Benutzer im In- und Ausland sind. Wenn Sie beispielsweise einen über das Internet erreichbaren Mailserver einrichten, bedeutet dies, dass Benutzer den Benutzern dieser Domänen E-Mails senden möchten und dass die Benutzer auch von einem Remote-Zugriff auf ihre E-Mails zugreifen möchten. Wir konnten diese Steigerung der Nachfrage anhand der 300-prozentigen Zunahme der Internetaktivität in den vergangenen drei Jahren beobachten und gehen davon aus, dass dies auch die Normalisierung und Professionalisierung der Internetnutzung innerhalb der nordkoreanischen Elite widerspiegelt.

Lebensmusteranalyse

Im Laufe der letzten drei Jahre haben wir außerdem die Entwicklung der täglichen Internetnutzungsmuster der nordkoreanischen Führer beobachtet. Nachfolgend sind zwei Diagramme aufgeführt, die das Muster der täglichen Internetnutzung durch die nordkoreanische Führung für jede Tagesstunde darstellen. Bemerkenswert an dem neuesten Diagramm (erstellt aus Daten von Januar bis Oktober 2019) ist das Ausmaß, in dem sich die meisten täglichen Aktivitätsspitzen und -täler abgeschwächt haben.

Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von Januar bis Oktober 2019.

Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von März bis August 2018.

Im Jahr 2019 nutzten die nordkoreanischen Politiker das Internet während der Arbeitszeit und an Werktagen im Durchschnitt mehr als im Jahr 2017 (siehe unten die Diagramme mit den tagesgenauen Aktivitäten).

Tägliche Internetnutzung nach Wochentagen (kein Durchschnitt) von Januar bis Oktober 2019.

Tägliche Internetnutzung nach Tagen (kein Durchschnitt) von März bis August 2018.

Wir konnten diesen Wandel erstmals im Jahr 2018 beobachten und die obigen Daten zeigen, dass es sich bei diesen veränderten Mustern nicht um eine Anomalie handelte. Die höchste Internetnutzung findet mittlerweile wochentags während der Arbeitszeit statt. Das ist ein gewaltiger Unterschied gegenüber 2017, als die Aktivität an den Wochenenden sowie am späten Nachmittag und Abend am höchsten war.

Wir gehen davon aus, dass das Internet in Kombination mit der 300-prozentigen Steigerung des Aktivitätsvolumens, der erhöhten Bandbreite und Kapazität durch die Weiterleitung eines zusätzlichen /24-Subnetzes über die Infrastruktur von TransTelekom sowie der jüngsten Nutzung einiger bislang nicht genutzter IP-Bereiche nicht länger nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern zu einem entscheidenden Instrument der nordkoreanischen Führung geworden ist.

Das Internet als Werkzeug

Alle oben genannten Erkenntnisse und unsere früheren Untersuchungen führen zu einer viel umfassenderen Schlussfolgerung hinsichtlich der Art und Weise, wie die nordkoreanische Führung das Internet nutzt. Für die nordkoreanische politische und militärische Elite ist das Internet zu einem entscheidenden Werkzeug geworden. Hierzu gehört nicht nur die Nutzung des Internets zur Erzielung von Einnahmen, sondern auch die Nutzung als Instrument zur Aneignung verbotener Kenntnisse und Fähigkeiten, wie sie etwa bei der Entwicklung des nordkoreanischen Atom- und Raketenprogramms sowie bei Cyberoperationen zum Einsatz kamen.

Darüber hinaus gehen wir davon aus, dass Nordkorea ein internetbasiertes Modell zur Umgehung der internationalen Finanzkontrollen und Sanktionsregime entwickelt hat, die ihm von multinationalen Organisationen und dem Westen auferlegt wurden.

Umsatzgenerierung

Wir haben festgestellt, dass das nordkoreanische Modell auf drei operativen Säulen beruht, die wahrscheinlich die Hauptquellen für internetbasierte Umsatzgenerierung darstellen. Diese beinhalten:

1. Bankgeschäfte
2. Kryptowährungen
3. Einfache Informationstechnologie (IT)-Arbeit und Finanzkriminalität

Bankgeschäfte

Nach Angaben des Expertengremiums des UN-Sicherheitsrats für die DVRK wurden in den letzten vier Jahren Finanzinstitute und Kryptowährungsbörsen in mindestens 35 Ländern Opfer nordkoreanischer Cyberoperationen, die dem Kim-Regime bis zu 2 Milliarden Dollar einbrachten. Die Angriffe auf Finanzinstitute erfolgten über das Netzwerk der Society for Worldwide Interbank Financial Telecommunication (SWIFT). Nachdem die nordkoreanischen Betreiber zunächst Zugriff auf das SWIFT-Terminal erlangt hatten, führten sie anschließend eine Reihe betrügerischer Transaktionen durch. Bei diesen Transaktionen wurde Geld von der Bank des Opfers auf Scheinkonten überwiesen, das kurz darauf von nordkoreanischen Agenten ausgezahlt wurde. Informationen aus der Anklageerhebung des US-Justizministeriums vom September 2018 gegen den 34-jährigen nordkoreanischen Betreiber Park Jin Hyok deuten darauf hin, dass die Betreiber häufig nordkoreanischen IP-Raum nutzten, um die Websites beabsichtigter Opfer zu besuchen, Phishing-E-Mails an Mitarbeiter zu senden und Netzwerke auszukundschaften.

Bei der Untersuchung öffentlicher und nicht-öffentlicher Informationen zu bekannten, der Demokratischen Volksrepublik Korea zugeschriebenen Bankgeschäften haben wir eine Reihe allgemeiner Taktiken, Techniken und Verfahren (TTPs) für die Geschäfte der letzten vier Jahre ermittelt.

• Wir gehen davon aus, dass diese Bankgeschäfte von den Nordkoreanern gut recherchiert und mit den nötigen Mitteln ausgestattet werden. Angreifer verbrachten vermutlich zwischen neun und 18 Monaten in einem Zielnetzwerk, um weitere Aufklärung zu betreiben, sich lateral zu bewegen, Privilegien zu erhöhen, die spezifischen SWIFT-Instanzen aller Organisationen zu untersuchen und Sicherheitsverfahren zu deaktivieren.
• Unseres Erachtens deuten neue Daten darauf hin, dass nordkoreanische Akteure über strategische Web-Kompromisse (SWC) gezielt auf Websites von Zentralbanken oder Bankenaufsichtsbehörden gezielt gezielt haben. Diese Angriffe auf das Internet könnten dann spätere Eindringversuche in die Banken selbst und in der Folge betrügerische Versuche von Überweisungen zwischen Banken ermöglicht haben.
• Bei öffentlich zugänglichen Bankgeschäften war der erste Angriffsvektor ein Spearphishing-Angriff (SWC). Bei mindestens einem Angriff auf türkische Banken im Jahr 2018 nutzten nordkoreanische Betreiber jedoch einen bis dahin unbekannten Adobe Flash-Exploit (oder Zero-Day), der über einen Spearphishing-Angriff eingeschleust wurde.
• Uns sind mindestens zwei Fälle bekannt, in denen möglicherweise zerstörerische Schadsoftware eingesetzt wurde, um Abwehrmaßnahmen gegen Angriffe zu verschleiern oder von betrügerischen Transaktionen abzulenken.
• Bekannte betrügerische nordkoreanische SWIFT-Transaktionen wurden während der Feiertage oder verlängerter Wochenenden im Zielland durchgeführt.

Kryptowährungen

Im Juli 2017 veröffentlichten wir einen der ersten Berichte, der das Interesse der nordkoreanischen Führung an Kryptowährungen und deren Nutzung belegte. Seitdem war Nordkorea in groß angelegte Diebstähle von südkoreanischen Kryptowährungsbörsen, Kryptowährungsbetrug, Kryptojacking und Kryptowährungs-Mining verwickelt. Unsere Untersuchungen haben ergeben, dass Nordkorea Münzen in mindestens drei Kryptowährungen – Bitcoin, Litecoin und Monero – geschürft, gestohlen oder generiert hat und an mindestens einem Blockchain-basierten Betrug beteiligt war, der nach Einschätzung der UN durch Nordkoreas „ Erpressung“ von Kryptowährungen finanziert wurde.

Seit November 2019 beobachten wir weiterhin Bitcoin-Mining im kleinen Maßstab. Das Verkehrsaufkommen und die Kommunikationsrate mit Peers sind im Verlauf der letzten zwei Jahre relativ konstant geblieben, wir sind jedoch weiterhin nicht in der Lage, die Hash-Rate oder Builds zu bestimmen. Wir gehen davon aus, dass dieser spezielle Mining-Aufwand noch in kleinem Maßstab erfolgt und auf nur wenige Maschinen beschränkt ist.

Seit Mai 2019 beobachten wir jedoch eine Verzehnfachung der Monero-Mining-Aktivität seit 2018. Im Oktober 2018 war die nordkoreanische Monero-Mining-Aktivität hinsichtlich Verkehrsvolumen und Kommunikationsrate mit Peers dem oben erwähnten Bitcoin-Mining ähnlich. Unserer Einschätzung nach haben wir seit November 2019 mindestens eine Verzehnfachung der Monero-Mining-Aktivität beobachtet. Wir können die Hash-Rate nicht ermitteln, da die gesamte Aktivität über eine IP-Adresse geleitet wird, hinter der sich unserer Ansicht nach mindestens mehrere unbekannte Maschinen befinden.

Monero wird von nordkoreanischen Betreibern mindestens seit August 2017 verwendet, als die Bitcoin-Gewinne aus dem WannaCry-Angriff über einen Bitcoin-Mixer gewaschen und schließlich in Monero umgewandelt wurden. Monero unterscheidet sich von Bitcoin dadurch, dass es wirklich anonym ist. Alle Transaktionen werden innerhalb der Blockchain verschlüsselt, sodass nur der Absender oder Empfänger einer Transaktion von der anderen Kenntnis haben kann. Monero unterscheidet sich außerdem dadurch, dass es für den Abbau durch nicht spezialisierte Maschinen konzipiert wurde und seine Abbau-Ports tendenziell je nach Kapazität skalieren. Beispielsweise verwenden viele Miner Port 3333 für Low-End-Maschinen und Port 7777 für High-End-Maschinen mit höherer Kapazität.

Ähnlich wie im Jahr 2018 konnten wir einen Anstieg des Minings über Port 7777 beobachten, was darauf schließen lässt, dass Maschinen mit höherer Kapazität und auch mit einer höheren Hash-Rate das Mining durchführten. Die von uns beobachteten Portnummern und die Aktivität reichten nicht aus, um die Hash-Rate zu bestimmen. Wir konnten lediglich feststellen, dass Mining stattfand. Wir glauben jedoch, dass diese beiden Faktoren – Anonymität und die Möglichkeit, dass es auch von nicht spezialisierten Maschinen geschürft werden kann – Monero für nordkoreanische Benutzer wahrscheinlich attraktiver machen als Bitcoin.

Laut dem Halbzeitbericht des UN-Expertengremiums vom August 2019 teilte ein Mitgliedsstaat dem Gremium mit, dass auch „ein professioneller Zweig des Militärs der Demokratischen Volksrepublik Korea“ am Kryptowährungs-Mining beteiligt sei. Es ist möglich, dass die Bitcoin- oder Monero-Mining-Aktivitäten, die wir im nordkoreanischen IP-Raum beobachtet haben, von diesem Zweig des Militärs durchgeführt werden. Allerdings haben wir über die uns zur Verfügung stehenden Daten hinaus keine Einblicke und können nicht bestätigen, welche nordkoreanische Einheit für das beobachtete Mining verantwortlich ist.

Darüber hinaus haben nordkoreanische Betreiber eine Reihe verdeckter Techniken eingesetzt, die darauf abzielen, Opfer zu täuschen und sie zur Installation bösartiger Kryptosoftware zu veranlassen. Bei einer dieser als „Cryptojacking“ bezeichneten Aktionen wurde der Computer eines ahnungslosen Benutzers gekapert, um Kryptowährungen zu schürfen. Dabei wurden vor allem südkoreanische und internationale Benutzer ins Visier genommen. Beim Cryptojacking können Angreifer die Rechenkapazität und Energie der Opfercomputer ausnutzen, was die Opportunitätskosten für das Mining von Kryptowährungen erheblich senkt.

Eine zweite Technik, die Ende 2018 aufkam, nutzte eine bösartige Version eines gängigen Kryptowährungstools namens „Handelsanwendung“. In diesem Fall entwickelten nordkoreanische Betreiber eine legitime und funktionsfähige Anwendung, die einen zentralen Punkt für den Handel mit einer Reihe von Kryptowährungen bereitstellte. Während der Installation suchte die Anwendung nach Updates und installierte stattdessen einen bekannten nordkoreanischen Remote-Access-Trojaner (RAT) namens FALLCHILL. Diese bösartige Handelsanwendung ermöglichte dann den Zugriff auf das Netzwerk einer gezielten Kryptowährungsbörse, obwohl in diesem Fall nicht klar ist, ob der Angriff erfolgreich war.

Das Blockchain-Analyseunternehmen Chainalysis dokumentierte im März 2019 den Einsatz einer ähnlichen Technik , um fast 7 Millionen US-Dollar in mehreren Kryptowährungen von einer in Singapur ansässigen Börse namens DragonEx zu stehlen. In diesem Fall erstellten nordkoreanische Betreiber einen funktionsfähigen automatisierten Handelsbot für Kryptowährungen namens Worldbit-bot, der auch einen RAT enthielt, der den Zugriff auf DragonEx-Netzwerke und letztendlich den Diebstahl von Münzen im Wert von 7 Millionen US-Dollar ermöglichte.

Unserer Einschätzung nach sind Kryptowährungen für Nordkorea ein wertvolles Instrument als unabhängige, kaum regulierte Einnahmequelle, aber auch ein Mittel zum Transfer und Einsatz illegal erworbener Gelder. Die UNO kam zu dem Schluss , dass „Angriffe auf Kryptowährungen es der Demokratischen Volksrepublik Korea ermöglichen, die Erlöse aus ihren Angriffen leichter im Ausland einzusetzen“, und dass die Nordkoreaner große Anstrengungen unternehmen, um Versuchen zur Nachverfolgung der Gelder zu entgehen. Dazu gehört auch die Einleitung Tausender Transaktionen, die Weiterleitung über mehrere Länder und die Konvertierung in verschiedene Währungen.

Einfache IT-Arbeit und Finanzkriminalität

Eine Reihe von Interviews mit Überläufern, die seit etwa 2012 von Reportern, Wissenschaftlern und Forschern geführt wurden, haben der Außenwelt einen Einblick in die Ziele und die personelle Besetzung der nordkoreanischen Cyberoperationen gegeben. Überläufer haben das Bild eines nordkoreanischen Operationsapparats gezeichnet , der größtenteils aus in Niederlassungen im Ausland lebenden Bedienern und Programmierern besteht und dessen übergeordnete Aufgabe darin besteht, Einnahmen für das Kim-Regime zu generieren.

Überläufer haben detailliert dargelegt, in welchem Ausmaß die Fälschung von Videospielen und der Betrug an deren Nutzern für die Einnahmequellen des Kim-Regimes von entscheidender Bedeutung geworden ist. Ein Überläufer, der mit Dutzenden anderer nordkoreanischer Hacker in einem Haus in China gearbeitet hatte, berichtete, dass diese Männer fast 100.000 Dollar pro Jahr verdienen mussten und 80 Prozent davon an das Kim-Regime überwiesen wurden. Um dieser Anforderung nachzukommen, erstellten die Männer gefälschte Videospiele, Bots, die digitale Objekte wie Waffen, Punkte und Ausrüstung stahlen und diese mit Gewinn weiterverkauften, sowie neue Schwachstellen in Spielesoftware entdeckten und verkauften. Weitere Berichte haben bestätigt, dass nordkoreanische Betreiber es auch auf Online-Casinos, Spieler und Nutzer von Geldautomaten in Südkorea abgesehen haben, um Geld zu ergattern.

Im September 2018 berichtete das Wall Street Journal , dass nordkoreanische Agenten Websites für IT-Freelancer der „Gig Economy“ wie UpWork und Freelancer genutzt hätten, um ahnungslosen Nutzern aus aller Welt Aufträge zu ergattern. Zu den Aufträgen gehörten insbesondere die Entwicklung von Websites und Anwendungen, etwa „ein Bot zur Erleichterung von Großeinkäufen auf der kanadischen E-Commerce-Plattform Shopify, eine Website für ein US-amerikanisches Jobvermittlungsunternehmen und ein Grafikdesignprojekt.“ In diesem Fall operierten diese Nordkoreaner von einer Stadt namens Shenyang im Nordosten Chinas aus.

Dies zeichnet das Bild eines Operationsmodells , das in hohem Maße, wenn auch nicht ausschließlich, davon abhängt, Nordkoreaner zur Durchführung von Cyberoperationen ins Ausland zu schicken.

Zugang zu verbotenen Technologien und Wissen

Nordkoreanische Überläufer haben auch ausführlich über die Rolle gesprochen , die andere Länder – viele davon unwissentlich – bei den Cyberoperationen des Kim-Regimes spielen. Aus der Cyberperspektive nutzt das Kim-Regime Drittländer, um staatlich geförderte Kräfte auszubilden und unterzubringen .

Nordkorea nutzt Drittstaaten nicht nur zur Ausbildung von Cyber-Operatoren, sondern möglicherweise auch, um sich durch UN-Sanktionen verbotenes nuklearbezogenes Wissen anzueignen. Bei einer Untersuchung im September 2017 fand das Wall Street Journal heraus, dass Nordkoreaner im Ausland, vor allem in China, Fächer studierten, „die zur Verbreitung sensibler nuklearer Aktivitäten der Demokratischen Volksrepublik Korea oder zur Entwicklung von Trägersystemen für Atomwaffen beitragen könnten. Dazu gehören Lehre und Ausbildung in fortgeschrittener Physik, fortgeschrittener Computersimulation und verwandten Informatikwissenschaften, georäumlicher Navigation, Nukleartechnik, Luft- und Raumfahrttechnik, Flugzeugbau und verwandten Disziplinen.“

Darüber hinaus haben Überläufer berichtet , dass Cyber-Operatoren nach dem Studium häufig ins Ausland geschickt werden, um dort auch eine Fortbildung zu absolvieren. Zu den von den Überläufern explizit genannten Ländern zählten unter anderem China, Russland und Indien.

Dieses operative Modell , Nordkoreaner zur Ausbildung und Durchführung von Cyber-Operationen ins Ausland zu schicken, wird besonders relevant, wenn man die Art und Weise, wie diese Hacker Geld für das Regime verdienten, mit dem von uns analysierten Webverkehr der nordkoreanischen Elite vergleicht. In unserer früheren Forschung haben wir eine Heuristik entwickelt, um eine signifikante physische und virtuelle Präsenz Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik berücksichtigte ein überdurchschnittliches Maß an Internetaktivität Nordkoreas von und zu diesen Ländern, schloss aber auch das Durchsuchen und Verwenden zahlreicher lokaler Ressourcen ein, etwa von Nachrichtenagenturen, Bezirks- oder Stadtverwaltungen, lokalen Bildungseinrichtungen und mehr.

Mithilfe dieser Technik konnten wir Länder identifizieren, in denen sich Nordkoreaner wahrscheinlich aufhielten oder lebten. Wir haben unsere Techniken und diese Analyse im Laufe des Jahres 2019 weiter verfeinert und konnten im Wesentlichen eine Fortsetzung der Aktivitäten beobachten, die wir im Jahr 2019 in acht Ländern – Indien, China, Nepal, Kenia, Mosambik, Indonesien, Thailand und Bangladesch – beobachtet haben. Obwohl diese Analyse in der Vergangenheit hilfreich war, lieferte sie aus zwei Gründen zunehmend weniger stichhaltige Erkenntnisse über das Verhalten Nordkoreas in diesen Ländern.

Erstens: Auch wenn die herrschende Elite Nordkoreas nicht durchgängig strenge Verfahren zur Internetsicherheit anwendet, geht der allgemeine Trend sowohl bei den Nordkoreanern als auch bei allen Internetnutzern in Richtung mehr Sicherheit. Dies bedeutet, dass es mit der Zeit schwieriger geworden ist, die Internetaktivitäten Nordkoreas zu verfolgen und neue Erkenntnisse zu gewinnen.

Zweitens bieten große Technologieunternehmen ihren Kunden eine zunehmend breitere Palette von Diensten an, darunter DNS, Content Delivery, Cloud-Dienste und mehr. Aus Netzwerkperspektive ist es unglaublich schwierig, den Endinhalt hinter der generischen Infrastruktur von DigitalOcean, Cloudflare oder GoDaddy zu erkennen. Sogar Ports und Protokolle liefern nur eine begrenzte Menge an Daten, und oft gibt eine Sitzung, die in einer DigitalOcean-Box beendet wird, nichts preis.

Auf Grundlage unserer Daten gehen wir weiterhin davon aus, dass sowohl China als auch Indien – wissentlich oder unwissentlich – nordkoreanische Operationen beherbergen und ermöglichen. Insbesondere Indien dürfte weiterhin sowohl Gastgeber als auch Opfer nordkoreanischer Cyber-Operationen sein.

Betriebssicherheit

Anfang 2018 stellten wir fest, dass die Nordkoreaner den Einsatz operativer Sicherheitstechniken wie virtueller privater Netzwerke (VPN), virtueller privater Server (VPS), Transport Layer Security (TLS), The Onion Router (Tor) und anderer dramatisch erhöhten. Bis Ende 2018 hatte sich dieses betriebssichere Verhalten von 13 % des gesamten Verkehrs auf knapp über 5 % abgeschwächt. Wir sind davon überzeugt, dass die Überwachung der Nutzung sicherer Browser-Technologien durch die nordkoreanische Führung ein Indikator für zwei Dinge ist: technologisches Know-how und Reaktionsfähigkeit sowie das Ausmaß staatlicher Kontrolle über das Verhalten der Elite.

Im Jahr 2019 erholte sich die Nutzung sicherer Browsing-Technologien leicht und betrug 9,5 % des gesamten Internetverkehrs. Unter ihnen wurde HTTPS von der nordkoreanischen Führung am häufigsten verwendet. Dies ist wahrscheinlich darauf zurückzuführen, dass nahezu die Hälfte der weltweit größten Websites standardmäßig HTTPS verwendet.

Another change we observed in North Korean operational security behavior in 2019 was the incorporation of DNS tunneling. DNS (Domain Name System) was created to enable computers to resolve a domain name (pyongyangtimes[.]com[.]kp, for example) to an IP address (175.45.176.67). The original intent for DNS was to ease the lookups and associations of domains and IP addresses, not to secure that process. As a result, and because DNS is so critical to a network’s operation, DNS ports (port 53 typically) are left open, and traffic is relatively unscrutinized. DNS tunneling is when the DNS process is used not for a domain resolution, but for data transfer or tunnel between networks or devices.

Im Fall von Nordkorea haben wir beobachtet, dass Benutzer Mitte 2019 DNS-Tunneling einführten. Da DNS im Allgemeinen nur wenig überwacht wird, stellt es ein ideales Protokoll zum Umgehen von Firewall- und Dienstbeschränkungen dar. Darüber hinaus stehen DNS-Tunneling-Toolkits überall zur Verfügung. DNS-Tunneling ist keine neue Technik, wir gehen jedoch davon aus, dass nordkoreanische Benutzer sie erst seit Kurzem einsetzen. Im Falle der nordkoreanischen DNS-Tunneling-Aktivität wurden die meisten Ziel-IPs von Shodan auch als VPN-Endpunkte und MicroTik-Geräte identifiziert, was darauf hindeutet, dass diese Lösung wahrscheinlich als alternatives VPN gedacht war.

Der Einsatz dieser speziellen Technik bietet einen weiteren Einblick in die Technikkenntnis einiger nordkoreanischer Elite-Internetnutzer, da DNS-Tunneling eine Technik ist, mit der die meisten durchschnittlichen Internetnutzer nicht vertraut sind. Unserer Einschätzung nach gibt es für die Unternehmensleitung zwei wahrscheinliche Gründe, DNS-Tunneling einzusetzen:

1. Um Eindringlingsaktivitäten zu verschleiern. DNS-Tunneling kann verwendet werden, um Daten aus den Netzwerken der Opfer zu exfiltrieren oder einen Kommunikationskanal zwischen einem infizierten Endpunkt und einem Command-and-Control-Server (C2) zu erstellen. Böswillige Kommunikation über DNS wird mit geringerer Wahrscheinlichkeit blockiert oder erkannt, da die meisten Organisationen freizügige DNS-Sicherheitsrichtlinien einsetzen, um die Netzwerkkonnektivität zu erleichtern.
2. Um staatlich auferlegte Sicherheitskontrollen oder Inhaltsbeschränkungen zu umgehen. Obwohl es sich bei den nordkoreanischen Internetnutzern um Angehörige der obersten Führungsschicht handelt, ist es möglich, dass manche von ihnen auf Inhalte zugreifen möchten, die vom Kim-Regime nicht gestattet sind. Wir wissen beispielsweise, dass das Kim-Regime 2016 damit begann, inländischen Nutzern den Zugriff auf Facebook, YouTube und Twitter zu sperren . Durch die Analyse des Netzwerkverkehrs konnten wir jedoch beobachten , dass nordkoreanische Benutzer seitdem diese Plattformen nutzen. DNS-Tunneling könnte für versiertere Internetnutzer eine Möglichkeit sein, derartige Inhaltsbeschränkungen oder andere Sicherheitskontrollen durch die Verwendung eines kaum eingeschränkten Protokolls zu umgehen.

DDoS-Angriffe zielen auf die Infrastruktur der Demokratischen Volksrepublik Korea

It is not unusual for North Korean websites to be targeted by denial-of-services (DoS) or distributed denial-of-service (DDoS) attacks. For example, on May 28, 175.45.176.67, which hosted websites for the Pyongyang Times, Naenara, and several North Korean insurance companies, was targeted by a DDoS attack lasting one hour with DNS traffic levels peaking at an observed rate of at least 550 megabits per second. DNS flooding is the most common type of DDoS we have observed utilized against North Korean infrastructure.

Ab Ende April 2019 beobachteten wir eine einzigartige Art von DDoS-Angriff, der durch einen Anstieg koordinierter verbindungsloser LDAP-Aktivitäten (CLDAP) gekennzeichnet war. Der Angriff ging von Geräten in mindestens 161 Ländern weltweit aus und zielte auf eine einzelne nordkoreanische IP-Adresse ab. Die Aktivität begann gegen Mittag (Ortszeit Nordkorea) und dauerte nur 25 Minuten. Dabei wurde ein Spitzenwert des CLDAP-Verkehrs von mindestens 1,5 Gigabit pro Sekunde beobachtet – um mehrere Größenordnungen höher als die beobachteten täglichen Normen für den auf dem nordkoreanischen Festland gehosteten IP-Adressraum.

CLDAP wird typischerweise in Unternehmensnetzwerken für Verzeichnisdienste verwendet, beispielsweise für den Zugriff auf Benutzernamen und Passwörter aus dem Active Directory. In den Jahren 2016 und 2017 stellten Sicherheitsunternehmen jedoch fest, dass CLDAP und LDAP für DDoS-Angriffe missbraucht wurden. Die Technik zum Ausführen eines DDoS-Angriffs über CLDAP erfordert lediglich, dass der Angreifer in einer CLDAP-Anfrage an einen offenen Reflektorserver, auf dem der verbindungslose LDAP-Dienst ausgeführt wird, seine Quell-IP-Adresse durch die IP des beabsichtigten Opfers ersetzt. Die gefälschte Adresse bringt dann den CLDAP-Reflektorserver dazu, die CLDAP-Antwort nicht an den Anforderer, sondern an das beabsichtigte Opfer zurückzusenden.

Wir haben außerdem festgestellt, dass die durchschnittliche CLDAP-Anforderungspaketgröße bei etwa 80 Bytes liegt, die entsprechende durchschnittliche Antwortpaketgröße bei etwa 1472 Bytes. Dies bedeutet, dass die Angreifer während der 40 Minuten des DDoS-Angriffs einen Verstärkungsfaktor von ungefähr 18x erreichten. In einem Interview im Jahr 2017 erklärte ein Sicherheitsmitarbeiter von Akamai, dass der größte von ihnen beobachtete CLDAP-Angriff eine Geschwindigkeit von drei Gigabit pro Sekunde erreicht habe. Er schätzte, dass ein Angriff dieser Größenordnung „ausreichen würde, um kleinere Sites offline zu bringen und möglicherweise Latenzprobleme auf anderen Sites zu verursachen“.

Die von uns beobachtete Angriffsgeschwindigkeit betrug 1,5 Gigabit pro Sekunde. Unserer Einschätzung nach war dies möglicherweise ausreichend, um zumindest Störungen der nordkoreanischen öffentlichen Internet-Infrastruktur zu verursachen.

Top-level diagram of reflective DDoS amplification attack methodology used against DPRK global-internet-facing infrastructure in late April 2019. We also identified two further suspected reflective CLDAP DDoS amplification attacks: one on the morning of May 7, 2019 lasting just over 40 minutes, and another the next evening on May 8, which lasted approximately an hour. Both of these attacks were an order of magnitude smaller in terms of the number of unique CLDAP reflector servers used, although the relative CLDAP amplification factor in data size remained consistent at 18x. Interestingly, almost all of the reflector servers used in the May 8 attacks were also used in the attacks against North Korean IPs a day earlier. Further, despite the order of magnitude difference in total number of resolvers used, 62% of the resolvers used in the May 7 attack were found to have also been used in the earlier April 23 attack.

Attacke	Datum (Zulu)	Dauer der Spitzenaktivität	DDoS-Verstärkungsfaktor	Gesamtzahl der beobachteten verwendeten CLDAP-Reflektoren
Angriff 1	23/04/2019	40 Minuten	18.88	10529
Angriff 2	06/05/2019	41 Minuten	18.35	1338
Angriff 3	07/05/2019	61 Minuten	18.34	598

Wir haben keine Informationen darüber, wer die Anschläge im April und Mai ausgeführt hat. Auch in Nordkorea sind DDoS-Angriffe keine Seltenheit. Wir haben uns entschieden, diesen Angriff näher zu untersuchen, weil das Protokoll und die Angriffsgeschwindigkeit einzigartig sind.

Nordkoreanische Versicherungsindustrie

Wir gehen davon aus, dass Nordkorea im Jahr 2019 mit der Digitalisierung und Internationalisierung seiner Versicherungsbranche begonnen hat, möglicherweise um ausländische Investitionen anzukurbeln und/oder auf betrügerische Weise Einnahmen für das Kim-Regime zu erzielen.

Laut NK News gibt es in Nordkorea fünf Versicherungsgesellschaften:

1. Korea National Insurance Company (KNIC), gegründet 1947, allgemeine Versicherung
2. Rainbow Intermediaries, gegründet im Mai 2015, Feuer, Kfz, Bauunternehmer, Maschinenausfall, Leben, Reisen, Personenunfall, Touristik, Rückversicherung
3. Samhae Insurance Company, gegründet im Oktober 2016, Schiffskasko, Fracht, Haftpflicht und Luftfahrt
4. Polestar Insurance Company, gegründet im August 2016, Versicherungs- und Rückversicherungsdienstleistungen in den Bereichen Feuer, Technik, Kredit und Landwirtschaft
5. Future Re Company, gegründet im Oktober 2017, fakultative und vertragliche Rückversicherung

Im August 2017 wurde KNIC von den Vereinten Nationen zu einer sanktionierten Organisation erklärt, da es Verbindungen zum Büro 39 des Reconnaissance General Bureau (RGB) hatte und in Versicherungsbetrug im Zusammenhang mit der Finanzierung des nordkoreanischen Raketenprogramms verwickelt war. Obwohl sie bereits vor mehreren Jahren gegründet wurden, zeigen unsere Daten, dass die letzten vier Versicherungsunternehmen erst Ende 2018 und Anfang 2019 im globalen Internet präsent waren.

Within the last year, Samhae, Polestar, and Future Re all acquired global internet websites and mail servers. The websites for all three companies, as of November 2019, are hosted at 175.45.176.67. Future Re established a mail server in late December 2018 at 175.45.176.20, which also hosts the mail server for Silibank, an internet company based in Shenyang, China that became one of North Korea’s first internet service providers (ISP) back in 2001. Silibank still offers email services for North Korean clients, including Rainbow Intermediaries, which lists a Silibank domain as an email contact on its webpage.

Screenshot der Rainbow Intermediaries-Website, aufgenommen von NK News im Juli 2019. Die globale Internet-Infrastruktur für alle vier Versicherungsunternehmen wurde erst im letzten Jahr geschaffen. Darüber hinaus zeigen unsere Daten seit Februar 2019 ein zunehmendes Datenverkehrsaufkommen auf dem Future Re-Mailserver und den Websites von Samhae, Polestar und Future Re von Benutzern aus Indien, Russland und dem Iran. Die digitalen Fußabdrücke aller vier Versicherungsunternehmen deuten darauf hin, dass es sich keineswegs um unabhängige Unternehmen handelt. Vielmehr werden sie über dieselbe Internet-Infrastruktur geführt und verwaltet und sind vermutlich ein einzelnes staatliches Projekt.

Im Dezember 2018 erklärte der Präsident von Polestar, Kim Kyung-hoon, dass das Unternehmen in ganz Nordkorea elf Niederlassungen und 70 lokale Büros gegründet habe und plane, „unsere Dienstleistungen weiter auf dem internationalen Markt auszudehnen“, indem es „Netzwerke mit international renommierten Versicherungsunternehmen aufbaue“. Ebenso erklärte der Präsident von Samhae Insurance gegenüber südkoreanischen Medien , dass das Unternehmen in allen „großen Hafenstädten, Fischereistützpunkten und Transportstützpunkten“ in Nordkorea Niederlassungen und Vertreter habe und im November 2018 mit der Rückversicherung von Fischerbooten begonnen habe.

Was nordkoreanische Versicherungsunternehmen allerdings zu einem interessanten Thema macht, ist die Rolle, die sie in der Vergangenheit bei der Geldbeschaffung für das Kim-Regime gespielt haben und welche Bedeutung sie für die Förderung ausländischer Investitionen haben. Im Jahr 2017 beschrieb ein nordkoreanischer diplomatischer Überläufer, wie das Kim-Regime mithilfe von KNIC jährlich Dutzende Millionen Dollar durch Versicherungsbetrug verdiente:

„In Nordkorea gibt es nur eine staatliche Versicherungsgesellschaft, sodass es, selbst wenn diese einen Unfall fabriziert, keine Möglichkeit gibt, ihre Ansprüche zu überprüfen. Nach dem Abschluss internationaler Versicherungen oder Rückversicherungen für die staatliche Infrastruktur werden Dokumente (über angebliche Unfälle) gefälscht, was dem Staat jährlich Dutzende Millionen Dollar einbringt.“

Dreißig Jahre lang hat KNIC, das größte staatliche Versicherungsunternehmen, Rückversicherungsverträge mit internationalen Rückversicherern ausgenutzt, um möglicherweise falsche Ansprüche geltend zu machen und so Dutzende Millionen Dollar für das Kim-Regime zu erwirtschaften. Laut The Times beliefen sich die weltweiten Vermögenswerte von KNIC im Jahr 2014 auf 787 Millionen Pfund oder fast 1,3 Milliarden Dollar.

Obwohl es schwierig ist, nachweisbare Fälle von Versicherungsbetrug in Nordkorea zu finden, gibt es im letzten Jahrzehnt einige Fälle, die das wahrscheinliche Ausmaß dieses Betrugs verdeutlichen. Im Jahr 2011 erhielt ein malaysisch-nordkoreanisches Bauunternehmen einen Auftrag im Wert von 18 Millionen Dollar für den Bau von 213 Eigentumswohnungen in einem Vorort der ugandischen Hauptstadt. Im Laufe des folgenden Jahres schloss das Bauunternehmen eine Reihe überbewerteter Versicherungen ab und erhielt 20 % im Voraus ausgezahlt, noch bevor die Arbeiten überhaupt begonnen hatten. Nach jahrelangen Verhandlungen, Gerichtsverfahren und vermutlich auch Betrug stiegen im Jahr 2018 sowohl das nordkoreanische Bauunternehmen als auch die ugandische Wohnungsbaubehörde aus dem Projekt aus, ohne die Eigentumswohnungen fertiggestellt zu haben und nachdem sie mehrere Millionen Dollar an Versicherungsleistungen eingefordert hatten.

In einem der berüchtigtsten Fälle reichte KNIC eine Schadensersatzklage für den Absturz eines Hubschraubers in Pjöngjang im Jahr 2005 ein, bei dem ein Lagerhaus mit Hilfsgütern zerstört wurde. KNIC hatte die Waren bei einem Konsortium internationaler Versicherer für fast 60 Millionen Dollar versichert. Der Versicherer weigerte sich mehrere Jahre lang zu zahlen und berief sich dabei auf überhöhte Sachschäden und fragwürdige Unterlagen. Schließlich einigte er sich mit KNIC jedoch auf einen Vergleich in Höhe von fast 57 Millionen US-Dollar. Damals hieß es, Nordkorea habe bei westlichen Versicherungsgesellschaften Schadensersatz im Gesamtwert von knapp 150 Millionen US-Dollar gesucht.

Nach Ansicht einiger chinesischer Investoren könnten diese zusätzlichen Versicherungsgesellschaften auch das Vertrauen in nordkoreanische Investitionen stärken. Konkret: „Der neue Versicherungsvermittler ist ein Zeichen wachsender Komplexität und Konkurrenz im kommerziellen Dienstleistungssektor innerhalb der nordkoreanischen Wirtschaft.“

Wir glauben, dass der offensichtliche Fokus des Kim-Regimes auf die Verbesserung der Erreichbarkeit seiner verbleibenden vier staatlichen Versicherer im Laufe des Jahres 2019 ein Versuch sein könnte, sowohl den Versicherungsbetrug als Einnahmequelle nach der Sanktionierung von KNIC im Jahr 2017 wiederzubeleben als auch potenzielle Investoren in Nordkorea zu beruhigen.

Ausblick

Im Laufe der letzten zweieinhalb Jahre haben unsere Untersuchungen zu Nordkorea einen beispiellosen Einblick in das digitale Leben der obersten Führungspersönlichkeiten Nordkoreas ermöglicht. Wir haben die Aktivitäten der nordkoreanischen Staatsführung zu einem einzigartigen Zeitpunkt in den Beziehungen zwischen den USA und Nordkorea verfolgt und analysiert. Dazu gehörten die Dauer der „ Höchstdruck“-Kampagne, die Zeit der höchsten Anzahl an Raketenstarts und -tests sowie die erste Reihe von Gipfeltreffen zwischen einem amerikanischen und einem nordkoreanischen Staatschef.

Im Kern hat diese Forschungsreihe gezeigt, wie anpassungsfähig und innovativ die oberste Führung Nordkoreas ist. Sie nehmen neue Dienste oder Technologien schnell an, wenn sie nützlich sind, und verwerfen sie, wenn sie nicht nützlich sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausbeutung des Internets entwickelt: Es ist ein Staat, der wie ein Verbrechersyndikat geführt wird.

Die Demokratische Volksrepublik Korea hat darüber hinaus ein neues, kreatives und innovatives internetbasiertes Modell entwickelt, um die von multinationalen Organisationen und dem Westen gegen sie verhängten Sanktionen zu umgehen. Dieses Modell umfasst die Erzielung von Einnahmen sowohl durch offensichtliche Straftaten wie Bankraub und Betrug als auch durch nicht kriminelle Aktivitäten wie das Mining von Kryptowährungen und freiberufliche IT-Arbeit.

Dieses Modell bietet auch ein Instrument für den Erwerb verbotener Kenntnisse und Fähigkeiten, beispielsweise solcher, die die Entwicklung von Nordkoreas Atom- und ballistischen Raketenprogrammen sowie Cyberoperationen ermöglichten. Im Grunde hat Nordkorea ein Modell entwickelt, das das Internet als Mechanismus zur Umgehung von Sanktionen nutzt. Dieses Modell ist einzigartig, aber nicht außergewöhnlich. Dieses Modell ist zwar einzigartig, aber wiederholbar, und was am besorgniserregendsten ist: Es könnte anderen finanziell isolierten Nationen als Beispiel dafür dienen, wie das Internet zur Umgehung von Sanktionen genutzt werden kann.

Wir gehen davon aus, dass auch andere isolierte Staaten bald dieselben kriminellen und nicht kriminellen Methoden anwenden werden, die Nordkorea einsetzt, um Einnahmen zu erzielen und ihre eigenen Sanktionen zu umgehen.

Wir gehen beispielsweise davon aus, dass der Iran im Laufe des Jahres 2019 damit begonnen hat, Kryptowährungen als Methode zur Erleichterung internationaler Zahlungen und zur Umgehung der US-Finanzkontrollen einzusetzen. Ein Artikel der New York Times vom Januar deutete darauf hin, dass europäische und asiatische Geschäftspartner „zunehmend kooperativ“ seien und die Verwendung von Kryptowährungen für Zahlungen an iranische Unternehmen unterstützten. Im Juli kündigte die iranische Regierung eine inländische Kryptowährung an, die durch Gold gestützt würde. Und im August legalisierte der Iran das Mining von Kryptowährungen als Industrie.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Organisationen, die folgenden Maßnahmen zu ergreifen, wenn sie potenzielle nordkoreanische Aktivitäten in ihren Netzwerken feststellen:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen eine Warnung ausgeben und diese nach Prüfung blockieren:

• 175.45.176.0/22

• 210.52.109.0/24

• 77.94.35.0/24

• Um nordkoreanische Bemühungen zum Mining von Kryptowährungen zu erkennen und zu verhindern, sollten Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so konfigurieren, dass sie bei illegalen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen, die über TCP-Ports eine Verbindung zu Ihrem Netzwerk herstellen, eine Warnung ausgeben und diese nach Prüfung blockieren:

• 8332 und 8333 für Bitcoin

• 18080 und 18081 für Monero

• 9332 und 9333 für Litecoin

Notiz: The aforementioned ports are the default ports configured for the given cryptocurrencies. It is plausible for cryptocurrency mining software to have been modified to override the default ports. Furthermore, other services may also be configured to operate on the listed ports based on your enterprise configuration, and therefore, IDS and/or IPS alerting of network traffic on the listed ports may yield false positives.

• DNS-Tunneling kann durch die Untersuchung von Netzwerkverkehrsprotokollen oder Paketaufzeichnungen erkannt werden. DNS-Tunneling mit hohem Datendurchsatz, wie wir es in diesem Fall bei nordkoreanischen Benutzern festgestellt haben, lässt sich erkennen, weil es typischerweise zu erheblichen Änderungen des DNS-Verkehrs führt „hinsichtlich (1) Volumen, (2) Nachrichtenlänge und (3) kürzerer durchschnittlicher Zeitspanne zwischen Nachrichten.“

• Zur allgemeinen DNS-Sicherheit:

• Verwenden Sie eine DNS-Firewall oder einen DNS-Filter, beispielsweise DNS Response Policy Zones (RPZ), mit einem DNS-Intelligence-Feed.

• Protokollieren Sie alle DNS-Anfragen und -Verbindungen und bewahren Sie die Protokolle auf, um zukünftige Untersuchungen zu ermöglichen. Verwenden Sie wenn möglich DNSSEC .

• So verteidigen Sie sich gegen einen potenziellen CLDAP-DDoS-Angriff:

• Do not expose CLDAP services to the global internet. This will ensure that these machines are not unwitting participants in a CLDAP DDoS attack. Employ DDoS mitigation services.

• Machen Sie sich mit den VPN-Diensten und -Protokollen Ihres Unternehmens vertraut und blockieren oder prüfen Sie sorgfältig nicht standardmäßigen VPN-Verkehr.

• Erwägen Sie die unternehmensweite Implementierung eines Software-Whitelist-Programms, um der Möglichkeit entgegenzuwirken, dass Kryptowährungs-Mining-Software aus dem Netzwerk heruntergeladen und ausgeführt wird.

• Viele Kryptowährungs-Miner verwenden zur Koordination Internet Relay Chat (IRC). Sofern IRC keine für Ihr Unternehmen erforderliche Anwendung ist, sollten Sie erwägen, den standardmäßigen IRC-TCP-Port 6667 über Ihr IDS und IPS zu blockieren, um das Mining von Kryptowährungen über IRC einzudämmen.

• Nordkoreanische Betreiber haben häufig sowohl Flash- als auch Silverlight-Exploits ausgenutzt, insbesondere bei Operationen gegen Finanzinstitute und Südkorea. Recorded Future empfiehlt, diese Programme regelmäßig zu patchen oder ihre Verwendung generell einzuschränken.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme per Phishing).
• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.