
Wie Nordkorea das Internet als Werkzeug für Schurkenregime revolutionierte

Für diese Untersuchung untersuchte die Insikt Group die Internetaktivitäten der nordkoreanischen Führungsspitze, indem sie mithilfe einer Reihe von Tools Daten von Drittanbietern, IP-Geolokalisierung, Routingtabellen des Border Gateway Protocol (BGP), Netzwerkverkehrsanalysen und Open Source Intelligence (OSINT) analysierte. Die für diesen Bericht analysierten Daten erstrecken sich vom 1. Januar 2019 bis zum 1. November 2019.
Dieser Bericht dürfte vor allem für Ministerien und Organisationen in den Bereichen Technologie, Finanzen, Verteidigung, Kryptowährungen und Logistik von Interesse sein, sowie für jene, die die Umgehung nordkoreanischer Sanktionen, illegale Finanzierung und staatlich geförderte Cyber-Spionage untersuchen.
Executive Summary
In den letzten drei Jahren hat Recorded Future eine Reihe von Forschungsbeiträgen veröffentlicht, die einzigartige Einblicke in das Verhalten der obersten Führung Nordkoreas gewähren. Unsere Beobachtungen und Erkenntnisse aus dem Jahr 2019 erweitern diese Beobachtungen und lassen allgemeinere Schlussfolgerungen über die Art und Weise zu, wie die nordkoreanische Führung das Internet nutzt. Für die politische und militärische Elite Nordkoreas zeigen die Daten aus dem Jahr 2019, dass das Internet nicht nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern ein entscheidendes Instrument zur Erzielung von Einnahmen, zum Zugang zu verbotenen Technologien und Wissen sowie zur operativen Koordinierung.
Darüber hinaus gehen wir davon aus, dass Nordkorea ein internetbasiertes Modell zur Umgehung der internationalen Finanzkontrollen und Sanktionsregime entwickelt hat, die ihm von multinationalen Organisationen und dem Westen auferlegt wurden. Hierzu gehört nicht nur die Nutzung des Internets als Mechanismus zur Erzielung von Einnahmen, sondern auch die Nutzung als Instrument zur Aneignung verbotener Kenntnisse und Fähigkeiten, wie sie etwa die Entwicklung des nordkoreanischen Atom- und Raketenprogramms sowie von Cyberoperationen ermöglichten. Dieses Modell verwendet drei Haupttaktiken zur Erzielung von Einnahmen: Bankdiebstahl über das Internet, Nutzung und Ausnutzung von Kryptowährungen und Blockchain-Technologie sowie geringfügige IT-Arbeit und Finanzkriminalität.
Im Grunde hat Nordkorea ein Modell entwickelt, das das Internet als Mechanismus zur Umgehung von Sanktionen nutzt. Dieses Modell ist einzigartig, aber nicht außergewöhnlich. Dieses Modell ist zwar einmalig, aber wiederholbar. Und was am besorgniserregendsten ist: Es könnte anderen finanziell isolierten Ländern wie Venezuela, dem Iran oder Syrien als Beispiel dafür dienen, wie sie das Internet nutzen können, um Sanktionen zu umgehen.
Wichtige Urteile
- Seit 2017 beobachten wir einen Anstieg des Aktivitätsvolumens von und zu nordkoreanischen Netzwerken um 300 %. Wir gehen davon aus, dass hierfür mehrere Faktoren verantwortlich sind, unter anderem die verstärkte Nutzung der über Russland geleiteten Infrastruktur von TransTelekom, die Verwendung eines Teils des bislang nicht aufgelösten IP-Raums Nordkoreas und die Einrichtung neuer Mailserver, FTP-Server und DNS-Nameserver zur Bewältigung der gestiegenen Verkehrslast.
- Die anhaltenden Veränderungen im Lebensstil und bei den Inhalten deuten darauf hin, dass das Internet für die oberste Führung Nordkoreas wahrscheinlich zu einem professionellen Werkzeug geworden ist. Die höchste Internetnutzung findet mittlerweile an Wochentagen während der nordkoreanischen Arbeitszeiten statt. Das ist eine Veränderung gegenüber 2017, als die Aktivität an den Wochenenden sowie am späten Nachmittag und Abend am höchsten war.
- Wir gehen davon aus, dass das Internet in Kombination mit der 300-prozentigen Steigerung des Aktivitätsvolumens, der erhöhten Bandbreite und Kapazität durch die Weiterleitung eines zusätzlichen /24-Subnetzes über die Infrastruktur von TransTelekom sowie der jüngsten Nutzung einiger bislang nicht genutzter IP-Bereiche nicht länger nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern zu einem entscheidenden Instrument der nordkoreanischen Führung geworden ist.
- Wir haben herausgefunden, dass Nordkorea durch Ausnutzung des Domain Name Service (DNS) sein eigenes einzigartiges virtuelles privates Netzwerk (VPN) erstellt hat. Dieses VPN verwendet eine Technik namens DNS-Tunneling. Dabei wird der DNS-Prozess nicht zur Domänenauflösung, sondern zum Übertragen von Daten oder zum Tunneln innerhalb eines geschlossenen Netzwerks verwendet. Wir gehen davon aus, dass nordkoreanische Benutzer diese Technik verwenden könnten, um Daten aus den Netzwerken ahnungsloser Ziele zu extrahieren oder um staatlich verhängte Inhaltskontrollen zu umgehen.
- Wir glauben, dass der offensichtliche Fokus des Kim-Regimes auf die Verbesserung der Erreichbarkeit seiner verbleibenden vier staatlichen Versicherer im Laufe des Jahres 2019 ein Versuch sein könnte, sowohl den Versicherungsbetrug als Einnahmequelle nach der Sanktionierung von KNIC im Jahr 2017 wiederzubeleben als auch potenzielle Investoren in Nordkorea zu beruhigen.
- Wir haben seit Mai 2019 eine mindestens zehnfache Zunahme der Monero-Mining-Aktivität aus nordkoreanischen IP-Bereichen beobachtet. Wir glauben, dass Monero aufgrund seiner Anonymität und des geringeren Bedarfs an Rechenleistung für nordkoreanische Benutzer wahrscheinlich attraktiver ist als Bitcoin.
Hintergrund
Wie unsere Recherchen seit April 2017 gezeigt haben, gibt es unter den höchsten Führungspersönlichkeiten Nordkoreas einige wenige, denen direkter Zugang zum globalen Internet gestattet ist. Es gibt zwar keine verlässlichen Zahlen über nordkoreanische Internetnutzer, aber Reporter schätzen, dass es "nur eine sehr kleine Anzahl" über "den inneren Kreis der nordkoreanischen Führung" bis hin zu "nur ein paar Dutzend Familien" gibt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers eindeutig: Er ist ein Familienmitglied oder ein anderweitig vertrauenswürdiges Mitglied der herrschenden Klasse.
Die nordkoreanische Elite greift auf drei wesentliche Wege auf das globale Internet zu. Die erste Methode erfolgt über die zugewiesene .kp Bereich 175.45.176.0/22, der auch die einzigen global über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains wie co[.]kp, gov[.]kp und edu[.]kp sowie etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungs-Websites.
Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname "KPTC" ist die Abkürzung für Korea Posts and Telecommunications Co., das staatliche Telekommunikationsunternehmen. Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon auflöst.
Wir weisen hier darauf hin, dass wir, wenn wir von „nordkoreanischer Internetaktivität“ oder „nordkoreanischem Verhalten“ sprechen, die Nutzung des globalen Internets meinen, zu dem nur einige wenige politische Führer und die herrschende Elite Zugang haben, nicht jedoch das nordkoreanische Intranet (Kwangmyong). Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe von Nordkoreanern, die Zugriff auf Kwangmyong oder diplomatische und ausländische Einrichtungen in Nordkorea haben.
Analyse
Normalisierung der Internetnutzung
Wie wir in unserem Bericht vom Oktober 2018 feststellten, hat das Ausmaß der Internetaktivität zugenommen, seit wir Anfang 2017 begonnen haben, das Verhalten der nordkoreanischen Führung zu untersuchen. Im Laufe der letzten fast drei Jahre hat das Aktivitätsvolumen von und zu nordkoreanischen Netzwerken um fast 300 Prozent zugenommen. Wir glauben, dass es für diesen Anstieg der Internetnutzung mehrere mögliche Gründe gibt.
Erstens hat Nordkorea seine Bandbreite und Kapazität für den Zugang zum globalen Internet erhöht. Bereits im Oktober 2017 gewann Nordkorea einen neuen Partner, das russische Unternehmen TransTelekom (AS20485), um den Internetverkehr für eine der Teilmengen seines größten IP-Bereichs, 175.45.176.0/22, zu routen. Zuvor wurde der gesamte Verkehr aus dem gesamten 175.45.176.0/22 Bereich wurde von China Unicom (AS4837) geroutet, und Anfang September 2019 war nur noch die 175.45.178.0/24 Subnetz hatte jemals die Infrastruktur von TransTelekom genutzt.
Mitte September 2019 haben wir jedoch eine Änderung in den BGP-Routing-Tabellen festgestellt, die darauf hindeutet, dass die 175.45.177.0/24 Das Subnetz war vollständig von China Unicom auf TransTelekom umgestellt worden. Sowohl Traceroutes als auch BGP-Routenabfragen, die von Hurricane Electric und anderen Diensten ausgeführt werden, bestätigen, dass die Datei 175.45.177.0/24 Das Subnetz durchläuft jetzt die TransTelekom-Infrastruktur.
Darüber hinaus zeigt die Subnetzanalyse, dass mittlerweile 45 % des gesamten nordkoreanischen Internetverkehrs über die Infrastruktur von TransTelekom laufen; Anfang 2018 waren es lediglich 36 %. Wir gehen davon aus, dass die erhöhte Kapazität zumindest einen Teil der Zunahme des Internetverkehrsvolumens im vergangenen Jahr erklärt. Das Routing separater Subnetze über die Infrastruktur von TransTelekom und China Unicom verringert wahrscheinlich die Latenz bei der Internetkommunikation und erhöht Geschwindigkeit und Zugänglichkeit für Benutzer der nordkoreanischen Führung.
Zweitens hat Nordkorea in den letzten sechs Monaten damit begonnen, einen Teil seines bisher ungelösten IP-Raums zu nutzen. Anfang Juni verschoben nordkoreanische Netzwerkadministratoren die IP-Auflösung von zwei DNS-Nameservern für die kptc[.]Kp Domäne. Zuvor waren die Nameserver für kptc[.]Kp aufgelöst in 175.45.176.15 und 175.45.176.16. Anfang Juni 2019 wurden diese Nameserver auf 175.45.177.15 und 175.45.177.16 umgestellt. beziehungsweise. Vor Anfang Juni wurden diese beiden IP-Adressen überhaupt nicht aufgelöst. Seitdem haben diese beiden IPs zusätzliche Rollen als SMTP - (oder Mail- ) und FTP-Server übernommen.
Diese Änderungen erscheinen auf den ersten Blick möglicherweise trivial, doch in Wirklichkeit bedeuten sie eine Ausweitung des Serviceangebots für nordkoreanische Nutzer. Wir glauben, dass die kptc[.]kp Die Nameserver wurden von 175.45.176.15 und 175.45.176.16 migriert, da diese IP-Adressen traditionell einen erheblichen Anteil des ein- und ausgehenden nordkoreanischen Internetverkehrs abwickelten. Im Durchschnitt haben 175.45.176.15 und 175.45.176.16 in den letzten fast drei Jahren 30 % des gesamten ein- und ausgehenden nordkoreanischen Datenverkehrs abgewickelt – eine erhebliche Belastung für zwei Maschinen, die, wie wir im Juni 2018 feststellten, wahrscheinlich zu Verzögerungen beim Laden von Seiten und Latenzproblemen sowohl für ausländische als auch für inländische Benutzer führte.
Wir gehen davon aus, dass die Änderungen in der Netzwerkadministration, die wir in den letzten sechs Monaten beobachtet haben, wahrscheinlich eine Reaktion auf die gestiegene Nachfrage nordkoreanischer Benutzer im In- und Ausland sind. Wenn Sie beispielsweise einen über das Internet erreichbaren Mailserver einrichten, bedeutet dies, dass Benutzer den Benutzern dieser Domänen E-Mails senden möchten und dass die Benutzer auch von einem Remote-Zugriff auf ihre E-Mails zugreifen möchten. Wir konnten diese Steigerung der Nachfrage anhand der 300-prozentigen Zunahme der Internetaktivität in den vergangenen drei Jahren beobachten und gehen davon aus, dass dies auch die Normalisierung und Professionalisierung der Internetnutzung innerhalb der nordkoreanischen Elite widerspiegelt.
Lebensmusteranalyse
Im Laufe der letzten drei Jahre haben wir außerdem die Entwicklung der täglichen Internetnutzungsmuster der nordkoreanischen Führer beobachtet. Nachfolgend sind zwei Diagramme aufgeführt, die das Muster der täglichen Internetnutzung durch die nordkoreanische Führung für jede Tagesstunde darstellen. Bemerkenswert an dem neuesten Diagramm (erstellt aus Daten von Januar bis Oktober 2019) ist das Ausmaß, in dem sich die meisten täglichen Aktivitätsspitzen und -täler abgeschwächt haben.
Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von Januar bis Oktober 2019.
Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von März bis August 2018.
Im Jahr 2019 nutzten die nordkoreanischen Politiker das Internet während der Arbeitszeit und an Werktagen im Durchschnitt mehr als im Jahr 2017 (siehe unten die Diagramme mit den tagesgenauen Aktivitäten).
Tägliche Internetnutzung nach Wochentagen (kein Durchschnitt) von Januar bis Oktober 2019.
Tägliche Internetnutzung nach Tagen (kein Durchschnitt) von März bis August 2018.
Wir konnten diesen Wandel erstmals im Jahr 2018 beobachten und die obigen Daten zeigen, dass es sich bei diesen veränderten Mustern nicht um eine Anomalie handelte. Die höchste Internetnutzung findet mittlerweile wochentags während der Arbeitszeit statt. Das ist ein gewaltiger Unterschied gegenüber 2017, als die Aktivität an den Wochenenden sowie am späten Nachmittag und Abend am höchsten war.
Wir gehen davon aus, dass das Internet in Kombination mit der 300-prozentigen Steigerung des Aktivitätsvolumens, der erhöhten Bandbreite und Kapazität durch die Weiterleitung eines zusätzlichen /24-Subnetzes über die Infrastruktur von TransTelekom sowie der jüngsten Nutzung einiger bislang nicht genutzter IP-Bereiche nicht länger nur eine Faszination oder Freizeitbeschäftigung darstellt, sondern zu einem entscheidenden Instrument der nordkoreanischen Führung geworden ist.
Das Internet als Werkzeug
Alle oben genannten Erkenntnisse und unsere früheren Untersuchungen lassen eine viel umfassendere Schlussfolgerung hinsichtlich der Art und Weise zu, wie die nordkoreanische Führung das Internet nutzt. Für die politische und militärische Elite Nordkoreas ist das Internet zu einem entscheidenden Instrument geworden. Hierzu gehört nicht nur die Nutzung des Internets als Mechanismus zur Erzielung von Einnahmen, sondern auch die Nutzung als Instrument zur Aneignung verbotener Kenntnisse und Fähigkeiten, wie sie etwa die Entwicklung des nordkoreanischen Atom- und Raketenprogramms sowie von Cyberoperationen ermöglichten.
Darüber hinaus gehen wir davon aus, dass Nordkorea ein internetbasiertes Modell zur Umgehung der internationalen Finanzkontrollen und Sanktionsregime entwickelt hat, die ihm von multinationalen Organisationen und dem Westen auferlegt wurden.
Umsatzgenerierung
Wir haben festgestellt, dass das nordkoreanische Modell auf drei operativen Säulen beruht, die wahrscheinlich die Hauptquellen für internetbasierte Umsatzgenerierung darstellen. Diese beinhalten:
- Bankgeschäfte
- Kryptowährungen
- Einfache Informationstechnologie (IT)-Arbeit und Finanzkriminalität
Bankgeschäfte
Nach Angaben des Expertengremiums des UN-Sicherheitsrats zur DVRK wurden in den letzten vier Jahren Finanzinstitute und Kryptowährungsbörsen in mindestens 35 Ländern Opfer nordkoreanischer Cyberoperationen, die dem Kim-Regime bis zu zwei Milliarden Dollar einbrachten. Die Angriffe auf Finanzinstitute erfolgten über das Netzwerk der Society for Worldwide Interbank Financial Telecommunication (SWIFT). Nachdem nordkoreanische Betreiber sich zunächst Zugang zum SWIFT-Terminal verschafft hatten, führten sie anschließend eine Reihe betrügerischer Transaktionen durch. Bei diesen Transaktionen wurde Geld von der Bank des Opfers auf Scheinkonten überwiesen, das kurz darauf von nordkoreanischen Agenten ausgezahlt wurde. Informationen aus der Anklageschrift des Justizministeriums vom September 2018 gegen den 34-jährigen nordkoreanischen Betreiber Park Jin Hyok deuten darauf hin, dass die Betreiber häufig nordkoreanischen IP-Raum nutzten, um die Websites beabsichtigter Opfer zu besuchen, Phishing-E-Mails an Mitarbeiter zu senden und Netzwerkaufklärung durchzuführen.
Bei der Untersuchung öffentlicher und nicht-öffentlicher Informationen zu bekannten, der Demokratischen Volksrepublik Korea zugeschriebenen Bankgeschäften haben wir eine Reihe allgemeiner Taktiken, Techniken und Verfahren (TTPs) für die Geschäfte der letzten vier Jahre ermittelt.
- Wir gehen davon aus, dass diese Bankgeschäfte von den Nordkoreanern gut recherchiert und mit den nötigen Mitteln ausgestattet werden. Angreifer verbrachten vermutlich zwischen neun und 18 Monaten in einem Zielnetzwerk, um weitere Aufklärung zu betreiben, sich lateral zu bewegen, Privilegien zu erhöhen, die spezifischen SWIFT-Instanzen aller Organisationen zu untersuchen und Sicherheitsverfahren zu deaktivieren.
- Wir gehen davon aus, dass es immer mehr Daten gibt, die darauf hindeuten, dass nordkoreanische Akteure Websites von Zentralbanken oder Bankenaufsichtsbehörden über Strategic Web Compromises (SWC) ins Visier genommen haben. Diese Kompromittierungen im Internet haben dann möglicherweise Folgeversuche des Eindringens in die Banken selbst und die anschließenden betrügerischen Überweisungsversuche zwischen Banken ermöglicht.
- Bei den öffentlich zugeschriebenen Bankgeschäften war der ursprüngliche Angriffsvektor ein Spearphish oder ein SWC. Bei mindestens einem Angriff auf türkische Banken im Jahr 2018 nutzten nordkoreanische Betreiber jedoch einen bisher unbekannten Adobe Flash-Exploit (oder Zero-Day), der über einen Spearphish verbreitet wurde.
- Uns sind mindestens zwei Fälle bekannt, in denen destruktive Malware verwendet wurde, um Intrusion Response-Bemühungen zu maskieren oder von betrügerischen Transaktionen abzulenken.
- Bekannte betrügerische nordkoreanische SWIFT-Transaktionen wurden während der Feiertage oder verlängerter Wochenenden im Zielland durchgeführt.
Kryptowährungen
Im Juli 2017 veröffentlichten wir einen der ersten Berichte, der das Interesse der nordkoreanischen Führung an und die Nutzung von Kryptowährungen zeigte. Seitdem ist Nordkorea in groß angelegte Diebstähle von südkoreanischen Kryptowährungsbörsen, Kryptowährungsbetrug, Cryptojacking und Kryptowährungs-Mining verwickelt. Unsere Recherchen haben gezeigt, dass Nordkorea in mindestens drei Kryptowährungen – Bitcoin, Litecoin und Monero – Münzen geschürft, gestohlen oder generiert hat und sich an mindestens einem Blockchain-basierten Betrug beteiligt hat, der nach Einschätzung der Vereinten Nationen durch Nordkoreas "Erpressung" von Kryptowährungen finanziert wurde.
Seit November 2019 beobachten wir weiterhin Bitcoin-Mining im kleinen Maßstab. Das Verkehrsaufkommen und die Kommunikationsrate mit Peers sind im Verlauf der letzten zwei Jahre relativ konstant geblieben, wir sind jedoch weiterhin nicht in der Lage, die Hash-Rate oder Builds zu bestimmen. Wir gehen davon aus, dass dieser spezielle Mining-Aufwand noch in kleinem Maßstab erfolgt und auf nur wenige Maschinen beschränkt ist.
Seit Mai 2019 beobachten wir jedoch eine Verzehnfachung der Monero-Mining-Aktivität seit 2018. Im Oktober 2018 war die nordkoreanische Monero-Mining-Aktivität hinsichtlich Verkehrsvolumen und Kommunikationsrate mit Peers dem oben erwähnten Bitcoin-Mining ähnlich. Unserer Einschätzung nach haben wir seit November 2019 mindestens eine Verzehnfachung der Monero-Mining-Aktivität beobachtet. Wir können die Hash-Rate nicht ermitteln, da die gesamte Aktivität über eine IP-Adresse geleitet wird, hinter der sich unserer Ansicht nach mindestens mehrere unbekannte Maschinen befinden.
Monero wird von nordkoreanischen Betreibern mindestens seit August 2017 genutzt, als die Bitcoin-Gewinne aus dem WannaCry-Angriff über einen Bitcoin-Mixer gewaschen und schließlich in Monero umgewandelt wurden. Monero unterscheidet sich von Bitcoin dadurch, dass Monero wirklich anonym ist. Alle Transaktionen werden innerhalb der Blockchain verschlüsselt, so dass nur der Absender oder Empfänger einer Transaktion den anderen entdecken kann. Monero unterscheidet sich auch dadurch, dass es für das Mining durch nicht spezialisierte Maschinen konzipiert wurde und seine Mining-Ports tendenziell nach Kapazität skalieren. Zum Beispiel verwenden viele Miner Port 3333 für Low-End-Maschinen und Port 7777 für High-End-Maschinen mit höherer Kapazität.
Ähnlich wie im Jahr 2018 haben wir diesen Anstieg des Minings über Port 7777 beobachtet, was darauf hindeutet, dass Maschinen mit höherer Kapazität das Mining durchführten, und zwar auch mit einer höheren Hash-Rate. Die Portnummern und die Aktivität, die wir beobachteten, reichten nicht aus, um die Hash-Rate zu bestimmen – alles, was wir beurteilen konnten, war, dass Mining stattfand. Wir glauben jedoch, dass diese beiden Faktoren – Anonymität und die Möglichkeit, von nicht spezialisierten Maschinen abgebaut zu werden – Monero für nordkoreanische Nutzer wahrscheinlich attraktiver machen als Bitcoin.
Laut dem Halbzeitbericht des UN-Expertengremiums vom August 2019 teilte ein Mitgliedsstaat dem Gremium mit, dass auch „ein professioneller Zweig des Militärs der Demokratischen Volksrepublik Korea“ am Mining von Kryptowährungen beteiligt sei. Es ist möglich, dass die Bitcoin- oder Monero-Mining-Aktivitäten, die wir im nordkoreanischen IP-Raum beobachtet haben, von diesem Zweig des Militärs durchgeführt werden. Allerdings verfügen wir über keine weiteren Erkenntnisse als die uns vorliegenden Daten und können nicht bestätigen, welche nordkoreanische Einheit für das beobachtete Mining verantwortlich ist.
Nordkoreanische Betreiber haben auch eine Reihe von verdeckten Techniken eingesetzt, um die Opfer dazu zu verleiten, bösartige Krypto-Software zu installieren. Eine, bekannt als Cryptojacking, beinhaltete die Entführung des Computers eines unwissenden Benutzers, um Kryptowährung zu schürfen, und hat stark südkoreanische und globale Benutzer ins Visier genommen. Cryptojacking ermöglicht es Angreifern, die Rechenkapazität und Energie der Opfermaschinen zu nutzen, was die Opportunitätskosten für das Mining von Kryptowährungen erheblich senkt.
Eine zweite Technik, die Ende 2018 aufkam, nutzte eine bösartige Version eines gängigen Kryptowährungstools namens „Handelsanwendung“. In diesem Fall entwickelten nordkoreanische Betreiber eine legitime und funktionale Anwendung, die einen zentralen Punkt für den Handel mit einer Reihe von Kryptowährungen bereitstellte. Bei der Installation suchte die Anwendung nach Updates und installierte stattdessen einen bekannten nordkoreanischen Remote Access Trojaner (RAT) namens FALLCHILL. Diese bösartige Handelsanwendung ermöglichte dann den Zugriff auf das Netzwerk einer gezielten Kryptowährungsbörse, obwohl in diesem Fall nicht klar ist, ob der Angriff erfolgreich war.
Das Blockchain-Analyseunternehmen Chainalysis dokumentierte im März 2019 die Verwendung einer ähnlichen Technik, um fast 7 Millionen US-Dollar in mehreren Kryptowährungen von einer in Singapur ansässigen Börse namens DragonEx zu stehlen. In diesem Fall haben nordkoreanische Betreiber einen funktionsfähigen automatisierten Kryptowährungs-Handelsbot namens Worldbit-bot entwickelt, der auch eine RAT enthielt, die den Zugang zu DragonEx-Netzwerken und letztendlich den Diebstahl von Münzen im Wert von 7 Millionen US-Dollar erleichterte.
Wir sind der Meinung, dass Kryptowährungen ein wertvolles Instrument für Nordkorea sind, da sie eine unabhängige, locker regulierte Einnahmequelle darstellen, aber auch ein Mittel zur Bewegung und Verwendung illegal erworbener Gelder. Die Vereinten Nationen kamen zu dem Schluss , dass "Kryptowährungsangriffe es der DVRK ermöglichen, die Erlöse aus ihren Angriffen im Ausland leichter zu verwenden", und dass die Nordkoreaner große Anstrengungen unternehmen, einschließlich der Initiierung von Tausenden von Transaktionen, der Weiterleitung durch mehrere Länder und der Umwandlung in verschiedene Coins, um Versuchen zu entgehen, die Gelder zu verfolgen.
Einfache IT-Arbeit und Finanzkriminalität
Eine Reihe von Interviews mit Überläufern, die seit etwa 2012 von Reportern, Wissenschaftlern und Forschern durchgeführt wurden, hat der Außenwelt einen Einblick in die Ziele und die Personalausstattung der nordkoreanischen Cyberoperationen gegeben. Überläufer haben sich ein Bild von einem nordkoreanischen Operationsapparat gemacht, der größtenteils aus Operatoren und Programmierern besteht, die in Einrichtungen im Ausland leben und mit dem übergeordneten Ziel betraut sind, Einnahmen für das Kim-Regime zu generieren.
Überläufer haben detailliert beschrieben, in welchem Ausmaß die Fälschung von Videospielen und das Betrügen ihrer Nutzer für die Generierung von Einnahmen für das Kim-Regime von entscheidender Bedeutung geworden sind. Ein Überläufer, der mit Dutzenden anderer nordkoreanischer Hacker in einem Haus in China gearbeitet hatte, berichtete, dass diese Männer fast 100.000 Dollar pro Jahr verdienen mussten, von denen 80 Prozent an das Kim-Regime zurückgeschickt wurden. Um diese Anforderung zu erfüllen, entwickelten die Männer gefälschte Videospiele, Bots, die digitale Gegenstände wie Waffen, Punkte und Ausrüstung stahlen, sie gewinnbringend weiterverkauften und neue Schwachstellen in Spielesoftware entdeckten und verkauften. Weitere Berichte haben bestätigt, dass nordkoreanische Betreiber auch Online-Casinos, Spieler und Benutzer von Geldautomaten (ATM) in Südkorea ins Visier genommen haben, um Geld zu generieren.
Im September 2018 berichtete das Wall Street Journal , dass nordkoreanische Agenten IT-Freelancing-Websites der "Gig Economy" wie UpWork und Freelancer genutzt haben, um Jobs von unwissenden globalen Nutzern zu erhalten. Zu den Jobs gehörten insbesondere die Entwicklung von Websites und Anwendungen, wie z. B. "ein Bot zur Erleichterung von Großeinkäufen auf der kanadischen E-Commerce-Plattform Shopify; eine Website für ein US-amerikanisches Unternehmen für die Jobsuche; und ein Grafikdesign-Projekt." In diesem Fall operierten diese Nordkoreaner von einer Stadt namens Shenyang im Nordosten Chinas aus.
Dies zeichnet das Bild eines Operationsmodells , das stark, wenn auch nicht vollständig, davon abhängt, Nordkoreaner ins Ausland zu schicken, um Cyberoperationen durchzuführen.
Zugang zu verbotenen Technologien und Wissen
Nordkoreanische Überläufer haben auch ausführlich über die Rolle gesprochen, die das Ausland – viele unwissentlich – bei den Cyberoperationen des Kim-Regimes spielen. Aus der Cyberperspektive werden Drittländer vom Kim-Regime benutzt, um staatlich geförderte Betreiber sowohl auszubilden als auch zu beherbergen .
Nordkorea nutzt Drittstaaten nicht nur zur Ausbildung von Cyber-Operatoren, sondern möglicherweise auch, um sich durch UN-Sanktionen verbotenes nuklearbezogenes Wissen anzueignen. Bei einer Untersuchung im September 2017 stellte das Wall Street Journal fest, dass Nordkoreaner im Ausland, insbesondere in China, Studien zu Themen absolvierten, die „zur Verbreitung sensibler nuklearer Aktivitäten der DVRK oder zur Entwicklung von Trägersystemen für Atomwaffen beitragen könnten, darunter Lehre oder Ausbildung in fortgeschrittener Physik, fortgeschrittener Computersimulation und verwandten Informatikwissenschaften, Geonavigation, Nukleartechnik, Luft- und Raumfahrttechnik, Flugzeugbau und verwandten Disziplinen“.
Darüber hinaus haben Überläufer berichtet , dass Cyber-Operatoren nach der Universität oft ins Ausland geschickt werden, um sich weiterzubilden. Zu den Ländern, die von den Überläufern explizit genannt wurden, gehören China, Russland und Indien.
Dieses Einsatzmodell , Nordkoreaner ins Ausland zu schicken, um Cyberoperationen zu trainieren und durchzuführen, wird besonders relevant, wenn man die Mittel, mit denen diese Hacker Geld für das Regime verdienten, mit dem von uns analysierten Webverkehr der nordkoreanischen Elite vergleicht. In unseren früheren Forschungen haben wir eine Heuristik entwickelt, um eine signifikante physische und virtuelle Präsenz Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik umfasste ein überdurchschnittliches Maß an nordkoreanischen Internetaktivitäten in und aus diesen Ländern, aber auch das Durchsuchen und die Nutzung vieler lokaler Ressourcen wie Nachrichtenagenturen, Bezirks- oder Stadtregierungen, lokale Bildungseinrichtungen und mehr.
Mithilfe dieser Technik konnten wir Länder identifizieren, in denen sich Nordkoreaner wahrscheinlich aufhielten oder lebten. Wir haben unsere Techniken und diese Analyse im Laufe des Jahres 2019 weiter verfeinert und konnten im Wesentlichen eine Fortsetzung der Aktivitäten beobachten, die wir im Jahr 2019 in acht Ländern – Indien, China, Nepal, Kenia, Mosambik, Indonesien, Thailand und Bangladesch – beobachtet haben. Obwohl diese Analyse in der Vergangenheit hilfreich war, lieferte sie aus zwei Gründen zunehmend weniger stichhaltige Erkenntnisse über das Verhalten Nordkoreas in diesen Ländern.
Erstens: Auch wenn die herrschende Elite Nordkoreas nicht durchgängig strenge Verfahren zur Internetsicherheit anwendet, geht der allgemeine Trend sowohl bei den Nordkoreanern als auch bei allen Internetnutzern in Richtung mehr Sicherheit. Dies bedeutet, dass es mit der Zeit schwieriger geworden ist, die Internetaktivitäten Nordkoreas zu verfolgen und neue Erkenntnisse zu gewinnen.
Zweitens bieten große Technologieunternehmen ihren Kunden eine zunehmend breitere Palette von Diensten an, darunter DNS, Content Delivery, Cloud-Dienste und mehr. Aus Netzwerkperspektive ist es unglaublich schwierig, den Endinhalt hinter der generischen Infrastruktur von DigitalOcean, Cloudflare oder GoDaddy zu erkennen. Sogar Ports und Protokolle liefern nur eine begrenzte Menge an Daten, und oft gibt eine Sitzung, die in einer DigitalOcean-Box beendet wird, nichts preis.
Auf Grundlage unserer Daten gehen wir weiterhin davon aus, dass sowohl China als auch Indien – wissentlich oder unwissentlich – nordkoreanische Operationen beherbergen und ermöglichen. Insbesondere Indien dürfte weiterhin sowohl Gastgeber als auch Opfer nordkoreanischer Cyber-Operationen sein.
Betriebssicherheit
Anfang 2018 stellten wir fest, dass die Nordkoreaner den Einsatz operativer Sicherheitstechniken wie virtueller privater Netzwerke (VPN), virtueller privater Server (VPS), Transport Layer Security (TLS), The Onion Router (Tor) und anderer dramatisch erhöhten. Bis Ende 2018 hatte sich dieses betriebssichere Verhalten von 13 % des gesamten Verkehrs auf knapp über 5 % abgeschwächt. Wir sind davon überzeugt, dass die Überwachung der Nutzung sicherer Browser-Technologien durch die nordkoreanische Führung ein Indikator für zwei Dinge ist: technologisches Know-how und Reaktionsfähigkeit sowie das Ausmaß staatlicher Kontrolle über das Verhalten der Elite.
Im Jahr 2019 stieg die Nutzung sicherer Browsertechnologien wieder leicht an und betrug nun 9,5 % des gesamten Internetverkehrs. Unter diesen wurde HTTPS von der nordkoreanischen Führung am häufigsten verwendet. Dies ist wahrscheinlich darauf zurückzuführen, dass fast die Hälfte der weltweit größten Millionen Websites standardmäßig HTTPS verwenden.
Eine weitere Änderung, die wir im Jahr 2019 im operativen Sicherheitsverhalten Nordkoreas beobachtet haben, war die Einbindung von DNS-Tunneling. DNS (Domain Name System) wurde geschaffen, um Computern die Auflösung eines Domänennamens zu ermöglichen (pyongyangtimes[.]com[.]kp, zum Beispiel) an eine IP-Adresse (175.45.176.67). Die ursprüngliche Absicht von DNS bestand darin, die Suche und Zuordnung von Domänen und IP-Adressen zu vereinfachen, nicht diesen Prozess zu sichern. Aus diesem Grund und weil DNS für den Betrieb eines Netzwerks so wichtig ist, bleiben DNS-Ports (normalerweise Port 53) offen und der Datenverkehr wird relativ wenig überwacht. Beim DNS-Tunneling wird der DNS-Prozess nicht zur Domänenauflösung, sondern zur Datenübertragung oder zum Tunneln zwischen Netzwerken oder Geräten verwendet.
Im Fall von Nordkorea haben wir beobachtet, dass Nutzer Mitte 2019 DNS-Tunneling eingeführt haben. Da DNS in der Regel nur wenig unter die Lupe genommen wird, ist es ein ideales Protokoll zur Umgehung von Firewall- und Dienstbeschränkungen, und DNS-Tunneling-Toolkits sind weit verbreitet. DNS-Tunneling ist keine neue Technik, aber wir glauben, dass sie erst vor kurzem von nordkoreanischen Nutzern eingesetzt wird. Im Fall der nordkoreanischen DNS-Tunneling-Aktivitäten wurden die meisten Ziel-IPs von Shodan auch als VPN-Endpunkte und MicroTik-Geräte identifiziert, was darauf hindeutet, dass diese Lösung wahrscheinlich als alternatives VPN gedacht war.
Der Einsatz dieser speziellen Technik bietet einen weiteren Einblick in die Technikkenntnis einiger nordkoreanischer Elite-Internetnutzer, da DNS-Tunneling eine Technik ist, mit der die meisten durchschnittlichen Internetnutzer nicht vertraut sind. Unserer Einschätzung nach gibt es für die Unternehmensleitung zwei wahrscheinliche Gründe, DNS-Tunneling einzusetzen:
- Um Eindringlingsaktivitäten zu verschleiern. DNS-Tunneling kann verwendet werden, um Daten aus den Netzwerken der Opfer zu exfiltrieren oder einen Kommunikationskanal zwischen einem infizierten Endpunkt und einem Command-and-Control-Server (C2) zu erstellen. Böswillige Kommunikation über DNS wird mit geringerer Wahrscheinlichkeit blockiert oder erkannt, da die meisten Organisationen freizügige DNS-Sicherheitsrichtlinien einsetzen, um die Netzwerkkonnektivität zu erleichtern.
- Um staatlich auferlegte Sicherheitskontrollen oder Inhaltsbeschränkungen zu umgehen. Obwohl die nordkoreanischen Internetnutzer der höchsten Führungsschicht angehören, ist es möglich, dass einige auf Inhalte zugreifen möchten, die außerhalb dessen liegen, was das Kim-Regime erlaubt. Wir wissen zum Beispiel, dass das Kim-Regime 2016 damit begann, inländischen Nutzern den Zugang zu Facebook, YouTube und Twitter zu verwehren . Durch die Analyse des Netzwerkverkehrs haben wir jedoch beobachtet, dass nordkoreanische Nutzer seither auf diese Plattformen surfen. DNS-Tunneling könnte eine Möglichkeit für versiertere Internetnutzer sein, Inhaltsbeschränkungen wie diese oder andere Sicherheitskontrollen zu umgehen, indem sie ein selten eingeschränktes Protokoll verwenden.
DDoS-Angriffe zielen auf die Infrastruktur der Demokratischen Volksrepublik Korea
Es kommt häufig vor, dass nordkoreanische Websites Ziel von Denial-of-Service- (DoS) oder Distributed-Denial-of-Service-Angriffen (DDoS) sind. Am 28. Mai beispielsweise war der Server 175.45.176.67, auf dem die Websites der Pyongyang Times, von Naenara und mehrerer nordkoreanischer Versicherungsunternehmen gehostet wurden, Ziel eines eine Stunde dauernden DDoS-Angriffs. Dabei wurde ein DNS-Verkehrsaufkommen von bis zu 550 Megabit pro Sekunde beobachtet. DNS-Flooding ist die häufigste Art von DDoS-Angriffen, die wir gegen die nordkoreanische Infrastruktur beobachtet haben.
Ab Ende April 2019 beobachteten wir eine einzigartige Art von DDoS-Angriffen, die sich durch einen Anstieg der CLDAP-Aktivitäten (Coordinated Connectionless LDAP) auszeichneten, die von Geräten in mindestens 161 Ländern auf der ganzen Welt ausgingen und auf eine einzige nordkoreanische IP-Adresse abzielten. Die Aktivität begann gegen Mittag nordkoreanischer Ortszeit und dauerte nur 25 Minuten, wobei das CLDAP-Verkehrsaufkommen mit einer beobachteten Rate von mindestens 1,5 Gigabit pro Sekunde seinen Höhepunkt erreichte – mehrere Größenordnungen höher als die beobachteten täglichen Normen für den vom Nordkorea gehosteten IP-Adressraum auf dem Festland.
CLDAP wird in Unternehmensnetzwerken typischerweise für Verzeichnisdienste verwendet, beispielsweise für den Zugriff auf Benutzernamen und Passwörter aus dem Active Directory. In den Jahren 2016 und 2017 stellten Sicherheitsunternehmen jedoch fest, dass CLDAP und LDAP bei DDoS-Angriffen missbraucht wurden. Die Technik zur Ausführung eines DDoS-Angriffs über CLDAP erfordert lediglich, dass der Angreifer in einer CLDAP-Anfrage an einen offenen Reflektorserver, auf dem der verbindungslose LDAP-Dienst ausgeführt wird, seine Quell-IP-Adresse durch die IP-Adresse des beabsichtigten Opfers ersetzt. Die gefälschte Adresse bringt den CLDAP-Reflektorserver dann dazu, die CLDAP-Antwort nicht an den Anforderer, sondern an das beabsichtigte Opfer zurückzusenden.
Wir haben auch beobachtet, dass die durchschnittliche CLDAP-Anforderungspaketgröße etwa 80 Byte mit einer durchschnittlichen entsprechenden Antwortpaketgröße von etwa 1472 Byte betrug. Dies implizierte, dass die Angreifer während der 40 Minuten des DDoS-Angriffs einen ungefähren Verstärkungsfaktor von 18x erreichten. In einem Interview aus dem Jahr 2017 bestätigte ein Sicherheitsmitarbeiter von Akamai, dass der größte CLDAP-Angriff, den er beobachtet hatte, Raten von drei Gigabit pro Sekunde erreicht hatte, und bewertete, dass ein Angriff dieser Größe "ausreichen würde, um kleinere Websites offline zu schalten und möglicherweise Latenzprobleme auf anderen zu verursachen".
Die von uns beobachtete Angriffsgeschwindigkeit betrug 1,5 Gigabit pro Sekunde. Unserer Einschätzung nach war dies möglicherweise ausreichend, um zumindest Störungen der nordkoreanischen öffentlichen Internet-Infrastruktur zu verursachen.
Diagramm auf oberster Ebene der Methodik für reflektierende DDoS-Verstärkungsangriffe, die Ende April 2019 gegen die mit dem globalen Internet verbundene Infrastruktur der Demokratischen Volksrepublik Korea eingesetzt wurde. Darüber hinaus haben wir zwei weitere mutmaßliche Reflective CLDAP DDoS-Amplification-Angriffe identifiziert: einen am Morgen des 7. Mai 2019, der etwas mehr als 40 Minuten dauerte, und einen weiteren am darauffolgenden Abend, dem 8. Mai, der etwa eine Stunde dauerte. Beide dieser Angriffe waren im Hinblick auf die Anzahl der verwendeten eindeutigen CLDAP-Reflektorserver um eine Größenordnung kleiner, obwohl der relative CLDAP-Verstärkungsfaktor der Datengröße konstant bei 18x blieb. Interessanterweise wurden fast alle bei den Angriffen vom 8. Mai eingesetzten Reflektorserver auch bei den Angriffen auf nordkoreanische IPs einen Tag zuvor verwendet. Darüber hinaus stellte sich heraus, dass trotz des Größenordnungsunterschieds bei der Gesamtzahl der verwendeten Resolver 62 % der beim Angriff vom 7. Mai verwendeten Resolver auch beim früheren Angriff vom 23. April zum Einsatz kamen.
Wir haben keine Informationen darüber, wer die Anschläge im April und Mai ausgeführt hat. Auch in Nordkorea sind DDoS-Angriffe keine Seltenheit. Wir haben uns entschieden, diesen Angriff näher zu untersuchen, weil das Protokoll und die Angriffsgeschwindigkeit einzigartig sind.
Nordkoreanische Versicherungsindustrie
Wir gehen davon aus, dass Nordkorea im Jahr 2019 mit der Digitalisierung und Internationalisierung seiner Versicherungsbranche begonnen hat, möglicherweise um ausländische Investitionen anzukurbeln und/oder auf betrügerische Weise Einnahmen für das Kim-Regime zu erzielen.
Laut NK News hat Nordkorea fünf Versicherungsgesellschaften:
- Korea National Insurance Company (KNIC), gegründet 1947, allgemeine Versicherung
- Rainbow Intermediaries, gegründet im Mai 2015, Feuer, Kfz, Bauunternehmer, Maschinenausfall, Leben, Reisen, Personenunfall, Touristik, Rückversicherung
- Samhae Insurance Company, gegründet im Oktober 2016, Schiffskasko, Fracht, Haftpflicht und Luftfahrt
- Polestar Insurance Company, gegründet im August 2016, Versicherungs- und Rückversicherungsdienstleistungen in den Bereichen Feuer, Technik, Kredit und Landwirtschaft
- Future Re Company, gegründet im Oktober 2017, fakultative und vertragliche Rückversicherung
Im August 2017 stuften die Vereinten Nationen die KNIC aufgrund ihrer Verbindungen zum Büro 39 des Reconnaissance General Bureau (RGB) und ihrer Beteiligung an Betrug mit Versicherungsansprüchen im Zusammenhang mit der Finanzierung des nordkoreanischen Raketenprogramms als sanktionierte Einrichtung ein. Trotz ihrer Gründung vor mehreren Jahren zeigen unsere Daten, dass die letzten vier Versicherungsgesellschaften bis Ende 2018 und Anfang 2019 nicht im globalen Internet präsent waren.
Im letzten Jahr haben Samhae, Polestar und Future Re globale Internet-Websites und Mailserver erworben. Die Websites aller drei Unternehmen werden seit November 2019 unter 175.45.176.67 gehostet. Future Re hat Ende Dezember 2018 unter 175.45.176.20 einen Mailserver eingerichtet, der auch den Mailserver für Silibank hostet, ein Internetunternehmen mit Sitz in Shenyang, China, das 2001 zu einem der ersten Internetdienstanbieter (ISP) Nordkoreas wurde. Silibank bietet weiterhin E-Mail-Dienste für nordkoreanische Kunden an, darunter Rainbow Intermediaries, das auf seiner Webseite eine Silibank-Domäne als E-Mail-Kontakt auflistet.
Screenshot der Website von Rainbow Intermediaries, aufgenommen von NK News im Juli 2019. Die globale Internet-Infrastruktur für alle vier Versicherungen wurde erst im letzten Jahr geschaffen. Darüber hinaus zeigen unsere Daten, dass seit Februar 2019 das Verkehrsaufkommen von Nutzern in Indien, Russland und dem Iran auf dem Future Re-Mailserver und den Websites von Samhae, Polestar und Future Re zugenommen hat. Weit davon entfernt, unabhängige Unternehmen zu sein, deuten die digitalen Fußabdrücke aller vier Versicherungsgesellschaften darauf hin, dass sie von derselben Internetinfrastruktur aus betrieben und verwaltet werden und wahrscheinlich eine einzige staatlich geführte Anstrengung darstellen.
Im Dezember 2018 erklärte der Präsident von Polestar, Kim Kyung-hoon, dass das Unternehmen 11 Niederlassungen und 70 lokale Büros in ganz Nordkorea gegründet habe und plane, "unsere Dienstleistungen weiter auf den internationalen Markt auszuweiten", indem es "Netzwerke mit international renommierten Versicherungsgesellschaften aufbaut". In ähnlicher Weise sagte der Präsident von Samhae Insurance gegenüber südkoreanischen Medien , dass das Unternehmen Niederlassungen und Agenten in allen "großen Hafenstädten, Fischereistützpunkten und Transportbasen" in Nordkorea habe und dass das Unternehmen im November 2018 mit der Rückversicherung von Fischerbooten begonnen habe.
Was nordkoreanische Versicherungsunternehmen jedoch zu einem interessanten Thema macht, ist die Rolle, die sie in der Vergangenheit bei der Generierung von Geldern für das Kim-Regime gespielt haben, und wie notwendig sie sind, um ausländische Investitionen zu fördern. Im Jahr 2017 beschrieb ein nordkoreanischer Diplomat, wie das Kim-Regime die KNIC nutzen würde, um jährlich Dutzende Millionen Dollar durch Versicherungsbetrug zu verdienen:
„In Nordkorea gibt es nur eine staatliche Versicherungsgesellschaft, sodass es, selbst wenn diese einen Unfall fabriziert, keine Möglichkeit gibt, ihre Ansprüche zu überprüfen. Nach dem Abschluss internationaler Versicherungen oder Rückversicherungen für die staatliche Infrastruktur werden Dokumente (über angebliche Unfälle) gefälscht, was dem Staat jährlich Dutzende Millionen Dollar einbringt.“
Dreißig Jahre lang hat die wichtigste staatliche Versicherungsgesellschaft KNIC Rückversicherungsverträge ausgenutzt, die sie mit internationalen Rückversicherern abgeschlossen hat, um potenziell falsche Ansprüche geltend zu machen und Dutzende Millionen Dollar für das Kim-Regime zu generieren. Laut The Times beliefen sich die weltweiten Vermögenswerte der KNIC im Jahr 2014 auf 787 Millionen Pfund oder fast 1,3 Milliarden US-Dollar.
Obwohl überprüfbare Fälle von nordkoreanischem Versicherungsbetrug schwer zu finden sind, gibt es in den letzten zehn Jahren einige Fälle, die das wahrscheinliche Ausmaß dieses Betrugs zeigen. Im Jahr 2011 erhielt ein malaysisch-nordkoreanisches Bauunternehmen den Zuschlag für 18 Millionen US-Dollar für den Bau von 213 Eigentumswohnungen in einem Vorort der ugandischen Hauptstadt. Im Laufe des nächsten Jahres erwarb das Bauunternehmen eine Reihe von überbewerteten Versicherungspolicen und erhielt 20 % im Voraus, bevor die Arbeiten überhaupt begannen. Nach jahrelangen Verhandlungen, Gerichtsverfahren und wahrscheinlichem Betrug verließen 2018 sowohl das nordkoreanische Bauunternehmen als auch die ugandische Wohnungsbaubehörde das Projekt, ohne die Eigentumswohnungen fertiggestellt zu haben und mehrere Millionen Dollar an Versicherungsauszahlungen gefordert zu haben.
In einem der berüchtigtsten Fälle reichte die KNIC eine Klage wegen des Hubschrauberabsturzes in Pjöngjang im Jahr 2005 ein, bei dem ein Lager mit Hilfsgütern zerstört wurde. Die KNIC hatte die Waren bei einem Konsortium internationaler Versicherer für fast 60 Millionen Dollar versichert. Die Versicherer weigerten sich mehrere Jahre lang, unter Berufung auf zu hohe Sachschäden und verdächtige Unterlagen zu zahlen, einigten sich aber schließlich mit der KNIC auf fast 57 Millionen Dollar. Zu dieser Zeit ging man davon aus, dass Nordkorea eine Reihe von Ansprüchen im Wert von fast 150 Millionen Dollar bei westlichen Versicherungsgesellschaften geltend machte.
Nach Ansicht einiger chinesischer Investoren könnten diese zusätzlichen Versicherungsgesellschaften auch das Vertrauen in nordkoreanische Investitionen stärken. Insbesondere "zeigt der neue Versicherungsvermittler ein Zeichen für wachsende Komplexität und Wettbewerb bei den kommerziellen Dienstleistungen innerhalb der nordkoreanischen Wirtschaft".
Wir glauben, dass der offensichtliche Fokus des Kim-Regimes auf die Verbesserung der Erreichbarkeit seiner verbleibenden vier staatlichen Versicherer im Laufe des Jahres 2019 ein Versuch sein könnte, sowohl den Versicherungsbetrug als Einnahmequelle nach der Sanktionierung von KNIC im Jahr 2017 wiederzubeleben als auch potenzielle Investoren in Nordkorea zu beruhigen.
Ausblick
Im Laufe der letzten zweieinhalb Jahre haben unsere Recherchen zu Nordkorea einen beispiellosen Einblick in das digitale Leben der höchsten Führung Nordkoreas gegeben. Wir haben die Führungsaktivitäten zu einem einzigartigen Zeitpunkt in den Beziehungen zwischen den USA und der DVRK verfolgt und analysiert, einschließlich der Dauer der Kampagne des "maximalen Drucks", der Periode der höchsten Raketenstarts und -tests und der ersten Reihe von Gipfeltreffen zwischen einem amerikanischen und einem nordkoreanischen Führer.
Im Kern hat diese Forschungsreihe gezeigt, wie anpassungsfähig und innovativ die oberste Führung Nordkoreas ist. Sie nehmen neue Dienste oder Technologien schnell an, wenn sie nützlich sind, und verwerfen sie, wenn sie nicht nützlich sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausbeutung des Internets entwickelt: Es ist ein Staat, der wie ein Verbrechersyndikat geführt wird.
Die Demokratische Volksrepublik Korea hat darüber hinaus ein neues, kreatives und innovatives internetbasiertes Modell entwickelt, um die von multinationalen Organisationen und dem Westen gegen sie verhängten Sanktionen zu umgehen. Dieses Modell umfasst die Erzielung von Einnahmen sowohl durch offensichtliche Straftaten wie Bankraub und Betrug als auch durch nicht kriminelle Aktivitäten wie das Mining von Kryptowährungen und freiberufliche IT-Arbeit.
Dieses Modell bietet auch ein Instrument zum Erwerb verbotener Kenntnisse und Fähigkeiten, beispielsweise solcher, die die Entwicklung der nordkoreanischen Atom- und Raketenprogramme sowie Cyberoperationen ermöglichen. Im Grunde hat Nordkorea ein Modell entwickelt, das das Internet als Mechanismus zur Umgehung von Sanktionen nutzt. Dieses Modell ist einzigartig, aber nicht außergewöhnlich. Dieses Modell ist einzigartig, aber wiederholbar und kann, was am besorgniserregendsten ist, anderen finanziell isolierten Nationen als Beispiel dafür dienen, wie sie das Internet zur Umgehung von Sanktionen nutzen können.
Wir gehen davon aus, dass auch andere isolierte Staaten bald dieselben kriminellen und nicht kriminellen Methoden anwenden werden, die Nordkorea einsetzt, um Einnahmen zu erzielen und ihre eigenen Sanktionen zu umgehen.
So gehen wir beispielsweise davon aus, dass der Iran im Laufe des Jahres 2019 damit begonnen hat, Kryptowährungen als Methode zur Erleichterung internationaler Zahlungen und zur Umgehung der US-Finanzkontrollen zu verfolgen. Ein Artikel der New York Times vom Januar wies darauf hin, dass europäische und asiatische Geschäftspartner "zunehmend kooperativ" seien und die Verwendung von Kryptowährungen für Zahlungen an iranische Unternehmen befürworten. Im Juli kündigte die iranische Regierung eine inländische Kryptowährung an, die durch Gold gestützt werden soll; und im August legalisierte der Iran das Mining von Kryptowährungen als Industrie.
Empfehlungen zur Netzwerkverteidigung
Recorded Future empfiehlt Organisationen, die folgenden Maßnahmen zu ergreifen, wenn sie potenzielle nordkoreanische Aktivitäten in ihren Netzwerken feststellen:
- Konfigurieren Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen eine Warnung ausgeben und diese nach Prüfung blockieren:
- 175.45.176.0/22
- 210.52.109.0/24
- 77.94.35.0/24
- Um nordkoreanische Bemühungen zum Mining von Kryptowährungen zu erkennen und zu verhindern, sollten Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so konfigurieren, dass sie bei illegalen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen, die über TCP-Ports eine Verbindung zu Ihrem Netzwerk herstellen, eine Warnung ausgeben und diese nach Prüfung blockieren:
- 8332 und 8333 für Bitcoin
- 18080 und 18081 für Monero
- 9332 und 9333 für Litecoin
Notiz: Die oben genannten Ports sind die Standardports, die für die angegebenen Kryptowährungen konfiguriert sind. Es ist plausibel, dass die Kryptowährungs-Mining-Software so modifiziert wurde, dass sie die Standardports überschreibt. Darüber hinaus können auch andere Dienste so konfiguriert werden, dass sie auf den aufgelisteten Ports basierend auf Ihrer Unternehmenskonfiguration ausgeführt werden, sodass IDS- und/oder IPS-Warnungen des Netzwerkverkehrs an den aufgelisteten Ports zu falsch positiven Ergebnissen führen können.
- DNS-Tunneling kann durch die Untersuchung von Netzwerkverkehrsprotokollen oder Paketerfassungen erkannt werden. DNS-Tunneling mit hohem Durchsatz, das wir in diesem Fall bei nordkoreanischen Benutzern festgestellt haben, kann erkannt werden, da es typischerweise zu erheblichen Änderungen des DNS-Verkehrs führt „hinsichtlich (1) des Volumens, (2) der Nachrichtenlänge und (3) der kürzeren mittleren Zeit zwischen Nachrichten.“
- Zur allgemeinen DNS-Sicherheit:
- Verwenden Sie eine DNS-Firewall oder einen DNS-Filter, beispielsweise DNS Response Policy Zones (RPZ), mit einem DNS-Intelligence-Feed.
- Protokollieren Sie alle DNS-Anfragen und -Verbindungen und bewahren Sie die Protokolle auf, um zukünftige Untersuchungen zu ermöglichen. Verwenden Sie wenn möglich DNSSEC .
- So verteidigen Sie sich gegen einen potenziellen CLDAP-DDoS-Angriff:
- Setzen Sie CLDAP-Dienste nicht dem globalen Internet aus. Dadurch wird sichergestellt, dass diese Maschinen nicht unwissentlich an einem CLDAP-DDoS-Angriff teilnehmen. Nutzen Sie DDoS-Minderungsdienste.
- Machen Sie sich mit den VPN-Diensten und -Protokollen Ihres Unternehmens vertraut und blockieren oder prüfen Sie sorgfältig nicht standardmäßigen VPN-Verkehr.
- Erwägen Sie die unternehmensweite Implementierung eines Software-Whitelist-Programms, um der Möglichkeit entgegenzuwirken, dass Kryptowährungs-Mining-Software aus dem Netzwerk heruntergeladen und ausgeführt wird.
- Viele Kryptowährungs-Miner verwenden zur Koordination Internet Relay Chat (IRC). Sofern IRC keine für Ihr Unternehmen erforderliche Anwendung ist, sollten Sie erwägen, den standardmäßigen IRC-TCP-Port 6667 über Ihr IDS und IPS zu blockieren, um das Mining von Kryptowährungen über IRC einzudämmen.
- Nordkoreanische Betreiber haben häufig sowohl Flash- als auch Silverlight-Exploits ausgenutzt, insbesondere bei Operationen gegen Finanzinstitute und Südkorea. Recorded Future empfiehlt, diese Programme regelmäßig zu patchen oder ihre Verwendung generell einzuschränken.
Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:
- Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
- Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
- Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
- Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
- Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme per Phishing).
- Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
- Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
- Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
- Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.