Veränderte Internetnutzungsmuster zeigen Anpassungsfähigkeit und Innovationskraft der nordkoreanischen herrschenden Elite

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

_Hinweis zum Geltungsbereich: Die Insikt Group untersuchte die Internetaktivitäten der nordkoreanischen Führungsspitze, indem sie mithilfe einer Reihe von Tools Daten von Drittanbietern, IP-Geolokalisierung, Routingtabellen des Border Gateway Protocol (BGP) und Open Source Intelligence (OSINT) analysierte. Die für diesen Bericht analysierten Daten erstrecken sich vom 16. März 2018 bis zum 30. August 2018.

Dieser Bericht dürfte für Ministerien und Organisationen in den Bereichen Technologie, Finanzen, Verteidigung, Kryptowährungen und Logistik von größtem Interesse sein, ebenso wie für jene, die die Umgehung nordkoreanischer Sanktionen, illegale Finanzierung und staatlich geförderte Cyber-Spionage untersuchen._

Executive Summary

Im Laufe der letzten anderthalb Jahre hat Recorded Future eine Reihe von Forschungsbeiträgen veröffentlicht, die einzigartige Einblicke in das Verhalten der obersten Führung Nordkoreas gewähren. Wir haben herausgefunden, dass die herrschende Elite Nordkoreas technisch versiert ist, eine ganze Palette älterer und hochmoderner Computer, Telefone und Geräte verwendet, das Internet als Mittel zur Umgehung von Sanktionen einsetzt und in jüngster Zeit vermehrt chinesische soziale Netzwerke westlichen vorzieht.

In diesem letzten Teil unserer Serie untersuchen wir die Beständigkeit von Trends in den Bereichen Internetsicherheit, Social-Media-Nutzung und Kryptowährung und geben tiefere Einblicke in die Art und Weise, wie Nordkorea das Internet nutzt, um Einnahmen für das Kim-Regime zu generieren. Insbesondere die veränderten Muster in der Internetnutzung der herrschenden Elite zeigen, wie anpassungsfähig und innovativ die obersten Führungspersönlichkeiten Nordkoreas sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausnutzung des Internets entwickelt, und die Führung greift schnell auf neue Dienste oder Technologien zurück, wenn diese nützlich sind, und wirft sie beiseite, wenn sie nicht nützlich sind.

Hintergrund

Wie unsere Untersuchungen seit April 2017 zeigen, gibt es in der obersten Führungsriege Nordkoreas nur eine Handvoll Personen, denen direkter Zugriff auf das globale Internet gestattet ist. Zwar liegen keine verlässlichen Zahlen über die Zahl der nordkoreanischen Internetnutzer vor, doch schätzen Reporter, dass es sich um „ nur eine sehr kleine Zahl“, „ den inneren Zirkel der nordkoreanischen Führung“ oder „ nur ein paar Dutzend Familien“ handelt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers klar: Es handelt sich um ein vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.

Die nordkoreanische Elite greift auf drei wesentliche Wege auf das globale Internet zu. Die erste Methode erfolgt über die zugewiesene .kp Bereich, 175.45.176.0/22, der auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains wie co.kp, gov.kp und edu.kp sowie etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungsseiten.

Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname „KPTC“ ist die Abkürzung für Korea Posts and Telecommunications Co., das staatliche Telekommunikationsunternehmen. Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon aufgelöst wird.

Die Chronologie der Ereignisse im Zusammenhang mit dem geistigen Eigentum Nordkoreas reicht von März bis August 2018.

Darüber hinaus haben wir bereits im April festgestellt, dass die Adresse 175.45.176.0/22 Der Bereich wird sowohl von China Unicom (AS4837) als auch von Russlands TransTelekom (AS20485) geroutet. Von den vier Subnetzen dieses Bereichs (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 und 175.45.179.0/24), wir beobachteten weiterhin nur die 175.45.178.0/24 wurden über TransTelekom geleitet, die anderen drei ausschließlich über China Unicom.

Hinweis: Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „nordkoreanischem Verhalten“ sprechen, meinen wir damit die Nutzung des globalen Internets, zu dem nur einige wenige Führer und die herrschende Elite Zugang haben, nicht jedoch das nordkoreanische Intranet (Kwangmyong). Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, die Zugang zu Kwangmyong oder zu diplomatischen und ausländischen Einrichtungen in Nordkorea haben.

Internetnutzung konstant – Musterverschiebungen seit April 2017

Die unterschiedlichen Muster der täglichen Internetnutzung der nordkoreanischen Führer sind seit April 2017 unverändert geblieben. Im Allgemeinen ist die Aktivität zwischen etwa 8:00 Uhr und 20:00 oder 21:00 Uhr am höchsten.

Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von März bis August 2018.

Allerdings haben sich die Tage mit der höchsten Aktivität im Laufe der Zeit verschoben. Im Jahr 2017 waren Samstage und Sonntage durchweg die Tage mit der höchsten Aktivität. Insbesondere Samstagnacht und am frühen Sonntagmorgen kam es zu Spitzenzeiten, die vor allem aus Online-Gaming oder Content-Streaming bestanden. Im Laufe des Jahres 2018 hat sich dieses Muster verschoben: Die Internetnutzung an herkömmlichen Werktagen (Montag bis Freitag) hat zugenommen, während die Nutzung am Wochenende zurückgegangen ist. An Samstagen und Sonntagen dominieren nach wie vor Content-Streaming und Gaming, allerdings machen diese Aktivitäten einen geringeren Anteil an der gesamten wöchentlichen Internetnutzung aus als im letzten Jahr.

Tägliche Internetnutzung nach Stunden und Tagen (kein Durchschnitt) von März bis August 2018.

Tägliche Internetnutzung nach Stunden (kein Durchschnitt) vor März 2018.

Die Ursachen für diesen Wandel sind unbekannt, doch diese Anpassung im Laufe der Zeit deutet darauf hin, dass die Internetnutzung einen größeren Teil des Arbeitsalltags der nordkoreanischen Führer ausmacht. Im August 2018 schloss Nordkorea den Außenbau seines neuen Hauptsitzes für das Internetkommunikationsbüro in Pjöngjang ab. Laut North Korea Tech ist der Zweck des neuen Hauptquartiers nicht klar, aber es könnte sein, dass der Schwerpunkt auf dem Zugang zum globalen Internet liegt.

Es scheint, dass das neue Gebäude dazu beiträgt, Pjöngjangs Anbindung an das globale Internet zu erleichtern. Seine genaue Funktion wurde jedoch nicht bekannt gegeben. Vielleicht soll es auch dazu dienen, Server zu beherbergen, die die wenigen Websites bereitstellen, die Pjöngjang im Internet betreibt, oder es soll als Gateway-Zentrale dienen, die den gesamten Datenverkehr zwischen Nordkorea und dem Rest der Welt überwacht und kontrolliert.

Möglicherweise könnte dieser Wandel im Nutzungsverhalten in Verbindung mit der Fertigstellung des Hauptsitzes des Internet Communication Bureau eine Professionalisierung der Internetnutzung in der obersten Führung Nordkoreas bedeuten. Dies würde bedeuten, dass diese Führungskräfte das Internet in stärkerem Maße im Rahmen ihrer Arbeit und nicht nur zu ihrer eigenen Unterhaltung nutzen.

Operatives Sicherheitsverhalten moderiert

In unserer Analyse vom April fielen uns zwei dramatische Verhaltenstrends bei nordkoreanischen Internetnutzern auf. Zunächst kam es zu einem deutlichen Anstieg bei der Verwendung operativer Sicherheitstechniken wie virtuellen privaten Netzwerken (VPN), virtuellen privaten Servern (VPS), Transport Layer Security (TLS) und The Onion Router (Tor). Im April stellten wir einen Anstieg der Nutzung dieser Dienste durch die nordkoreanische Führung um 1.200 Prozent fest. Dies bedeutet eine deutliche Abkehr von ihrem früheren Verhalten, bei dem die Internetaktivitäten überwiegend ungeschützt waren.

Seitdem hat sich dieser Anstieg der operativen Sicherheitsmaßnahmen abgeschwächt. Anfang 2018 machte das verschleierte Surfen 13 Prozent aller Internetaktivitäten der nordkoreanischen Führung aus. Bis September 2018 sank dieser Prozentsatz auf knapp über fünf Prozent. Bisher war die Verwendung von VPN-Technologien für 63 Prozent der verschleierten Internetaktivitäten verantwortlich. In den darauffolgenden sechs Monaten sank die VPN-Nutzung durch die nordkoreanische Führung auf nur noch 50 Prozent der verschleierten Aktivitäten. Die Verwendung von HTTPS (über Port 443) bzw. sicheres Surfen stieg auf 49 Prozent des betrieblich sicheren Surfens. Insgesamt ist jedoch die geringere VPN-Nutzung für den größten Teil des Rückgangs beim verschleierten Surfen verantwortlich.

Die Gründe für diesen Rückgang der VPN-Nutzung durch die nordkoreanische Führung werden aus unseren Daten nicht unmittelbar ersichtlich. Einerseits können einige VPN-Protokolle rechenintensiv oder unzuverlässig sein, die meisten erfordern ein Abonnement und regelmäßige Zahlungen und viele haben Gerätebeschränkungen oder akzeptieren immer noch keine Kryptowährungen. Andererseits verfügen die meisten VPN-Dienstanbieter über eine Anwendung und leicht zu konfigurierende Anweisungen; außerdem sind die Preise für VPNs so weit gefallen, dass Benutzer seriöse und zuverlässige VPNs bereits für 3 US-Dollar im Monat nutzen können.

Am wahrscheinlichsten ist, dass nordkoreanische Internetnutzer zunächst aufgrund eines externen Anreizes oder einer Anforderung strengere Methoden zum Schutz ihrer Privatsphäre im Internet übernahmen. Im April dieses Jahres kamen wir zu dem Schluss, dass diese Verhaltensänderung wahrscheinlich die Folge der zunehmenden internationalen Aufmerksamkeit für die Internet- und Medienaktivitäten Nordkoreas, der Durchsetzung eines offiziellen Verbots oder einer neuen operativen Sicherheitsanforderung war.

Die Auferlegung einer Anforderung oder Richtlinie für nordkoreanische Benutzer war der wahrscheinlichste Grund für die dramatische Erhöhung der Internetsicherheit, der diese anschließende Mäßigung folgte. Diese Forderung führte wahrscheinlich dazu, dass die nordkoreanischen Führungsnutzer verstärkt Sicherheitsmaßnahmen ergriffen, die dann mit der Zeit wieder abnahmen, da die Kosten in Bezug auf Zeit, Geld und Zugänglichkeit den Nutzen zu übersteigen begannen.

Kontinuierliche Nutzung chinesischer sozialer Medien seit Anfang 2018

Anfang 2018 konnten wir beobachten, wie die Nordkoreaner fast vollständig von westlichen sozialen Medien und Diensten abwandten und zu ihren chinesischen Pendants wechselten. Diese Änderung erfolgte im Laufe von sechs Monaten, von Ende 2017 bis Anfang 2018. Die Nutzer der nordkoreanischen Führung wechselten abrupt von Diensten wie Facebook, Instagram und Google zu Diensten ihrer chinesischen Pendants wie Baidu, Alibaba und Tencent.

Seit dem 1. März 2018 hält diese Abwanderung von westlichen sozialen Medien und Diensten an. Die nordkoreanische Führung nutzt Alibaba doppelt so häufig wie jeden anderen Dienst – ob westlich oder chinesisch. Zu den Aktivitäten auf Alibaba zählen Video- und Spiele-Streaming, Suche und Shopping.

Stündliche Aktivität auf acht sozialen Netzwerken, Shopping- und Suchseiten vom 1. März 2018 bis zum 28. August 2018 (tatsächlich). Die Anbieter werden nach Popularität aufgelistet, von Alibaba (höchste Popularität) bis Instagram (niedrigste Popularität).

Während die Nutzung nordkoreanischer Führungspersönlichkeiten in den meisten US-Diensten weiterhin abnahm, konnten wir seit April 2018 einen Anstieg bei der Nutzung von LinkedIn beobachten. Das Aktivitätsvolumen auf LinkedIn war niedriger als die Werte, die wir im Juli 2017 auf Facebook oder Instagram beobachtet haben. Die Nutzung von LinkedIn war jedoch regelmäßig und hielt bis zum Ende dieses Datensatzes im August 2018 an. Die Datenverkehrszahlen deuten darauf hin, dass es im Jahr 2017 deutlich weniger aktuelle LinkedIn- als Facebook-Nutzer gibt, stellen jedoch einen interessanten Kontrast zur anhaltenden Abkehr von westlichen sozialen Netzwerkdiensten dar.

Zunahme der Kryptowährungsausnutzung

Bei unseren früheren Untersuchungen haben wir festgestellt, dass die nordkoreanische Führung sowohl Bitcoin als auch Monero schürfte, wenn auch in begrenztem bzw. relativ kleinem Umfang. Für diesen Zeitraum (März 2018 bis August 2018) waren das Verkehrsaufkommen und die Kommunikationsrate mit Peers für beide Coins dieselben wie im letzten Jahr, und wir konnten noch immer keine Hash-Raten oder Builds bestimmen. Wir gehen davon aus, dass diese speziellen Mining-Bemühungen wahrscheinlich noch in kleinem Maßstab stattfinden und auf nur wenige Maschinen beschränkt sind.

Was sich im Zeitraum von März 2018 bis August 2018 jedoch dramatisch verändert hat, ist die Ausbeutung von Kryptowährungen, asset-gestützten „Altcoins“ und des Kryptowährungs-Ökosystems durch Nordkorea.

Im Juni 2018 bemerkten wir eine Reihe von Verbindungen und eine große Menge an Datenübertragungen mit mehreren Knoten, die mit der Altcoin namens Interstellar, Stellar oder HOLD Coin verbunden waren. HOLD-Coins sind als „ Altcoins“ bekannt, womit sich alle Kryptowährungen außer Bitcoin bezeichnen lassen, darunter auch einige der etablierteren und weiter verbreiteten Coins wie Monero, Ethereum und Litecoin. Es gibt über 1.000 Altcoins und die meisten sind Variationen des Bitcoin-Frameworks.

Anfang 2018 durchlief die HOLD-Münze einen Prozess namens Staking, um Zinsen und anfängliche Einnahmen zu generieren. Beim Staking schürfen Benutzer zunächst eine Anzahl an Münzen, dürfen diese aber für einen festgelegten Zeitraum nicht handeln. Die Münze kann dann an Wert gewinnen und eine Benutzerbasis aufbauen, was es den Münzentwicklern ermöglicht, den Wert der Münze zu kontrollieren, indem sie regeln, welche Geldbörsen zu einem bestimmten Zeitpunkt handeln können. Die Teilnahme am Staking einer neuen oder unbekannten Altcoin kann riskant sein, da die Entwickler den Staking-Zeitrahmen kontrollieren und den Handel so stark begrenzen können, dass viele Benutzer ihre Investitionen verlieren, wenn der Wert der Münze sinkt, und sie dann nicht mehr mit ihren eingesetzten Münzen handeln können.

Im Laufe des Jahres 2018 wurde die HOLD-Münze an einer Reihe von Börsen notiert und wieder dekotiert, im August 2018 wurde sie ausgetauscht und umbenannt (der neue Name lautet HUZU) und zum Zeitpunkt dieser Veröffentlichung ließ sie ihre HOLD-Investoren im Regen stehen. Wir gehen mit geringer Wahrscheinlichkeit davon aus, dass nordkoreanische Benutzer an den Altcoins Interstellar, Stellar oder HOLD beteiligt waren.

Anmerkung des Herausgebers: Wir haben den obigen Absatz bearbeitet, um klarzustellen, dass der Wechsel und die Umbenennung von HOLD in HUZU am Ende des Berichtszeitraums erfolgten.

Wir haben mindestens einen weiteren Blockchain-Betrug entdeckt, von dem wir mit hoher Wahrscheinlichkeit annehmen, dass er im Auftrag Nordkoreas durchgeführt wurde. Dies war eine Blockchain-Anwendung namens Marine Chain Platform.

Im August 2018 stießen wir in einigen Bitcoin-Foren auf Diskussionen über Marine Chain als Kryptowährung. Marine Chain war angeblich eine asset-backed Kryptowährung, die die Tokenisierung von Seeschiffen für mehrere Benutzer und Eigentümer ermöglichte. Benutzer in anderen Foren wiesen darauf hin, dass www[.]marine-chain[.]io war ein nahezu spiegelbildliches Bild einer anderen Site, www[.]shipowner[.]io.

Screenshots von marine-chain[.]io und shipowner[.]io vom April 2018 von Forumsteilnehmern bereitgestellt.

Domänenregistrierungsverlauf für marine-chain[.]io.

Marine-chain[.]io wurde seit seiner Registrierung unter vier verschiedenen IP-Adressen gehostet. Vom 9. April 2018 bis zum 28. Mai 2018 war marine-chain[.]io unter der Nummer 104[.]25[.]81[.]109 registriert. Während dieser Zeit hostete diese IP-Adresse auch eine nicht mehr existierende Krypto-Nachrichtenseite namens allcryptotalk[.]net, das seit Juni 2015 keine neuen Inhalte mehr veröffentlicht hat, und die Website eines betrügerischen Unternehmens für den Handel mit binären Optionen namens Binary Tilt. Dieses Unternehmen wurde von der Regierung der kanadischen Provinz Ontario für betrügerisch erklärt und Dutzende von Benutzern haben auf dieser Website Erfahrungsberichte über Verluste in Höhe von Zehn- bis Hunderttausenden von Dollar und Betrügereien veröffentlicht.

Die Marine Chain-Website ist nicht mehr verfügbar, wurde aber von einem Unternehmen namens Marine Chain Platform betrieben. Abgesehen von einer LinkedIn-Seite hatte das Unternehmen nur eine minimale Online-Präsenz, keine Kundenreferenzen und nur wenige Mitarbeiter. Auf der LinkedIn-Seite von Marine Chain war jemand namens Tony Walker zu finden, der behauptete, ein „Blockchain-Spezialist für die maritime Industrie“ und seit Mai 2017 Berater des CEO der Marine Chain Platform zu sein.

Am 1. Oktober 2018 ergab eine Suche nach „Marine Chain Platform“ auf LinkedIn außerdem einen weiteren Berater namens HyoMyong Choi. Herr Choi bezeichnete sich selbst als Kryptowährungsinvestor in Korea, als Berater für ICOs und als Angel-Investor. Außerdem gab er an, gleichzeitig als Chief Operating Officer (COO) für ein anderes Unternehmen namens InnoShore, LLC beschäftigt zu sein.

LinkedIn-Profil von HyoMyong Choi vom 1. Oktober 2018.

LinkedIn-Profil von HyoMyong Choi vom 15. Oktober 2018. In diesem Screenshot hat Herr Choi sowohl seine Erfahrungen mit der Marine Chain Platform als auch mit InnoShore, LLC entfernt.

Sowohl Herr Walker als auch Herr Choi behaupten, die National University of Singapore besucht zu haben und verfügen über viele derselben Unterstützer. Herr Choi ist auch als Adrian Ong bekannt, wie seine (wahrscheinlich gefälschte) Facebook-Seite beweist. Das Konto wurde im März 2018 erstellt und das Profilbild wurde von einem Mitarbeiter eines südkoreanischen Unternehmens gestohlen, das koreanischen Studenten den Besuch US-amerikanischer und britischer Universitäten ermöglicht.

Facebook-Seite für HyoMyong Choi oder Adrian Ong (Gesicht geschwärzt, um die Privatsphäre des Opfers zu schützen).

Choi (Herr Ong) hatte nur zwei Freunde, beide in Südostasien lebend und mit großen sozialen Netzwerken ausgestattet. Abgesehen von diesen beiden Konten ist Choi (oder Herr Ong) nicht sonst online vertreten.

Der andere prominente Mitarbeiter der Marine Chain Platform, den wir ausfindig machen konnten, war der CEO, ein Mann namens Captain Jonathan Foong Kah Keong. Seinem LinkedIn-Profil zufolge ist Capt. Foong ist seit Jahrzehnten in der Schifffahrtsbranche in Singapur aktiv. Obwohl er seine Position bei Marine Chain derzeit nicht in seinem LinkedIn-Profil aufführt, hat er im vergangenen Jahr bei zahlreichen Veranstaltungen gesprochen und dabei wiederholt seine Position bei Marine Chain oder als Gründer von marine-chain[.]io erwähnt.

Screenshot eines Forums zum Thema Schifffahrtsbranche und Blockchain, an dem Foong im April 2018 teilnahm und in dem sein Titel als CEO von marine-chain[.]io aufgeführt ist.

Was macht Captain? Foong hebt sich von den durchschnittlichen Kryptowährungs- oder Blockchain-Betrügern dadurch ab, dass er Verbindungen zu singapurischen Unternehmen unterhält, die seit mindestens 2013 die Bemühungen zur Umgehung der nordkoreanischen Sanktionen unterstützt haben. In einer Studie, die 2015 auf der Website 38North.org , die sich speziell mit Nordkorea befasst, veröffentlicht wurde, sagte Kapitän … Foong wird zweimal als Mitarbeiter oder Berater von Unternehmen in Singapur identifiziert , die „illegale Aktivitäten im Auftrag Nordkoreas ermöglicht haben und mit von der UNO sanktionierten Unternehmen in Verbindung stehen“.

Die Unternehmen Capt. Personen, für die Foong gearbeitet hat , werden mit der Manipulation der nationalen Flaggenregister dreier Länder in Verbindung gebracht , die häufig als Billigflaggen für nordkoreanische Schiffe verwendet wurden.

Kapitän Foong ist Teil eines weltweiten Netzwerks von Unterstützern, die Nordkorea dabei unterstützen, internationale Sanktionen zu umgehen. Diese Verbindungen zur Marine Chain Platform markieren das erste Mal, dass dieses riesige und illegale Netzwerk Kryptowährungen oder Blockchain-Technologie nutzt, um Gelder für das Kim-Regime zu sammeln.

Im Großen und Ganzen passen diese Arten von Kryptowährungsbetrug in das Schema kleinerer Finanzkriminalität , wie sie von Überläufern beschrieben wird, die Südkorea seit Jahren heimsuchen und die die internationale Gemeinschaft gerade erst zu erfassen beginnt. Dies ist ein natürlicher Schritt sowohl für eine Gruppe von Akteuren, die seit Jahren fest in der Welt der Kryptowährungen verankert ist, als auch für ein Netzwerk, das gezwungen ist, neue Finanzierungsströme zu erschließen, um den Auswirkungen der internationalen Sanktionen entgegenzuwirken.

Nordkoreanische Präsenz im Ausland: Weitere Einzelheiten kommen ans Licht

In unserer früheren Forschung haben wir eine Heuristik entwickelt, um signifikante physische und virtuelle Präsenz Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik berücksichtigte überdurchschnittliche Ausmaße nordkoreanischer Internetaktivitäten von und zu diesen Ländern, aber auch das Durchsuchen und Verwenden zahlreicher lokaler Ressourcen wie Nachrichtenagenturen, Bezirks- oder Kommunalverwaltungen, lokaler Bildungseinrichtungen und mehr.

Mithilfe dieser Technik konnten wir acht Länder identifizieren, in denen sich Nordkoreaner physisch aufhielten oder lebten, darunter Indien, China, Nepal, Kenia, Mosambik, Indonesien, Thailand und Bangladesch. Für diesen jüngsten Zeitraum (März 2018 bis August 2018) haben wir die Internetaktivitäten Nordkoreas in diesen acht Ländern erneut untersucht und dabei eine höhere Zuverlässigkeit der Daten aus China und Indien erreicht.

China

Die Ermittlung der Internetaktivitäten mutmaßlicher Nordkoreaner in China wird dadurch erschwert, dass die nordkoreanische Führung in großem Umfang chinesische Internetdienste wie etwa die von Alibaba, Baidu und Tencent nutzt. Bislang hatte Recorded Future nur wenig Einblick in die Regionen, in denen Nordkoreaner leben könnten, oder in die dort genutzten Ressourcen.

Auf lokaler Ebene und als Teilmenge unserer heuristischen Daten stellten wir fest, dass in den Regionen Peking, Shanghai und Shenyang, aber auch Nanchang, Wuhan und Guangzhou ein hohes Aktivitätsaufkommen vorlag. Einige dieser Städte und Regionen liegen außerhalb des traditionellen nordöstlichen Einzugsgebiets der in China tätigen Nordkoreaner.

Darüber hinaus entdeckten wir weitere Hinweise zu Nordkoreanern im chinesischen Wissenschaftssektor, die zuvor im Dunkeln blieben. Nachfolgend finden Sie eine Liste chinesischer Universitäten, bei denen wir mit mäßiger Sicherheit davon ausgehen, dass sie derzeit oder in der Vergangenheit nordkoreanische Studierende, Lehrkräfte oder Partner beherbergen.

• Jiaotong-Universität Shanghai
• Jiangxi Normal University
• Tsinghua Universität
• Hochschule für Wirtschaft und Handel Wuhan
• Normale Universität Guangxi
• Fudan Universität
• Medizinische Universität Tianjin

Indien

Obwohl sich das Verhaltensmuster der nordkoreanischen Aktivitäten in Bezug auf Indien in diesem Zeitraum nicht geändert hat, konnten wir einige zusätzliche Einzelheiten ermitteln. Ein Großteil der indischen Aktivitäten betraf mehrere Sonderwirtschaftszonen (SEZ), insbesondere die SEZ Noida und Cochin.

Auf lokaler Ebene und als Teilmenge unserer heuristischen Daten haben wir ein hohes Aktivitätsaufkommen in Delhi, Bangalore, Kalkutta und Hyderabad festgestellt. Wir beobachteten erneut verdächtigen Datenverkehr unter Beteiligung der indischen Wetterbehörde und des Nationalen Fernerkundungszentrums, konnten jedoch keine böswillige Absicht feststellen.

Bei den meisten dieser Länder stimmte diese Heuristik eng mit den bekannten illegalen Finanzierungs- oder Logistiknetzwerken Nordkoreas überein. Die von der gemeinnützigen Organisation C4ADS durchgeführte Untersuchung zu Nordkoreas illegalen Finanzierungsnetzwerken ist ein hervorragendes Beispiel. Im August veröffentlichte C4ADS einen Bericht , der ein Profil der nordkoreanischen Zwangsarbeit im Ausland nach Ländern und Sektoren (einschließlich Restaurants und Produkte) erstellte. Diese wiederholte Überschneidung zwischen den illegalen Finanzierungsnetzwerken und der Internetaktivität Nordkoreas veranlasste uns, erneut zu untersuchen, warum Russland nicht in unsere Verhaltensheuristik passte.

Russland

Aus der Volumenperspektive war die Aktivität mit Russland nur ein Bruchteil der nordkoreanischen Internetaktivität mit China oder Indien (etwa 0,05 Prozent des Volumens aus China zum Beispiel). Was die Dienste angeht, so nutzten die Nordkoreaner die russischen Dienste nur sehr eingeschränkt. Sie besuchten regelmäßig mail.ru und nutzten Yandex nur gelegentlich. Auf Stadtebene betraf das geringe Aktivitätsvolumen vor allem Sotschi, die Region Moskau und Wladiwostok.

Es ist möglich, dass sich die Typen von Nordkoreanern in Russland während dieses Zeitraums (März 2018 bis August 2018) von denen in vielen anderen von uns identifizierten Ländern unterschieden. Viele nordkoreanische Arbeiter in Russland sind Handarbeiter und müssen häufig unter „ sklavenähnlichen“ oder „ unmenschlichen“ Bedingungen untergebracht werden und arbeiten. Dies steht im Gegensatz zu einigen nordkoreanischen Arbeitern in anderen Ländern wie China, die in der Informationswirtschaft tätig sind und Handyspiele, Apps, Bots und andere IT-Produkte für einen weltweiten Kundenstamm entwickeln. Obwohl es sicherlich auch in China eine große Zahl an Handarbeitern gibt, ist es möglich, dass in Russland weniger qualifizierte nordkoreanische Arbeitskräfte beschäftigt sind. Diese Art der Arbeit in der Informationsökonomie hinterlässt einen anderen Internet-Fingerabdruck als ausbeuterische Handarbeit und verdeutlicht wahrscheinlich die Diskrepanz zwischen physischer Präsenz und Internetaktivität.

Daher gehen wir davon aus, dass die Länder, die wir mithilfe unserer Verhaltensheuristik identifizieren, eher nordkoreanische Arbeitnehmer im Dienstleistungs- oder Informationssektor beherbergen. Obwohl diese Arbeitnehmer noch immer einen großen Teil ihres Einkommens nach Hause schicken, sind sie für ihre tägliche Arbeit auf den Internetzugang angewiesen oder leben, da sie Kundenkontakt haben, wahrscheinlich unter weniger belastenden Bedingungen.

Ausblick

Im Laufe der letzten anderthalb Jahre haben unsere Untersuchungen zu Nordkorea beispiellose Einblicke in das digitale Leben der obersten Führungspersönlichkeiten Nordkoreas ermöglicht. Wir haben die Aktivitäten der nordkoreanischen Staatsführung zu einem einzigartigen Zeitpunkt in den Beziehungen zwischen den USA und Nordkorea verfolgt und analysiert: die Dauer der „ Höchstdruck“-Kampagne, den Zeitraum mit den meisten Raketenstarts und -tests sowie das erste Gipfeltreffen zwischen einem amerikanischen und einem nordkoreanischen Staatschef.

Im Kern hat diese Forschungsreihe gezeigt, wie anpassungsfähig und innovativ die oberste Führung Nordkoreas ist. Sie nehmen neue Dienste oder Technologien schnell an, wenn sie nützlich sind, und verwerfen sie, wenn sie nicht nützlich sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausbeutung des Internets entwickelt: Es ist ein Staat, der wie ein Verbrechersyndikat geführt wird.

Insbesondere hat das Kim-Regime das Internet als wirksames Instrument zur Erzielung von Einnahmen und zur Umgehung von Sanktionen kultiviert, indem es Kryptowährungen, verschiedene Interbanken-Überweisungssysteme, die pluralistische Natur der „Gig Economy“, Online-Gaming und mehr nutzt (und ausnutzt). Sie haben dies mit einem jahrzehntealten Schmuggelnetzwerk und einem System korrupter Diplomaten, Botschaften und Konsulate kombiniert.

Es ist diese Verbindung des Physischen und des Virtuellen, die Nordkoreas Erfolg ermöglicht und internationale Regulierungs- und Durchsetzungsbehörden vor Probleme stellt. Der Wert, den Nordkorea aus dem Internet zieht, lässt sich zwar nie genau beziffern, seine Bedeutung darf jedoch nicht unterschätzt werden.

Auf internationaler Ebene haben die Staaten gerade erst begonnen, sich mit der Globalisierung der nordkoreanischen Internetaktivitäten und der damit verbundenen Bedrohung auseinanderzusetzen. Insbesondere die Vereinigten Staaten haben eine Strafanzeige gegen den nordkoreanischen Agenten Park Jin Hyok eingereicht und zahlreiche weitere Personen in die Sache verwickelt. Dies ist ein ausgezeichneter erster Schritt, dem jedoch weitere Maßnahmen folgen müssen, wie etwa die Veröffentlichung von Internetaktivitäten, die Kontaktaufnahme mit nicht-traditionellen diplomatischen Partnern sowie flexiblere und dynamischere Mechanismen, um die Umgehung von Sanktionen durch Nordkorea über das Internet zu erschweren.

Dies wird zugleich unser letzter regulärer Bericht über die Internetaktivitäten der nordkoreanischen Führung sein, da unsere Einblicke aufgrund zweier Trends eingeschränkt waren: der Nutzung von Internetsicherheits- und Anonymisierungsdiensten durch die nordkoreanische Führung und der zunehmenden Verbreitung von Domain-Datenschutz und groß angelegten Hosting-Diensten.

Erstens: Auch wenn die herrschende Elite Nordkoreas ihre Maßnahmen zur Internetsicherheit zurückgefahren hat, ist der allgemeine Trend sowohl für Nordkoreaner als auch für alle Internetnutzer steigend. Dies bedeutet, dass es mit der Zeit immer schwieriger wird, das Surfverhalten Nordkoreas im Internet zu verfolgen und neue Erkenntnisse zu gewinnen.

Zweitens bieten große Technologieunternehmen ihren Kunden eine zunehmend breitere Palette von Diensten an, von DNS über Content Delivery bis hin zu Cloud-Diensten und mehr. Aus Netzwerkperspektive ist es unglaublich schwierig, den Endinhalt hinter einer generischen DigitalOcean-, Cloudflare- oder GoDaddy-Registrierung zu erkennen. Sogar Ports und Protokolle stellen nur eine begrenzte Datenmenge bereit und oft gibt eine IP, die in einer DigitalOcean-Box endet, nichts preis.

Wir werden die IP-Bereiche Nordkoreas weiterhin überwachen und über kritische Entdeckungen oder Ereignisse auf Ad-hoc-Basis berichten.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Organisationen, die folgenden Maßnahmen zu ergreifen, wenn sie potenzielle nordkoreanische Aktivitäten in ihren Netzwerken feststellen:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei unzulässigen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen eine Warnung ausgeben und diese ggf. blockieren:

• 175.45.176.0/22

• 210.52.109.0/24

• 77.94.35.0/24

• Um nordkoreanische Bemühungen zum Mining von Kryptowährungen zu erkennen und zu verhindern, sollten Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so konfigurieren, dass sie bei illegalen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen, die über TCP-Ports eine Verbindung zu Ihrem Netzwerk herstellen, eine Warnung ausgeben und diese nach Prüfung blockieren:

• 10130 und 10131 für HOLD-Münze

• 8332 und 8333 für Bitcoin

• 18080 und 18081 für Monero

• 9332 und 9333 für Litecoin

Hinweis: Bei den oben genannten Ports handelt es sich um die für die angegebenen Kryptowährungen konfigurierten Standardports. Es ist plausibel, dass die Software zum Mining von Kryptowährungen so geändert wurde, dass die Standardports überschrieben wurden. Darüber hinaus können je nach Ihrer Unternehmenskonfiguration auch andere Dienste so konfiguriert sein, dass sie auf den aufgeführten Ports ausgeführt werden. Daher können IDS- und/oder IPS-Warnmeldungen zum Netzwerkverkehr auf den aufgeführten Ports zu Fehlalarmen führen.

• Analysieren Sie den DNS-Verkehr des Netzwerks, um verdächtigen Datenverkehr im Zusammenhang mit dem Mining der Kryptowährung HOLD (z. B. Domänen, die den Begriff „Stellarhold“ enthalten) zu erkennen und zu blockieren.
• Erwägen Sie die unternehmensweite Implementierung eines Software-Whitelist-Programms, um der Möglichkeit entgegenzuwirken, dass Kryptowährungs-Mining-Software aus dem Netzwerk heruntergeladen und ausgeführt wird.
• Viele Kryptowährungs-Miner verwenden zur Koordination Internet Relay Chat (IRC). Sofern IRC keine für Ihr Unternehmen erforderliche Anwendung ist, sollten Sie erwägen, den standardmäßigen IRC-TCP-Port 6667 über Ihr IDS und IPS zu blockieren, um das Mining von Kryptowährungen über IRC einzudämmen.
• Machen Sie sich mit den VPN-Diensten und -Protokollen Ihres Unternehmens vertraut und blockieren oder prüfen Sie sorgfältig nicht standardmäßigen VPN-Verkehr.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (z. B. durch Geräte- oder Kontoübernahme per Phishing).
• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.