North Korea’s Ruling Elite Adapt Internet Behavior to Foreign Scrutiny

North Korea’s Ruling Elite Adapt Internet Behavior to Foreign Scrutiny

In-depth analysis of North Korean internet activity reveals the abandonment of Western social media and a dramatic increase in operational security practices.

insikt-group-logo-updated-3-300x48.png
Click here to download the complete analysis as a PDF.

Note d'information :Insikt Group a examiné l'activité Internet des plus hauts dirigeants nord-coréens en analysant des données tierces, la géolocalisation IP, les tables de routage BGP (Border Gateway Protocol) et des renseignements provenant de sources ouvertes (OSINT) à l'aide de divers outils. Ceci est la suite de notre Analyse de juillet 2017, et les données analysées pour ce rapport couvrent la période du 1er décembre 2017 au 15 mars 2018.

Executive Summary

In July 2017, Recorded Future published research on the internet browsing behavior of North Korea’s most trusted leaders, or the North’s “.1 percent.” While conducting that research, we discovered that North Korea’s ruling elite were plugged into contemporary internet society, were technologically savvy, and had patterns of internet use that were very similar to users in the West.

In December, we decided to revisit the analysis and discovered substantive changes in how North Korea’s ruling elite utilize the internet. In particular, North Korean leadership nearly totally abandoned Western social media and significantly increased their operational security procedures in the six months since our original analysis.

Il est probable que ce changement radical de comportement soit le résultat d'un ou plusieurs des facteurs suivants : 1) l'intensification des recherches et de l'attention portées par l'étranger sur la consommation médiatique des Nord-Coréens, 2) la nouvelle application de l'interdiction officielle de ces réseaux sociaux occidentaux, en vigueur depuis avril 2016, ou 3) le renforcement de la sécurité opérationnelle par l'élite nord-coréenne.

Key Judgements

Background

Comme nous l'avons expliqué en détail en juillet dernier, seuls quelques membres de la haute direction nord-coréenne sont autorisés à accéder directement à l'Internet mondial. Bien qu'il n'existe pas de chiffres fiables concernant le nombre d'utilisateurs d'Internet en Corée du Nord, les journalistes estiment qu'il s'agit d'un nombre « très restreint », «limité au cercle restreint des dirigeants nord-coréens »ou «de quelques dizaines de familles seulement ». Quel que soit leur nombre exact, le profil des utilisateurs nord-coréens d'Internet est clair : il s'agit de membres dignes de confiance ou de membres de la famille de la classe dirigeante.

Il existe trois principaux moyens pour les élites nord-coréennes d'accéder à l'Internet mondial. Comme pour tous les réseaux connectés à Internet, des activités malveillantes sont parfois signalées dans ces plages. Cependant, la majorité des cyberopérations malveillantes nord-coréennes sont probablement menées depuis l'étranger (pour plus d'informations à ce sujet, voir la section « Présence dans les pays étrangers » ci-dessous).

The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains such as co.kp, gov.kp, and edu.kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

north-korea-internet-behavior-1.png

Timeline of events involving 175.45.176.0/22 range from July 2017 through April 2018.

La deuxième méthode consiste à utiliser une plage attribuée par China Netcom, 210.52.109.0/24. Le nom de réseau « KPTC » est l'abréviation de Korea Posts and Telecommunications Co., la société nationale de télécommunications.

north-korea-internet-behavior-2.png

Timeline of events involving 210.52.109.0/24 range from July 2017 through April 2018.

La troisième méthode consiste à utiliser une plage attribuée, 77.94.35.0/24, fournie par une société russe de satellites, qui renvoie actuellement vers SatGate au Liban.

north-korea-internet-behavior-3.png

Timeline of events involving 77.94.35.0/24 range from July 2017 through April 2018.

Editor’s Note

From this point on, when we refer to “North Korean internet activity” or “behavior,” we are referring to the use of the global internet, not the North Korean domestic intranet, Kwangmyong, for which only select few leaders and ruling elite are permitted access. This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans permitted access to Kwangmyong, or diplomatic and foreign establishments that are located in North Korea.

Additionally, we chose this date range, December 1, 2017 through March 15, 2018, because it represented a period of transition and intensified intra-Korean dialogue in advance of the February 2018 Winter Olympics in South Korea.

Analysis

À l'instar des utilisateurs internationaux de l'Internet mondial, l'activité en ligne de l'élite nord-coréenne se compose principalement de vidéos en ligne, de jeux en ligne et de navigation sur le Web. Une analyse de Cisco a révélé que 77 % du trafic Internet mondial en 2017 était constitué de vidéos en ligne et de jeux en ligne. Pour les utilisateurs nord-coréens, 70 % de l'activité consistait en vidéos sur Internet ou jeux en ligne ; 17 % consistait en navigation sur le Web, consultation d'e-mails et téléchargement de données ; et 13 % se faisait via un réseau privé virtuel (VPN) ou autrement dissimulé.

Change in Social Media Consumption

North Korean leadership spent roughly the same amount of time on social media, shopping, and search sites for December through March as they did last summer. However, the services they utilized changed dramatically.

north-korea-internet-behavior-4.png

Hourly activity on eight social networking, shopping, and search sites for December 1, 2017 through March 15, 2018 (actual). Providers are listed by popularity, from Alibaba (highest) to Instagram (lowest).

In July, our data demonstrated that North Korean leadership heavily consumed Western social media, especially Facebook, Google, and Instagram. In fact, Facebook was by far the most popular service, with more than double the daily actual usage than any of its Chinese-language counterparts.

What is most striking about the social media activity from the December 2017 through March 2018 dataset is the near absence of Facebook and Instagram activity, and the significant increase in use of Chinese services. Facebook and Instagram activity are so low that they are not visible on the chart above.

In six short months, North Korean elites migrated almost completely from Western social media and services to Alibaba, Tencent, and Baidu. The remaining Western services in the top eight were utilized primarily for content streaming and not social networking.

Ce changement de comportement pourrait résulter de l'intensification des recherches et de l'attention portées par l'étranger sur la consommation médiatique des Nord-Coréens, de la nouvelle application de l'interdiction officielle de ces réseaux sociaux occidentaux en vigueur depuis avril 2016, ou du renforcement de la sécurité opérationnelle par l'élite nord-coréenne.

Pattern of Life

North Korean leaders have distinct patterns of daily usage over this period that are similar to the summer of 2017. Generally, the times of highest activity are still from approximately 9:00 AM through 8:00 PM or 9:00 PM, with Saturdays and Sundays being the days of consistently highest activity. The peaks of activity on late Saturday nights and early Sunday mornings consisted mainly of content streaming or online gaming, suggesting that North Korean elite are allowed leisure time on the weekends.

north-korea-internet-behavior-5.png

Daily internet usage by hour (not an average).

Gaming as a For-Profit Enterprise

Une série d'entretiens avec des transfuges menés par des journalistes, des universitaires et des chercheurs depuis environ 2012 a donné au monde extérieur un aperçu des objectifs et de la composition des cyberopérations nord-coréennes. Les transfuges ont dressé le portrait d'un appareil opérationnel nord-coréen composé principalement d'opérateurs et de programmeurs vivant dans des installations à l'étranger, dont l'objectif principal est de générer des revenus pour le régime de Kim.

Ce modèle opérationnel consistant à envoyer des Nord-Coréens à l'étranger pour mener des cyberopérations prend tout son sens lorsque l'on compare les moyens utilisés par ces hackers pour gagner de l'argent pour le régime et le trafic web de l'élite nord-coréenne que nous avons analysé. Des transfuges ont détaillé à quel point la contrefaçon et l'escroquerie dans le domaine des jeux vidéo et en ligne, ainsi que l'arnaque des utilisateurs, sont devenues essentielles à la génération de revenus pour le régime de Kim. Un transfuge, qui avait travaillé dans une maison en Chine avec des dizaines d'autres hackers nord-coréens, a rapporté que ces hommes devaient gagner près de 100 000 dollars par an, dont 80 % étaient reversés au régime de Kim. Pour répondre à cette demande, les individus ont créé de faux jeux vidéo, des robots qui volaient des objets numériques tels que des armes, des points et des équipements, les revendaient pour en tirer profit, et découvraient et vendaient de nouvelles vulnérabilités dans les logiciels de jeux.

The list below represents a wider usage of online games by North Korean elite since July 2017 and could give researchers leads on which games overseas North Korean hackers are exploiting to generate revenue for the regime. It is not clear how much of this type of revenue generation is conducted from territorial North Korea. However, it is clear that overseas operators would often develop bots or gaming hacks for platforms and services they were already familiar with.

North Korean elite also utilize a number of gaming consoles or systems, including Nintendo and PlayStation, as well as game storage and account providers like Steam and Blizzard.

Presence in Foreign Countries

In our July research, we developed a heuristic to identify significant physical and virtual North Korean presences in nations around the world. That heuristic included above-average levels of North Korean internet activity to and from these nations, but also browsing and use of many local resources, such as news outlets, district or municipal governments, local educational institutions, and more.

This technique enabled us to identify eight nations where North Koreans were physically living or located, including India, Malaysia, New Zealand, Nepal, Kenya, Mozambique, Indonesia, and China. For this December through March dataset, we reexamined the data for those eight countries and included examples of countries that did not fit the pattern in order to provide greater fidelity on the analytic conclusions.

north-korea-internet-behavior-6.png

Principales destinations des exportations nord-coréennes en 2015 (données fournies par l'Observatoire de la complexité économique du MIT). La Chine, l'Inde, l'Indonésie, la Thaïlande, le Bangladesh, le Népal (dans le cadre de la catégorie « Autres pays d'Asie ») et le Mozambique figurent parmi les principales destinations d'exportation.

Among the eight identified last summer, only Malaysia and New Zealand no longer fit the behavioral heuristic, but in slightly different ways.

En ce qui concerne la Nouvelle-Zélande, bien que le volume de trafic soit resté relativement stable, l'activité ne présentait plus la seconde moitié de l'heuristique (ressources locales et autres) et semblait plutôt constituer principalement une plaque tournante pour les services nord-coréens de torrent, de streaming vidéo et de jeux. Au cours d'une période de trois jours début janvier, un IP des forces de défense néo-zélandaises a tenté à plusieurs reprises de se connecter à des réseaux nord-coréens. L'activité était répétitive et bruyante, mais pas au point de perturber les services Internet nord-coréens.

Il est possible que la Nouvelle-Zélande ait contré certaines activités opérationnelles de la Corée du Nord par les mesures qu'elle a prises en août 2017 pour refuser des visas à des universitaires nord-coréens et par son soutien aux régimes de sanctions des Nations Unies et des États-Unis.

For Malaysia, the volume of traffic dropped significantly, but there are clearly some North Koreans in Malaysia. For example, we see repeated checking of North Korean official email accounts from Kuala Lumpur, however, the breadth of the localized North Korean activity is much narrower than last summer.

Les relations entre la Malaisie et la Corée du Nord se sont considérablement détériorées depuis l'été dernier, à la suite de l'assassinat de Kim Jong-nam. La Malaisie a rappelé son ambassadeur à Pyongyang, imposé des restrictions aux travailleurs, aux entreprises et aux vols nord-coréens, interdit les voyages et pourrait exiger de la Corée du Nord qu'elle réduise la taille de sa mission à Kuala Lumpur.

In addition to the remaining six nations — India, Nepal, Kenya, Mozambique, Indonesia, and China — internet activity involving two other nations emerged as fitting the behavioral signature: Thailand and Bangladesh. We assess that these eight nations wittingly or unwittingly host North Koreans. These North Koreans are likely conducting illicit revenue-generation activities with the intent of circumventing international sanctions or obtaining advanced education, with the goal of progressing the North’s nuclear weapons and cyber operations programs.

In part one of our research on North Korea’s strategic motivations for conducting cyber operations, we detailed some of the extensive overseas criminal operations that the Kim regime runs to obtain funding for the country’s missile and nuclear development programs.

Les réseaux illicites générateurs de revenus de la Corée du Nord ont fait l'objet d'études approfondies de la part de chercheurs, de journalistes et d'universitaires. Ces études, parmi de nombreuses autres, détaillent la manière dont laCorée du Nord utilise ses représentations diplomatiques à l'étranger, sa chaîne de restaurants d'État et ses citoyens vivant à l'étranger pour faciliter la génération de revenus illicites et la formation à des opérations nucléaires et cybernétiques.

La Thaïlande et le Bangladesh accueillent des restaurants gérés par l'État nord-coréen, des établissements diplomatiques liés à des activités criminelles et autorisent les investissements nord-coréens. La signature numérique que nous avons développée et appliquée n'est qu'un élément supplémentaire qui renforce notre confiance dans l'inclusion de ces deux pays dans cette liste.

High Volume But No Signature Match

There are several countries that exhibited high volumes of activity with North Korean ranges but did not meet the second, or local, half of the heuristic. Particularly among the top 10 nations, the majority of these nations were simply utilized by North Korean users for video streaming, content delivery, or VPN/VPS services.

north-korea-internet-behavior-7.png

Top 10 nations with the most internet activity to or from North Korea (actual numbers).

Interestingly, Alibaba’s video streaming and content delivery networks seem to be routing North Korean-originated traffic through U.S. servers, which was the major driver of U.S.-based activity. In the case of the Netherlands and Germany, infrastructure in both nations was utilized heavily to obfuscate activity, primarily through VPN or VPS services and Tor exit nodes.

This is in stark contrast to last summer, when less than one percent of all North Korean internet activity was obscured or concealed in any way. The drivers for this move to European providers is not clear, however, we assess it could be driven by the implementation of the GDPR and the European focus on individual internet privacy.

Cryptocurrency Activity

Depuis nos premiers rapports indiquant que la Corée du Nord exploitait le Bitcoin depuis au moins mai 2017, l'intérêt et l'exploitation des cryptomonnaies par le pays ont considérablement augmenté. En 2017, la Corée du Nord a commis de nombreux vols sur des plateformes sud-coréennes d'échange de cryptomonnaies, a été impliquée dans l'attaque WannaCry en mai et a commencé à miner du Monero.

In this new dataset, we see an expanded interest in cryptocurrencies by North Korean elites and a continuation of the Bitcoin mining. While our data does not give us insight into the full scope of North Korea’s Bitcoin activity, we saw a continuation of the mining activity we observed in May from January 24 through the end of this dataset on March 15. The traffic volume and rate of communication with peers was the same as last summer, but we were still unable to determine hash rate or build. This mining effort appears small-scale and limited to just a few machines, similar to the activity from last summer.

Nous avons également observé un utilisateur distinct utilisant l'interface Bitcoind, qui permet un contrôle local ou à distance et une intégration avec d'autres logiciels ou dans des systèmes de paiement plus importants. Cela indique clairement que des utilisateurs nord-coréens effectuent des transactions en bitcoins, mais nous ne sommes pas en mesure de confirmer la nature des achats, les portefeuilles associés ni le nombre de pièces détenues par les utilisateurs.

En plus de l'activité Bitcoin détaillée ci-dessus, nous avons observé, à partir du 29 janvier, une activité de minage de Monero à partir de réseaux nord-coréens. Cette activité s'est poursuivie jusqu'à la fin de notre ensemble de données, le 15 mars. Le minage de Monero est similaire au minage de Bitcoin dans la mesure où il utilise la même méthode de « preuve de travail », qui consiste à découvrir le hachage correspondant à une certaine valeur cible.

Monero se distingue du Bitcoin par son anonymat total. Toutes les transactions sont cryptées au sein de la blockchain, de sorte que seuls l'expéditeur ou le destinataire d'une transaction peuvent s'identifier mutuellement. Monero se distingue également par le fait qu'il a été conçu pour être miné par des machines de faible capacité, et ses ports de minage ont tendance à s'adapter à la capacité. Par exemple, de nombreux mineurs utilisent le port 3333 pour les machines bas de gamme et le port 7777 pour les machines haut de gamme et de plus grande capacité. Dans ce cas, nous avons observé l'exploitation minière sur le port 7777, ce qui suggère qu'une machine de plus grande capacité effectuait l'exploitation minière, ainsi qu'un taux de hachage plus élevé. Les numéros de port et l'activité que nous avons observés étaient insuffisants pour déterminer le taux de hachage. Nous avons seulement pu constater que l'exploitation minière était en cours.

Obfuscated Activity

A much higher percentage — nearly 13 percent — of leadership internet activity was obfuscated in some way for this time period, as opposed to the less than one percent of activity last summer. From April through July 2017, less than one percent of all North Korean internet activity was obfuscated. Over the course of approximately six months, North Korean leadership significantly changed the manner in which they browse, search, and retrieve web content.

north-korea-internet-behavior-8.png

North Korean leadership use of obfuscation services by percentage of total.

Le protocole PPTP ( Point-to-Point Tunneling Protocol ) était le service de dissimulation le plus utilisé, suivi probablement par le protocole HTTPS (via le port 443), ou la navigation sécurisée, et le VPN IPSec.

D'avril à juillet 2017, les dirigeants nord-coréens ont masqué moins de 1 % de l'ensemble de leur activité Internet, y compris la navigation TLS, l'utilisation de VPN ou de VPS, d'autres protocoles de tunneling, voire l'utilisation de Tor. En décembre, les utilisateurs nord-coréens avaient fondamentalement modifié leur comportement de navigation, multipliant par douze leur utilisation des services de dissimulation.

Given that 70 percent of North Korean internet activity consists of internet video or online gaming, 13 percent is a substantial portion of the remaining web traffic, which narrows our optic into leadership activities even further.

Network Analysis

Le 1er octobre 2017, des chercheurs ont observé qu'une société de télécommunications russe, Trans TeleCom (AS 20485), avait commencé à apparaître dans les bases de données de routage Internet pour la principale plage d'adresses IP de la Corée du Nord, 175.45.176.0/22. Avant octobre 2017, la connexion principale de la Corée du Nord à l'Internet mondial était assurée par l'opérateur de télécommunications chinois China Unicom (AS4837).

À différents moments de la journée du 1er octobre, trois des quatre sous-réseaux de 175.45.176.0/22 (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 et 175.45.179.0/24) ont été acheminées par Trans Telecom jusqu'à ce que la connexion se stabilise, puis uniquement 175.45.178.0/24. Le sous-réseau a continué à transiter par l'infrastructure de Trans Telecom, tandis que les trois autres utilisaient China Unicom.

From December 2017 through March 15, 2018, only the 175.45.178.0/24 subnet was ever routed through Trans Telecom, while the other three remained transiting China Unicom infrastructure. Although the Trans Telecom route has given North Korea an alternate internet access point, it seems to only be utilized for about one third of North Korea’s overall internet activity.

north-korea-internet-behavior-9.png

Usage of each subnet within the primary range of 175.45.176.0/24 by percentage of total traffic.

Le sous-réseau 176 génère le plus d'activité, car il héberge la grande majorité des sites web accessibles au public en Corée du Nord. De plus, ce sous-réseau est également composé d'un certain nombre de serveurs partagés qui hébergent à la fois des sites Web et acheminent le trafic sortant, ainsi que des proxys et des équilibreurs de charge. Par exemple, notre analyse indique que la Corée du Nord utilise un équilibreur de charge F5 BIG-IP pour distribuer le trafic sortant via au moins huit adresses IP dans ce sous-réseau. Les équilibreurs de charge gèrent le trafic Internet entrant et sortant et le répartissent vers une gamme spécifique de serveurs afin d'augmenter la capacité et la fiabilité du réseau pour les utilisateurs simultanés.

For many who have attempted to access any of the North Korean-hosted websites, this may sound surprising because the sites are notoriously slow to load and often require several attempts before content is presented. Our analysis indicates that this load balancing is utilized primarily for the shared servers, and its performance is likely degraded by both a lack of a redundant system and the stress on the limited bandwidth due to the amount of video streaming and online gaming.

This means that there are likely more physical computers behind each of these IP addresses, although exactly how many there are is not known. The volume of internet activity we observed to and from North Korean IP ranges is quite small, especially for a national network. Because such a small percentage of the population has access to the global internet, the number of computers behind these subnets is likely to be closer to the equivalent of a medium-sized corporation than a nation with an equivalent population (approximately 25 million).

Pour le 210.52.109.0/24 Les tables de routage confirment que le point d'accès est géré par China Netcom, sous AS9929. Les données de routage indiquent également qu'au moins la moitié du temps, les données provenant de cette plage sont également acheminées via un numéro de système autonome (AS ou ASN) attribué à Sprint, AS1239. Il n'est pas clair si ce chemin traverse réellement des infrastructures physiques aux États-Unis ou s'il résulte d'une adhésion conjointe à AS.

En octobre 2017, des chercheurs en sécurité d'une société antivirus ont mené une enquête sur cette adresse IP 175.45.176.0/22. et a émis l'hypothèse que certaines adresses IP sont attribuées à des visiteurs étrangers et utilisées spécifiquement pour leur accès à Internet. Cette conclusion s'appuyait sur l'observation d'un « trafic Web » provenant de treize adresses IP dans la plage 175.45.178.0/24. sous-réseau.

Our analysis indicates that “web traffic” from North Korean IP addresses is insufficient to determine use by foreigners — otherwise, this entire /22 range could be assessed as assigned to foreign visitors. We did see internet browsing, video streaming, online gaming, VPN use, and other types of traffic from the thirteen IP addresses identified. This traffic comprised less than 0.5 percent of our total observed traffic and we eliminated it from our overall analysis because it was statistically insignificant.

Outlook

Back in July, we argued that our research revealed how connected to modern internet society North Korea’s ruling elite actually were, and that international sanctions had been ineffective at isolating North Korea from the outside world. Further, we stated that new tools and relationships were needed to affect a lasting negative impact on the Kim regime.

Au cours des mois qui ont suivi ce premier rapport, nous avons constaté des changements substantiels tant dans la manière dont l'élite nord-coréenne utilise l'internet que dans la diversité de la participation internationale aux sanctions et aux pressions exercées sur le régime de Kim. En moins de six mois, les dirigeants nord-coréens ont profondément modifié les services Internet qu'ils utilisent et leur comportement en ligne afin de renforcer l'anonymat. Ils ont utilisé les cryptomonnaies pour contourner les sanctions et ont tenté de dérober des fonds à des institutions financières du monde entier.

Les utilisateurs privilégiés d'Internet en Corée du Nord s'adaptent à leur environnement numérique en pleine mutation, alors que les sanctions physiques continuent de se durcir et que des coalitions de nations coupent les ponts avec le régime de Kim. Toutefois, notre évaluation de juillet selon laquelle de nouveaux outils qui ne se concentrent pas sur le territoire nord-coréen sont nécessaires pour avoir un impact négatif durable sur le régime actuel de Kim reste valable. Le Groupe d'experts des Nations Unies sur la Corée du Nord continue de se concentrer exclusivement sur le vol de secrets militaires par des moyens informatiques, et les sanctions américaines ne visent toujours pas les opérations cybernétiques.

The breadth of North Korea’s embrace of the internet, from leadership browsing, to revenue generation, to tactical cyber operations, indicates how indispensable this medium is to the Kim regime. International efforts to restrict the activities and operational scope of this rogue nation must include sanctions or punitive measures on North Korean cyber operations.

For cybersecurity professionals and network defenders, this change in leadership internet behavior continues to underscore just how complex defending against malicious North Korean cyber activity can be. We continue to recommend that financial services firms, banks, cryptocurrency exchanges, users, those supporting U.S. and South Korean military THAAD deployment, and on-peninsula operations maintain the highest vigilance and awareness of the heightened threat environment to their networks.

Similarly, energy and media companies, particularly those located in or that support these sectors in South Korea, should be on alert to a wide range of cyber activity from North Korea, including DDoS, destructive malware, and ransomware attacks. Broadly, organizations in all sectors should continue to be aware of the adaptability of ransomware and modify their cybersecurity strategies as the threat evolves.

1Heuristic analysis refers to a problem-solving approach that leverages methodical approximation to derive an analytical outcome based on the application of several criteria on the underlying data. In this case, it is the result of in-depth analysis of a large dataset combined with an intimate knowledge of the likely operating environment of North Korean nationals based in foreign countries.

2Eight is not a magic number — it just seems to be the number of countries where the behavior fits the signature.