How North Korea Revolutionized the Internet as a Tool for Rogue Regimes

How North Korea Revolutionized the Internet as a Tool for Rogue Regimes

insikt-group-logo-updated-2.png
Click here to download the complete analysis as a PDF.

For this research, Insikt Group examined North Korean senior leadership’s internet activity by analyzing third-party data, IP geolocation, Border Gateway Protocol (BGP) routing tables, network traffic analysis, and open source intelligence (OSINT) using a number of tools. The data analyzed for this report spans from January 1, 2019 to November 1, 2019.

This report will be of most interest to government departments and organizations within the technology, finance, defense, cryptocurrency, and logistics sectors, as well as those investigating North Korean sanctions circumvention, illicit financing, and state-sponsored cyberespionage.

Executive Summary

Over the past three years, Recorded Future has published a series of research pieces revealing unique insight into the behavior of North Korea’s most senior leadership. Our observations and findings during 2019 expand on these observations and point to broader conclusions about the way that North Korean leaders use the internet. For the North Korean political and military elite, the 2019 data show that the internet is not simply a fascination or leisure activity, but is a critical tool for revenue generation, gaining access to prohibited technologies and knowledge, and operational coordination.

En outre, nous estimons que la Corée du Nord a mis au point un modèle basé sur Internet pour contourner les contrôles financiers internationaux et les régimes de sanctions qui lui ont été imposés par des organisations multinationales et par l'Occident. Cela inclut non seulement l'utilisation d'Internet comme moyen de générer des revenus, mais également comme instrument permettant d'acquérir des connaissances et des compétences interdites, telles que celles qui permettent le développement des programmes nucléaires et balistiques de la Corée du Nord, ainsi que des cyberopérations. Ce modèle utilise trois tactiques principales pour générer des revenus : le vol bancaire via Internet, l'utilisation et l'exploitation des cryptomonnaies et de la technologie blockchain, ainsi que les activités informatiques de bas niveau et la criminalité financière.

At its most basic, North Korea has developed a model that leverages the internet as a mechanism for sanctions circumvention that is distinctive, but not exceptional. This model is unique but repeatable, and most concerningly can serve as an example for other financially isolated nations, such as Venezuela, Iran, or Syria, for how to use the internet to circumvent sanctions.

Key Judgments

north-korea-internet-tool-7-1.jpg

Background

Comme l'ont démontré nos recherches menées depuis avril 2017, seuls quelques membres de la haute direction nord-coréenne ont un accès direct à l'Internet mondial. Bien qu'il n'existe pas de chiffres fiables concernant le nombre d'utilisateurs d'Internet en Corée du Nord, les journalistes estiment qu'il s'agit « d'un nombre très restreint »,« du cercle restreint des dirigeants nord-coréens » ou «de quelques dizaines de familles seulement ». Quel que soit leur nombre exact, le profil des internautes nord-coréens est clair : il s'agit de membres de la famille ou de personnes de confiance de la classe dirigeante.

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only global internet-accessible websites. These include nine top-level domains such as co[.]kp, gov[.]kp, and edu[.]kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

La deuxième méthode consiste à utiliser une plage attribuée par China Netcom, 210.52.109.0/24. Le nom de réseau « KPTC » est l'abréviation de Korea Posts and Telecommunications Co., la société nationale de télécommunications. La troisième méthode consiste à utiliser une plage attribuée, 77.94.35.0/24, fournie par une société russe de satellites, qui renvoie actuellement vers SatGate au Liban.

We note here that when we refer to “North Korean internet activity” or “behavior,” we are referring to the use of the global internet, for which only select few leaders and ruling elite are permitted access, not the North Korean domestic intranet (Kwangmyong). This data does not give us any insight into intranet activity or behavior by the larger group of North Koreans who are permitted access to Kwangmyong, or diplomatic and foreign establishments that are located in North Korea.

Analysis

Normalization of Internet Use

As we observed in our October 2018 report, the volume of internet activity has increased since we began studying North Korean leaders’ behavior in early 2017. Over the course of the past nearly three years, the volume of activity to and from North Korean networks has increased by nearly 300%. We believe there are several possible reasons for this increase in internet usage.

Tout d'abord, la Corée du Nord a augmenté sa bande passante et sa capacité d'accès à l'Internet mondial. En octobre 2017, la Corée du Nord a acquis un nouveau partenaire, la société russe TransTelekom (AS20485), afin d'acheminer le trafic Internet pour l'un des sous-ensembles de sa plus grande plage IP, 175.45.176.0/22. Auparavant, tout le trafic provenant de l'ensemble de la plage 175.45.176.0/22 La plage avait été routée par China Unicom (AS4837) et, début septembre 2019, seule la plage 175.45.178.0/24 était encore accessible. Le sous-réseau n'avait jamais utilisé l'infrastructure TransTelekom.

Cependant, à la mi-septembre 2019, nous avons observé un changement dans les tables de routage BGP, indiquant que l'adresse 175.45.177.0/24 Le sous-réseau a été entièrement transféré de China Unicom à TransTelekom. Les requêtes traceroute et BGP effectuées par Hurricane Electric et d'autres services confirment que l'adresse IP 175.45.177.0/24 Le sous-réseau traverse désormais l'infrastructure TransTelekom.

Further, subnet analysis indicates that 45% of all DPRK internet traffic now transits TransTelekom infrastructure, up from only 36% in early 2018. We assess that the increased capacity accounts for at least some of the increase in volume of internet traffic over the past year. Routing separate subnets through both the TransTelekom and China Unicom infrastructure likely decreases latency in internet communications and increases speed and accessibility for North Korean leadership users.

Deuxièmement, au cours des six derniers mois, la Corée du Nord a commencé à utiliser une partie de son espace IP précédemment non résolu. Début juin, les administrateurs réseau nord-coréens ont déplacé la résolution IP de deux serveurs DNS pour le kptc[.]kp. domaine. Auparavant, les serveurs de noms pour kptc[.]kp étaient résolu en 175.45.176.15 et 175.45.176.16. Début juin 2019, ces serveurs de noms ont été déplacés vers 175.45.177.15 et 175.45.177.16. respectivement. Avant début juin, ces deux adresses IP ne se résolvaient pas du tout. Depuis lors, ces deux adresses IP ont pris des fonctions supplémentaires en tant que serveurs SMTP(ou messagerie) et FTP.

While these changes may at first appear trivial, what they signify is the expansion of services being offered to North Korean users. We believe that the kptc[.]kp nameservers were migrated away from 175.45.176.15 and 175.45.176.16 because those IP addresses have traditionally handled a significant portion of both inbound and outbound North Korean internet traffic. On average, over the past nearly three years, 175.45.176.15 and 175.45.176.16 have handled 30% of all North Korean inbound and outbound traffic — a substantial load for two machines, which we assessed in June 2018 likely caused page loading delays and latency problems for both foreign and domestic users.

We assess that the changes in network administration we have observed over the past six months are probably in response to increased demand from North Korean users both at home and abroad. For example, setting up an internet-accessible mail server indicates that people want to be able to email users at those domains, and that users want to be able to access their mail remotely. We have observed this increase in demand via the 300% increase in internet activity over the past three years and assess that this also reflects the normalization and professionalization of internet use among the North Korean elite.

Pattern of Life Analysis

Over the course of the past three years, we have also been monitoring the evolution in North Korean leaders’ patterns of daily internet usage. Below are two charts demonstrating the pattern of daily internet use by North Korean leadership by each hour in the day. What is remarkable about the most recent chart (built from data from January through October 2019) is the degree to which most of the daily activity peaks and valleys have moderated.

north-korea-internet-tool-1-1.png

Daily internet usage by hour (not an average) from January through October 2019.

north-korea-internet-tool-2-1.png

Daily internet usage by hour (not an average) from March through August 2018.

In 2019, North Korean leaders on average use the internet more during working hours and on working days than they did in 2017 (see activity-by-day charts below).

north-korea-internet-tool-3-1.png

Daily internet usage by day of the week (not an average) from January through October 2019.

north-korea-internet-tool-4-1.png

Daily internet usage by day (not an average) from March through August 2018.

We first observed this shift in 2018, and the data above demonstrates that these changing patterns were not an anomaly. The highest levels of internet use are now on weekdays during work hours, a huge shift from 2017, when activity was highest on the weekends and during late afternoons and evenings.

We assess that when combined with the 300% increase in volume of activity, the increased bandwidth and capacity provided by routing an additional /24 subnet through TransTelekom infrastructure, and the recent utilization of some previously unresolved IP space, that the internet is no longer simply a fascination or leisure activity, but has become a critical tool for North Korean leaders.

The Internet as a Tool

L'ensemble des conclusions ci-dessus et nos recherches précédentes conduisent à une conclusion beaucoup plus large sur la manière dont les dirigeants nord-coréens utilisent Internet. Pour l'élite politique et militaire nord-coréenne, Internet est devenu un outil essentiel. Cela inclut non seulement l'utilisation d'Internet comme moyen de générer des revenus, mais également comme instrument permettant d'acquérir des connaissances et des compétences interdites, telles que celles qui permettent le développement des programmes nucléaires et balistiques de la Corée du Nord, ainsi que des cyberopérations.

Further, we assess that North Korea has developed an internet-based model for circumventing international financial controls and sanctions regimes imposed on it by multinational organizations and the West.

Revenue Generation

We have established that the North Korean model uses three main operational pillars as their likely primary sources for internet-based revenue generation. These include:

  1. Banking operations
  2. Cryptocurrencies
  3. Low- level information technology (IT) work and financial crime

Banking Operations

Selon le Groupe d'experts du Conseil de sécurité des Nations unies sur la RPDC, au cours des quatre dernières années, des institutions financières et des plateformes d'échange de cryptomonnaies dans au moins 35 pays ont été victimes de cyberopérations nord-coréennes, qui ont rapporté jusqu'à 2 milliards de dollars au régime de Kim. Les attaques contre les institutions financières ont été menées via le réseau de la Society for Worldwide Interbank Financial Telecommunication (SWIFT). Après avoir obtenu un accès initial au terminal SWIFT, les opérateurs nord-coréens ont ensuite exécuté une série de transactions frauduleuses. Ces transactions ont permis de transférer des fonds de la banque victime vers des comptes fictifs, qui ont été retirés peu après par des agents nord-coréens. Les informations contenues dans l'acte d'accusation du ministère américain de la Justice de septembre 2018 à l'encontre de Park Jin Hyok, un opérateur nord-coréen de 34 ans, indiquent que les opérateurs utilisaient souvent l'espace IP nord-coréen pour visiter les sites web de leurs victimes potentielles, envoyer des e-mails de phishing aux employés et effectuer des reconnaissances réseau.

In studying both public and nonpublic information on known, DPRK-attributed banking operations, we have identified a set of generic tactics, techniques, and procedures (TTPs) for operations over the past four years.

Cryptocurrencies

En juillet 2017, nous avons publié l'un des premiers rapports démontrant l'intérêt et l'utilisation des cryptomonnaies par les dirigeants nord-coréens. Depuis lors, la Corée du Nord a été impliquée dans des vols à grande échelle sur des plateformes d'échange de cryptomonnaies sud-coréennes, desescroqueries liées aux cryptomonnaies, ducryptojacking et du minage de cryptomonnaies. Nos recherches ont démontré que la Corée du Nord a miné, volé ou généré des pièces dans au moins trois cryptomonnaies — Bitcoin, Litecoin et Monero — et s'est livrée à au moins une escroquerie basée sur la blockchain qui, selon l'ONU, a été financée par« l'extorsion »de cryptomonnaies par la Corée du Nord.

As of November 2019, we continue to observe small-scale mining of Bitcoin. The traffic volume and rate of communication with peers has remained relatively static over the course of the last two years, however, we remain unable to determine hash rate or builds. We believe this particular mining effort is likely still small scale and limited to just a few machines.

However, since May 2019, we have observed a tenfold increase in Monero mining activity since 2018. In October 2018, North Korean Monero mining activity was similar in both traffic volume and rate of communication with peers to the Bitcoin mining mentioned above. By our assessment, as of November 2019, we have observed at least a tenfold increase in Monero mining activity. We are unable to determine the hash rate because all of the activity is proxied through one IP address, which we believe hosts at least several unknown machines behind it.

Monero est utilisé par des opérateurs nord-coréens depuis au moins août 2017, lorsque les profits générés par l'attaque WannaCry ont été blanchis via un mélangeur Bitcoin, puis convertis en Monero. Monero se distingue du Bitcoin par son anonymat total. Toutes les transactions sont cryptées au sein de la blockchain, de sorte que seuls l'expéditeur ou le destinataire d'une transaction peuvent s'identifier mutuellement. Monero se distingue également par le fait qu'il a été conçu pour être miné par des machines non spécialisées, et ses ports de minage ont tendance à évoluer en fonction de la capacité. Par exemple, de nombreux mineurs utilisent le port 3333 pour les machines bas de gamme et le port 7777 pour les machines haut de gamme et de plus grande capacité.

Comme en 2018, nous avons observé cette augmentation de l'activité minière sur le port 7777, ce qui suggère que des machines plus puissantes effectuaient le minage, et ce à un taux de hachage plus élevé. Les numéros de port et l'activité que nous avons observés étaient insuffisants pour déterminer le taux de hachage. Nous avons seulement pu constater que l'exploitation minière était en cours. Cependant, nous estimons que ces deux facteurs — l'anonymat et la possibilité d'être exploité par des machines non spécialisées — rendent probablement Monero plus attrayant que Bitcoin pour les utilisateurs nord-coréens.

Selon le rapport intermédiaire du Groupe d'experts des Nations Unies publié en août 2019, un État membre a signalé au groupe qu'une « branche professionnelle de l'armée de la République populaire démocratique de Corée » était également impliquée dans l'extraction de cryptomonnaies. Il est possible que l'activité minière liée au Bitcoin ou au Monero que nous avons observée à partir de l'espace IP nord-coréen soit menée par cette branche de l'armée ; toutefois, nous ne disposons d'aucune information supplémentaire au-delà des données dont nous disposons et ne sommes pas en mesure de confirmer quelle entité nord-coréenne est responsable de l'activité minière observée.

Les opérateurs nord-coréens ont également utilisé un certain nombre de techniques secrètes visant à tromper les victimes afin qu'elles installent des logiciels malveillants liés à la cryptographie. L'une d'entre elles, connue sous le nom de « cryptojacking », consistait à pirater l'ordinateur d'un utilisateur à son insu afin de miner des cryptomonnaies. Elle a particulièrement visé les utilisateurs sud-coréens et internationaux. Le cryptojacking permet aux attaquants d'exploiter la capacité de calcul et l'énergie des machines des victimes, ce qui réduit considérablement les coûts d'opportunité liés au minage de cryptomonnaies.

Une deuxième technique, apparue fin 2018, utilisait une version malveillante d'un outil courant de cryptomonnaie appelé « application de trading ». Dans ce cas, les opérateurs nord-coréens ont développé une application légitime et fonctionnelle qui offrait un point unique pour échanger plusieurs cryptomonnaies. Une fois installée, l'application vérifiait la présence de mises à jour, puis installait un cheval de Troie d'accès à distance (RAT) nord-coréen bien connu, appelé FALLCHILL. Cette application malveillante a ensuite facilité l'accès au réseau d'une plateforme d'échange de cryptomonnaies ciblée, bien qu'il ne soit pas clair dans ce cas précis si l'attaque a été couronnée de succès.

La société d'analyse de chaînes de blocs Chainalysis a documenté l'utilisation d'une technique similaire pour dérober près de 7 millions de dollars en plusieurs cryptomonnaies à une bourse basée à Singapour appelée DragonEx en mars 2019. Dans ce cas, des opérateurs nord-coréens ont créé un robot fonctionnel automatisé de trading de cryptomonnaies appelé Worldbit-bot, qui contenait également un RAT facilitant l'accès aux réseaux DragonEx et, au final, le vol de 7 millions de dollars de cryptomonnaies.

Nous estimons que les cryptomonnaies constituent un outil précieux pour la Corée du Nord, car elles représentent une source de revenus indépendante et peu réglementée, mais aussi un moyen de transférer et d'utiliser des fonds obtenus illégalement. L'ONU a conclu que « les attaques contre les cryptomonnaies permettent à la RPDC d'utiliser plus facilement le produit de ses attaques à l'étranger » et que les Nord-Coréens déploient des efforts considérables, notamment en effectuant des milliers de transactions, en passant par plusieurs pays et en convertissant les fonds dans différentes devises, pour échapper aux tentatives de traçage.

Low-Level IT work and Financial Crime

Une série d'entretiens avec des transfuges menés par des journalistes, des universitaires et des chercheurs depuis environ 2012 a donné au monde extérieur un aperçu des objectifs et de la composition des cyberopérations nord-coréennes. Les transfuges ont dressé le portrait d'un appareil opérationnel nord-coréen composé en grande partie d'opérateurs et de programmeurs vivant dans des installations à l'étranger, dont l'objectif principal est de générer des revenus pour le régime de Kim.

Des transfuges ont détaillé à quel point la contrefaçon de jeux vidéo et l'escroquerie de leurs utilisateurs sont devenues essentielles à la génération de revenus pour le régime de Kim. Un transfuge, qui avait travaillé dans une maison en Chine avec des dizaines d'autres hackers nord-coréens, a rapporté que ces hommes devaient gagner près de 100 000 dollars par an, dont 80% étaient reversés au régime de Kim. Pour répondre à cette demande, les hommes ont créé de faux jeux vidéo, des robots qui volaient des objets numériques tels que des armes, des points et des équipements, les revendaient pour en tirer profit, et découvraient et vendaient de nouvelles vulnérabilités dans les logiciels de jeux. D'autres rapports ont confirmé que les opérateurs nord-coréens ont également ciblé les casinos en ligne, les joueurs et les utilisateurs de distributeurs automatiques de billets (DAB) en Corée du Sud afin de générer des fonds.

En septembre 2018, le Wall Street Journal a rapporté que des agents nord-coréens utilisaient des sites web de freelance informatique de type « économie gig », tels que UpWork et Freelancer, pour solliciter des emplois auprès d'utilisateurs internationaux non avertis. Plus précisément, certains des emplois comprenaient le développement de sites Web et d'applications, tels qu'un « bot facilitant les achats en gros sur la plateforme de commerce électronique canadienne Shopify, un site Web pour une entreprise américaine de recherche d'emploi et un projet de conception graphique ». Dans ce cas précis, ces Nord-Coréens opéraient depuis une ville appelée Shenyang, dans le nord-est de la Chine.

Cela dépeint un modèle opérationnel qui dépend fortement, bien que pas entièrement, de l'envoi de Nord-Coréens à l'étranger pour mener des cyberopérations.

Gaining Access to Prohibited Technologies and Knowledge

Les transfuges nord-coréens ont également beaucoup évoqué le rôle que jouent les pays étrangers, souvent à leur insu, dans les cyberopérations du régime de Kim. Du point de vue cybernétique, les pays tiers sont utilisés par le régime de Kim Jong-un pour former et héberger des opérateurs soutenus par l'État.

La Corée du Nord exploite non seulement des pays tiers pour former des cyberopérateurs, mais aussi, peut-être, pour acquérir des connaissances liées au nucléaire interdites par les sanctions de l'ONU. Dans une enquête menée en septembre 2017, le Wall Street Journal a découvert que des Nord-Coréens étudiaient à l'étranger, en particulier en Chine, des matières « susceptibles de contribuer à la prolifération des activités nucléaires sensibles de la RPDC ou au développement de vecteurs d'armes nucléaires, notamment l'enseignement ou la formation en physique avancée, en simulation informatique avancée et dans les sciences informatiques connexes, en navigation géospatiale, en génie nucléaire, en génie aérospatial, en génie aéronautique et dans des disciplines connexes ».

En outre, des transfuges ont rapporté que les cyberopérateurs sont souvent envoyés à l'étranger après l'université afin d'y suivre une formation avancée. Les pays explicitement cités par les transfuges comprennent la Chine, la Russie et l'Inde.

Ce modèle opérationnel consistant à envoyer des Nord-Coréens à l'étranger pour se former et mener des cyberopérations prend tout son sens lorsque l'on compare les moyens utilisés par ces hackers pour gagner de l'argent pour le régime avec le trafic web de l'élite nord-coréenne que nous avons analysé. Dans le cadre de nos recherches précédentes, nous avons développé une méthode heuristique pour identifier la présence physique et virtuelle significative de la Corée du Nord dans les pays du monde entier. Cette heuristique incluait des niveaux supérieurs à la moyenne d'activité Internet nord-coréenne vers et depuis ces pays, mais également la consultation et l'utilisation de nombreuses ressources locales, telles que des médias d'information, des administrations régionales ou municipales, des établissements d'enseignement locaux, etc.

This technique enabled us to identify nations where North Koreans were likely physically located or living. We have continued to refine our techniques and this analytic over the course of 2019, and have primarily observed a continuation of activity we observed in eight countries — India, China, Nepal, Kenya, Mozambique, Indonesia, Thailand, and Bangladesh — during 2019. However, while this analytic has been useful in the past, it has gradually yielded less substantive insight into North Korean behavior in these nations for two reasons.

First, even though the North Korean ruling elite do not universally exercise strong internet security procedures, the broad trend for both North Koreans and across all internet users is toward greater security. This means that it has gotten harder over time to track North Korean internet activity and reveal new insights.

Second, large technology companies are providing an increasing breadth of services to customers, including DNS, content delivery, cloud services, and more. From a network perspective, it is incredibly difficult to discern the end content behind generic DigitalOcean, Cloudflare, or GoDaddy infrastructure. Even ports and protocols only provide so much data, and oftentimes, a session that terminates in a DigitalOcean box reveals nothing.

Based on our data, we continue to assess that both China and India, knowingly or unknowingly, host and enable North Korean operations. India, in particular, likely continues to be both a host for and victim to North Korean cyber operations.

Operational Security

In early 2018, we noticed that North Koreans dramatically increased their use of operational security techniques, such as virtual private networks (VPN), virtual private servers (VPS), transport layer security (TLS), The Onion Router (Tor), and others. By late 2018, that operationally secure behavior had moderated, from 13% of traffic overall, to just above 5%. We believe that monitoring the use of secure browsing technologies by North Korean leaders is an indicator of two things: technological savvy and responsiveness, and the degree of state-level control over elite behavior.

En 2019, l'utilisation des technologies de navigation sécurisée a légèrement rebondi pour atteindre 9,5 % de l'% e du trafic Internet. Parmi ceux-ci, le protocole HTTPS était le plus largement utilisé par les dirigeants nord-coréens. Cela s'explique probablement par le fait que près de la moitié des mille sites web les plus consultés au monde utilisent le protocole HTTPS par défaut.

Un autre changement que nous avons observé dans le comportement de la Corée du Nord en matière de sécurité opérationnelle en 2019 est l'intégration du tunneling DNS. Le DNS (Domain Name System) a été créé pour permettre aux ordinateurs de résoudre un nom de domaine (pyongyangtimes[.]com[.]kp, par exemple) à une adresse IP (175.45.176.67). À l'origine, le DNS avait pour objectif de faciliter la recherche et l'association des domaines et des adresses IP, et non de sécuriser ce processus. Par conséquent, et en raison de l'importance cruciale du DNS pour le fonctionnement d'un réseau, les ports DNS (généralement le port 53) sont laissés ouverts et le trafic est relativement peu contrôlé. Le tunneling DNS consiste à utiliser le processus DNS non pas pour la résolution d'un domaine, mais pour le transfert de données ou la création d'un tunnel entre des réseaux ou des appareils.

Dans le cas de la Corée du Nord, nous avons observé que des utilisateurs ont introduit le tunneling DNS au milieu de l'année 2019. Une fois encore, étant donné que le DNS est généralement peu surveillé, il constitue un protocole idéal pour contourner les pare-feu et les restrictions de service, et les outils de tunneling DNS sont largement disponibles. Le tunneling DNS n'est pas une technique nouvelle, mais nous pensons qu'elle n'est utilisée que depuis peu par les utilisateurs nord-coréens. Dans le cas de l'activité de tunneling DNS nord-coréenne, la majorité des adresses IP de destination ont également été identifiées par Shodan comme des points d'extrémité VPN et des appareils MicroTik, ce qui indique que cette solution était probablement destinée à servir de VPN alternatif.

Use of this specific technique provides another window into how technologically savvy some North Korean elite internet users are, as DNS tunneling is not a technique most average internet users would be familiar with. We assess that there are two likely reasons for leadership to employ DNS tunneling:

  1. To obfuscate intrusion activity. DNS tunneling can be used to to exfiltrate data from victim networks or to create a communications channel between an infected endpoint and a command-and-control (C2) server. Malicious communications over DNS are less likely to be blocked or identified because most organizations employ permissive DNS security policies in order to facilitate network connectivity.
  2. Pour contourner les contrôles de sécurité ou les restrictions de contenu imposés par le gouvernement. Bien que les utilisateurs nord-coréens d'Internet appartiennent à la classe dirigeante la plus élevée, il est possible que certains d'entre eux souhaitent accéder à des contenus non autorisés par le régime de Kim. Par exemple, nous savons qu'en 2016, le régime de Kim a commencé à empêcher les utilisateurs nationaux d'accéder à Facebook, YouTube et Twitter. Cependant, grâce à l'analyse du trafic réseau, nous avons observé que des utilisateurs nord-coréens naviguaient sur ces plateformes depuis lors. Le tunneling DNS pourrait constituer un moyen pour les utilisateurs Internet les plus avertis de contourner les restrictions de contenu telles que celles-ci ou d'autres contrôles de sécurité en utilisant un protocole rarement restreint.

DDoS Attacks Targeting DPRK Infrastructure

It is not unusual for North Korean websites to be targeted by denial-of-services (DoS) or distributed denial-of-service (DDoS) attacks. For example, on May 28, 175.45.176.67, which hosted websites for the Pyongyang Times, Naenara, and several North Korean insurance companies, was targeted by a DDoS attack lasting one hour with DNS traffic levels peaking at an observed rate of at least 550 megabits per second. DNS flooding is the most common type of DDoS we have observed utilized against North Korean infrastructure.

À partir de fin avril 2019, nous avons observé un type unique d'attaque DDoS, identifié par une augmentation soudaine de l'activité LDAP sans connexion coordonnée(CLDAP) provenant d'appareils situés dans au moins 161 pays à travers le monde et ciblant une seule adresse IP nord-coréenne. L'activité a débuté vers midi, heure locale nord-coréenne, et n'a duré que 25 minutes, avec des pics de trafic CLDAP atteignant au moins 1,5 gigabit par seconde, soit plusieurs ordres de grandeur supérieurs aux normes quotidiennes observées pour l'espace d'adresses IP hébergé en Corée du Nord continentale.

Le protocole CLDAP est généralement utilisé sur les réseaux d'entreprise pour les services d'annuaire, tels que l'accès aux noms d'utilisateur et aux mots de passe à partir de l'annuaire actif. Cependant, en 2016 et 2017, les entreprises de sécurité ont commencé à constater que les protocoles CLDAP et LDAP étaient utilisés de manière abusive dans des attaques DDoS. La technique consistant à lancer une attaque DDoS via CLDAP nécessite simplement que le pirate remplace son adresse IP source par celle de sa victime dans une requête CLDAP adressée à un serveur réflecteur ouvert sur lequel le service LDAP sans connexion est exécuté. L'adresse usurpée trompe alors le serveur réflecteur CLDAP, qui renvoie la réponse CLDAP non pas au demandeur, mais à la victime visée.

Nous avons également observé que la taille moyenne des paquets de requêtes CLDAP était d'environ 80 octets, avec une taille moyenne correspondante des paquets de réponse d'environ 1 472 octets. Cela signifie que les attaquants ont obtenu un facteur d'amplification d'environ 18x pendant les 40 minutes qu'a duré l'attaque DDoS. Dans une interview réalisée en 2017, un responsable de la sécurité chez Akamai a déclaré que la plus grande attaque CLDAP observée avait atteint des débits de trois gigabits par seconde et estimé qu'une attaque de cette ampleur serait « suffisante pour mettre hors ligne des sites de petite taille et potentiellement causer des problèmes de latence sur d'autres sites ».

The rate of the attack we observed was 1.5 gigabits per second, which we assess was possibly enough to cause disruptions, at the least, to North Korean public-facing internet infrastructure.

north-korea-internet-tool-5-1.png

Top-level diagram of reflective DDoS amplification attack methodology used against DPRK global-internet-facing infrastructure in late April 2019. We also identified two further suspected reflective CLDAP DDoS amplification attacks: one on the morning of May 7, 2019 lasting just over 40 minutes, and another the next evening on May 8, which lasted approximately an hour. Both of these attacks were an order of magnitude smaller in terms of the number of unique CLDAP reflector servers used, although the relative CLDAP amplification factor in data size remained consistent at 18x. Interestingly, almost all of the reflector servers used in the May 8 attacks were also used in the attacks against North Korean IPs a day earlier. Further, despite the order of magnitude difference in total number of resolvers used, 62% of the resolvers used in the May 7 attack were found to have also been used in the earlier April 23 attack.

Attack
Date (Zulu)
Peak Activity Duration
DDoS Amplification Factor
Total Number of Observed CLDAP Reflectors Used
Attack 1
23/04/2019
40 minutes
18.88
10529
Attack 2
06/05/2019
41 minutes
18.35
1338
Attack 3
07/05/2019
61 minutes
18.34
598

We have no information regarding who executed either the April or May attacks. Again, DDoS attacks are not uncommon for North Korea, and we chose to explore this one simply because of the uniqueness of the protocol and rate of attack.

North Korean Insurance Industry

We assess that North Korea began digitizing and internationalizing its insurance industry in 2019, possibly as a way to spur increased foreign investment and/or fraudulently generate revenue for the Kim regime.

Selon NK News, la Corée du Nord compte cinq compagnies d'assurance :

  1. Korea National Insurance Company (KNIC), established in 1947, general insurance
  2. Rainbow Intermediaries, established in May 2015, fire, motor, contractors, machinery breakdown, life, travel, personal accident, tourist, reinsurance
  3. Samhae Insurance Company, established in October 2016, marine hull, cargo, liability, and aviation
  4. Polestar Insurance Company, established in August 2016, insurance and reinsurance services in fields of fire, engineering, credit, and agriculture
  5. Future Re Company, established in October 2017, facultative and treaty reinsurance

En août 2017, les Nations Unies ont désigné la KNIC comme entité sanctionnée en raison de ses liens avec le Bureau 39 du Bureau général de reconnaissance (RGB) et de leur implication dans des fraudes à l'assurance liées au financement du programme de missiles nord-coréen. Malgré leur création plusieurs années auparavant, nos données révèlent que les quatre dernières compagnies d'assurance n'étaient pas présentes sur Internet à l'échelle mondiale avant fin 2018 et début 2019.

Within the last year, Samhae, Polestar, and Future Re all acquired global internet websites and mail servers. The websites for all three companies, as of November 2019, are hosted at 175.45.176.67. Future Re established a mail server in late December 2018 at 175.45.176.20, which also hosts the mail server for Silibank, an internet company based in Shenyang, China that became one of North Korea’s first internet service providers (ISP) back in 2001. Silibank still offers email services for North Korean clients, including Rainbow Intermediaries, which lists a Silibank domain as an email contact on its webpage.

north-korea-internet-tool-6-1.jpg

Capture d'écran du site web de Rainbow Intermediaries prise par NK News en juillet 2019. L'infrastructure Internet mondiale pour les quatre compagnies d'assurance n'a été mise en place qu'au cours de l'année dernière. De plus, nos données indiquent une augmentation du trafic vers le serveur de messagerie Future Re et les sites Web Samhae, Polestar et Future Re depuis février 2019, provenant d'utilisateurs situés en Inde, en Russie et en Iran. Loin d'être des entités commerciales indépendantes, les empreintes numériques des quatre compagnies d'assurance suggèrent qu'elles sont gérées à partir de la même infrastructure Internet et qu'elles représentent probablement une initiative unique menée par l'État.

En décembre 2018, le président de Polestar, Kim Kyung-hoon, a déclaré que la société avait ouvert 11 succursales et 70 bureaux locaux à travers la Corée du Nord et prévoyait « d'étendre ses services au marché international » en « établissant des réseaux avec des compagnies d'assurance de renommée internationale ». De même, le président de Samhae Insurance a déclaré aux médias sud-coréens que la société disposait de succursales et d'agents dans toutes les « grandes villes portuaires, bases de pêche et bases de transport » de Corée du Nord et qu'elle avait commencé à réassurer les bateaux de pêche en novembre 2018.

Cependant, ce qui rend les compagnies d'assurance nord-coréennes particulièrement intéressantes, c'est le rôle qu'elles ont joué historiquement dans la génération de fonds pour le régime de Kim et leur importance pour encourager les investissements étrangers. En 2017, un diplomate nord-coréen ayant fait défection a décrit comment le régime de Kim utilisait la KNIC pour gagner des dizaines de millions de dollars par an grâce à la fraude à l'assurance :

“In North Korea, there is only one state-owned insurance company, so that even if it fabricates an accident, there is no way to verify its claims. After purchasing international insurance or reinsurance for state infrastructure, documents are forged (on alleged accidents), which earns the state tens of millions of dollars a year.”

Pendant trente ans, la principale compagnie d'assurance publique, KNIC, a exploité des contrats de réassurance souscrits auprès de réassureurs internationaux pour déposer des demandes d'indemnisation potentiellement frauduleuses et générer des dizaines de millions de dollars pour le régime de Kim. Selon le Times, en 2014, les actifs mondiaux de KNIC s'élevaient à 787 millions de livres sterling, soit près de 1,3 milliard de dollars.

Bien qu'il soit difficile de trouver des cas vérifiables de fraude à l'assurance en Corée du Nord, quelques affaires survenues au cours de la dernière décennie permettent de se faire une idée de l'ampleur probable de ce phénomène. En 2011, une entreprise de construction conjointe malaisienne et nord-coréenne s'est vu attribuer un contrat de 18 millions de dollars pour la construction de 213 appartements dans une banlieue de la capitale ougandaise. Au cours de l'année suivante, l'entreprise de construction a souscrit une série de polices d'assurance surévaluées et a reçu 20% d'avance avant même que les travaux ne commencent. Après des années de négociations, de procès et probablement de fraude, en 2018, l'entreprise de construction nord-coréenne et l'autorité ougandaise chargée du logement ont abandonné le projet sans achever la construction des appartements et après avoir réclamé plusieurs millions de dollars d'indemnités d'assurance.

Dans l'un des cas les plus tristement célèbres, la KNIC a déposé une demande d'indemnisation suite à un accident d'hélicoptère survenu à Pyongyang en 2005, qui a détruit un entrepôt contenant des biens de première nécessité. KNIC avait assuré les marchandises auprès d'un consortium d'assureurs internationaux pour près de 60 millions de dollars. Les assureurs ont refusé de payer pendant plusieurs années, invoquant des dommages matériels exagérés et des documents suspects, mais ont finalement conclu un accord avec KNIC pour près de 57 millions de dollars. À l'époque, on estimait que la Corée du Nord réclamait près de 150 millions de dollars à des compagnies d'assurance occidentales.

Selon certains investisseurs chinois, ces compagnies d'assurance supplémentaires pourraient également contribuer à renforcer la confiance dans les investissements nord-coréens. Plus précisément, « le nouvel intermédiaire d'assurance témoigne d'une complexité et d'une concurrence croissantes dans les services commerciaux au sein de l'économie nord-coréenne ».

We believe that the apparent focus by the Kim regime on increasing the accessibility of its remaining four state-run insurers over the course of 2019 could be an attempt to both revitalize insurance fraud as a means of revenue generation after the sanctioning of KNIC in 2017, and reassure potential investors in North Korea.

Outlook

Au cours des deux dernières années et demie, nos recherches sur la Corée du Nord ont fourni un aperçu sans précédent de la vie numérique des plus hauts dirigeants nord-coréens. Nous avons suivi et analysé l'activité des dirigeants à un moment unique dans les relations entre les États-Unis et la RPDC, couvrant la durée de la campagnede « pression maximale », la période d'activité la plus intense en matière de lancements et d'essais de missiles, ainsi que la toute première série de sommets entre un dirigeant américain et un dirigeant nord-coréen.

At its core, this research series has demonstrated how adaptable and innovative North Korea’s most senior leadership are. They are quick to embrace new services or technologies when useful and cast them aside when not. The Kim regime has developed a model for using and exploiting the internet that is unique — it is a nation run like a criminal syndicate.

The DPRK has also developed a new, creative, and innovative internet-based model for circumventing sanctions imposed on it by multinational organizations and the West. This model includes generating revenue via both blatant crimes such as bank robbery and fraud, and non-criminal activity such as cryptocurrency mining and freelance IT work.

Ce modèle fournit également un moyen d'acquérir des connaissances et des compétences interdites, telles que celles qui permettent le développement des programmes nucléaires et balistiques de la Corée du Nord, ainsi que la conduite d'opérations cybernétiques. À la base, la Corée du Nord a développé un modèle qui utilise Internet comme mécanisme de contournement des sanctions, ce qui est particulier mais pas exceptionnel. Ce modèle est unique mais reproductible, et surtout, il peut servir d'exemple à d'autres pays isolés financièrement pour contourner les sanctions grâce à Internet.

We believe that we will begin to see other isolated nations use some of the same criminal and non-criminal techniques leveraged by North Korea to generate revenue and evade their own sanctions.

Par exemple, au cours de l'année 2019, nous estimons que l'Iran a commencé à s'intéresser aux cryptomonnaies comme moyen de faciliter les paiements internationaux et de contourner les contrôles financiers américains. Un article du New York Times publié en janvier indiquait que les partenaires commerciaux européens et asiatiques se montraient « de plus en plus coopératifs » et favorables à l'utilisation des cryptomonnaies pour effectuer des paiements aux entreprises iraniennes. En juillet, le gouvernement iranien a annoncé la création d'une cryptomonnaie nationale qui serait adossée à l'or, et en août, l'Iran a légalisé l'exploitation minière des cryptomonnaies en tant qu'industrie.

Network Defense Recommendations

Recorded Future recommends that organizations conduct the following measures when identifying potential North Korean activity on their networks:

NoteLes ports mentionnés ci-dessus sont les ports par défaut configurés pour les cryptomonnaies données. Il est plausible que le logiciel de minage de cryptomonnaie ait été modifié pour contourner les ports par défaut. De plus, d'autres services peuvent également être configurés pour fonctionner sur les ports répertoriés en fonction de la configuration de votre entreprise. Par conséquent, les alertes IDS et/ou IPS relatives au trafic réseau sur les ports répertoriés peuvent générer des faux positifs.

Additionally, we advise organizations to follow the following general information security best practice guidelines: