Insiktレポート

北朝鮮がならず者政権のツールとしてインターネットに革命をもたらした方法

投稿: 2020年2月9日
作成者 :  Insikt Group®

insikt-group-logo-updated-2.png

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

この調査では、Insikt Groupは、サードパーティのデータ、IPジオロケーション、Border Gateway Protocol(BGP)ルーティングテーブル、ネットワークトラフィック分析、およびいくつかのツールを使用してオープンソースインテリジェンス(OSINT)を分析することにより、北朝鮮の上級管理職のインターネット活動を調査しました。 本レポートで分析したデータは、2019年1月1日から2019年11月1日までのものです。

このレポートは、テクノロジー、金融、防衛、暗号通貨、物流セクターの政府部門や組織だけでなく、北朝鮮の制裁回避、違法な資金調達、国家が支援するサイバースパイ活動を調査する人々にとっても最も興味深いものとなるでしょう。

Executive Summary

過去3年間、Recorded Futureは、北朝鮮の最高指導者の行動に関する独自の洞察を明らかにする一連の研究記事を発表してきた。 2019年の私たちの観察と調査結果は、これらの観察結果を拡張して、北朝鮮の指導者がインターネットをどのように使用しているかについて、より広範な結論を示しています。 北朝鮮の政治・軍事エリートにとって、2019年のデータは、インターネットが単なる魅力や余暇活動ではなく、収益の創出、禁止されている技術や知識へのアクセス、運用上の調整のための重要なツールであることを示している。

さらに、我々は、北朝鮮が多国籍組織や西側諸国によって課せられた国際的な金融規制や制裁体制を回避するためのインターネットベースのモデルを開発したと評価する。 これには、 インターネットを収益源として 利用するだけでなく、北朝鮮の核・弾道ミサイル計画の開発や サイバー作戦 など、 禁止されている知識や技術 を習得するための手段として利用することも含まれます。このモデルは、収益を上げるための3つの主要な戦術を使用します。暗号通貨およびブロックチェーン技術の使用と利用。低レベルの情報技術(IT)の仕事と金融犯罪。

最も基本的な点では、北朝鮮は、制裁回避のメカニズムとしてインターネットを活用するモデルを開発しましたが、これは特徴的ですが、例外ではありません。 このモデルはユニークですが、再現可能であり、最も懸念されるのは、ベネズエラ、イラン、シリアなど、他の経済的に孤立した国々が、インターネットを使用して制裁を回避する方法の一例となることです。

主な判断

  • 2017年以降、北朝鮮のネットワークとの間の活動量が300%増加していることが確認されています。 これは、ロシアがルーティングするTransTelekomインフラストラクチャの使用の増加、北朝鮮の未解決のIPスペースの一部の使用、トラフィック負荷の増加をサポートするための新しいメールサーバー、FTPサーバー、DNSネームサーバーの立ち上げなど、さまざまな要因によるものと評価しています。
  • 生活パターンやコンテンツの変化が続いていることは、インターネットが北朝鮮の最高指導者にとってプロフェッショナルなツールになっている可能性が高いことを示している。 現在、インターネットの利用が最も高いのは平日の北朝鮮の勤務時間で、週末や午後遅くから夕方にかけて活動が最も多かった2017年から変化しています。
  • 活動量の300%の増加、TransTelekomインフラストラクチャを介した追加の/24サブネットのルーティングによって提供される帯域幅と容量の増加、および以前は未解決のIPスペースの最近の利用と組み合わせると、インターネットはもはや単なる魅力や余暇活動ではなく、北朝鮮の指導者にとって重要なツールになっていると評価しています。
  • 北朝鮮がDNS(Domain Name Service)を悪用して、独自のVPN(Virtual Private Network)を構築していることが分かりました。 このVPNは、DNSトンネリングと呼ばれる技術を使用しており、DNSプロセスをドメイン解決のためではなく、閉じたネットワーク内でデータを転送したり、トンネルを開いたりするために使用されることを指します。 この手法は、北朝鮮のユーザーが無防備なターゲットのネットワークからデータを盗み出すため、または政府が課すコンテンツ規制を回避する手段として使用される可能性があると評価しています。
  • 金正恩政権が2019年中に残る4つの国営保険会社のアクセシビリティを向上させることに明らかに焦点を合わせているのは、2017年のKNIC制裁後の収益創出手段としての保険詐欺の再活性化と、北朝鮮の潜在的な投資家を安心させる試みの両方である可能性があると私たちは考えています。
  • 2019年5月以降、北朝鮮のIP範囲からのMoneroマイニング活動が少なくとも10倍に増加していることが確認されています。 Moneroの匿名性と低い処理能力要件が、北朝鮮のユーザーにとってMoneroをビットコインよりも魅力的にしている可能性が高いと考えています。

north-korea-internet-tool-7-1.jpg

背景

2017年4月以降の私たちの調査が示しているように、北朝鮮の最高指導者の中には、世界のインターネットへの直接アクセスを許されている少数の人々がいます。 北朝鮮のインターネット利用者の数は信頼できるものではないが、記者たちは「ごく少数の人々」から「北朝鮮の指導者の内輪」、「数十家族」までと推定している。 正確な人数はともかく、北朝鮮のインターネットユーザーのプロフィールは明確で、彼らは家族の一員であるか、支配階級の信頼できるメンバーである。

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only global internet-accessible websites. These include nine top-level domains such as co[.]kp, gov[.]kp, and edu[.]kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications Co., the state-run telecommunications company. The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

ここで注意したいのは、「北朝鮮のインターネット活動」や「行動」とは、北朝鮮の国内イントラネット(光明)ではなく、選ばれた少数の指導者や支配層エリートだけがアクセスを許されるグローバルなインターネットの使用を指していることである。 このデータでは、光明へのアクセスが許可されている大規模な北朝鮮人グループ、または北朝鮮に所在する外交機関や外国の施設によるイントラネットの活動や行動に関する洞察は得られません。

解析

インターネット利用の正常化

2018年10月のレポートで観察したように、2017年初頭に北朝鮮の指導者の行動を調査し始めて以来、インターネット活動の量は増加しています。過去3年近くの間に、北朝鮮のネットワークとの間の活動量は300%近く増加しました。 このインターネット利用の増加にはいくつかの理由が考えられると考えています。

First, North Korea has increased its bandwidth and capacity for accessing the global internet. Back in October 2017, North Korea acquired a new partner, Russia’s TransTelekom (AS20485), to route the internet traffic for one of the subsets of its largest IP range, 175.45.176.0/22. Prior to then, all traffic from the entire 175.45.176.0/22 range had been routed by China Unicom (AS4837), and as of early September 2019, only the 175.45.178.0/24 subnet had ever used the TransTelekom infrastructure.

However, in mid-September 2019, we observed a change in BGP routing tables, indicating that the 175.45.177.0/24 subnet had been transitioned completely from China Unicom to TransTelekom. Both traceroutes and BGP route queries run by Hurricane Electric and other services confirm that the 175.45.177.0/24 subnet now traverses TransTelekom infrastructure.

さらに、サブネット分析によると、北朝鮮の全インターネットトラフィックの45%がTransTelekomインフラストラクチャを通過しており、2018年初頭のわずか36%から増加しています。 この容量の増加は、過去1年間のインターネットトラフィック量の増加の少なくとも一部を占めていると評価しています。 TransTelekomとChina Unicomの両方のインフラストラクチャを介して別々のサブネットをルーティングすると、インターネット通信の遅延が減少し、北朝鮮の指導者ユーザーの速度とアクセシビリティが向上する可能性があります。

Second, North Korea has begun to use some of its previously unresolved IP space over the last six months. In early June, North Korean network administrators moved the IP resolution of two DNS nameservers for the kptc[.]kp domain. Previously, the nameservers for kptc[.]kp resolved to 175.45.176.15 and 175.45.176.16. As of early June 2019, those nameservers moved to 175.45.177.15 and 175.45.177.16, respectively. Prior to early June, those two IP addresses did not resolve at all. Since then, these two IPs have taken on additional roles as SMTP (or mail) and FTP servers.

While these changes may at first appear trivial, what they signify is the expansion of services being offered to North Korean users. We believe that the kptc[.]kp nameservers were migrated away from 175.45.176.15 and 175.45.176.16 because those IP addresses have traditionally handled a significant portion of both inbound and outbound North Korean internet traffic. On average, over the past nearly three years, 175.45.176.15 and 175.45.176.16 have handled 30% of all North Korean inbound and outbound traffic — a substantial load for two machines, which we assessed in June 2018 likely caused page loading delays and latency problems for both foreign and domestic users.

過去6ヶ月間に観察されたネットワーク管理の変化は、おそらく国内外の北朝鮮のユーザーからの需要の増加に対応したものだと評価しています。 たとえば、インターネットでアクセス可能なメールサーバーを設定すると、ユーザーはそのドメインのユーザーにメールを送信できるようにしたいと考えており、ユーザーはリモートでメールにアクセスできるようにしたいと考えています。 この需要の増加は、過去3年間のインターネット活動の300%の増加を通じて観察されており、これは北朝鮮のエリートの間でのインターネット使用の正常化と専門化も反映していると評価しています。

パターン・オブ・ライフ分析

過去3年間、私たちは北朝鮮の指導者たちの日常的なインターネット利用パターンの進化も監視してきました。 以下は、北朝鮮の指導者による1日のインターネット利用のパターンを1時間ごとに示した2つのグラフである。 最新のチャート(2019年1月から10月までのデータから作成)で注目すべきは、日々の活動のピークと谷のほとんどが緩和された度合いです。

north-korea-internet-tool-1-1.png

2019年1月から10月までの時間別の毎日のインターネット使用量(平均ではありません)。

north-korea-internet-tool-2-1.png

2018 年 3 月から 8 月までの時間単位の毎日のインターネット使用量 (平均ではありません)。

2019年、北朝鮮の指導者たちは、2017年に比べて、勤務時間中や勤務日の平均でインターネットを利用する回数が増えました(以下の日別活動状況のグラフを参照)。

north-korea-internet-tool-3-1.png

2019 年 1 月から 10 月までの曜日別の 1 日あたりのインターネット使用量 (平均ではありません)。

north-korea-internet-tool-4-1.png

2018 年 3 月から 8 月までの日別のインターネット使用量 (平均ではありません)。

このシフトは2018年に初めて観察されましたが、上記のデータは、これらの変化するパターンが異常ではなかったことを示しています。 現在、インターネットの利用が最も高いのは平日の勤務時間で、週末や午後遅くから夕方にかけて活動が最も多かった2017年からは大きく変化しています。

活動量の300%の増加、TransTelekomインフラストラクチャを介した追加の/24サブネットのルーティングによって提供される帯域幅と容量の増加、および以前は未解決のIPスペースの最近の利用と組み合わせると、インターネットはもはや単なる魅力や余暇活動ではなく、北朝鮮の指導者にとって重要なツールになっていると評価しています。

ツールとしてのインターネット

上記のすべての調査結果と私たちの以前の研究は、北朝鮮の指導者がインターネットを使用する方法について、はるかに広範な結論を示しています。 北朝鮮の政治・軍事エリートにとって、インターネットは重要なツールとなっている。 これには、 インターネットを収益源として 利用するだけでなく、北朝鮮の核・弾道ミサイル計画の開発や サイバー作戦 など、 禁止されている知識や技術 を習得するための手段として利用することも含まれます。

さらに、我々は、北朝鮮が多国籍組織や西側諸国によって課せられた国際的な金融規制や制裁体制を回避するためのインターネットベースのモデルを開発したと評価する。

収益創出

私たちは、北朝鮮モデルがインターネットベースの収益創出の主要な源泉として、3つの主要な運用上の柱を使用していることを立証しました。 これには、次のものが含まれます。

  1. 銀行業務
  2. 暗号通貨
  3. 低レベルの情報技術(IT)業務と金融犯罪

銀行業務

国連安全保障理事会の北朝鮮専門家パネルによると、過去4年間で、少なくとも35カ国の金融機関や仮想通貨取引所が北朝鮮のサイバー作戦の被害を受けており、金正恩政権に20億ドルもの利益をもたらしています。金融機関への攻撃は、SWIFT(Society for Worldwide Interbank Financial Telecommunication)ネットワークを介して行われており、SWIFT端末への最初のアクセスを取得した後、北朝鮮のオペレーターは一連の詐欺取引を実行しました。 これらの取引により、被害者の銀行からダミー口座に送金され、ダミー口座はその後すぐに北朝鮮の工作員によって現金化されました。 司法省が2018年9月に北朝鮮のオペレーター、パク・ジンヒョク氏(34歳)を起訴した情報によると、オペレーターは北朝鮮のIPスペースを使用して、被害者のWebサイトにアクセスしたり、従業員にフィッシングメールを送信したり、ネットワーク偵察を行ったりすることがよくありました。

北朝鮮に起因する既知の銀行業務に関する公開情報と非公開情報の両方を調査することで、過去4年間の業務に関する一連の一般的な戦術、技術、手順(TTP)を特定しました。

  • 我々は、これらの銀行業務は北朝鮮によって十分に研究され、資源が供給されていると評価している。 攻撃者は、標的のネットワーク内で9か月から18か月を費やし、さらなる偵察、横方向の移動、特権の昇格、各組織の特定のSWIFTインスタンスの調査、セキュリティ手順の無効化を行った可能性があります。
  • 私たちは、北朝鮮の攻撃者が 戦略的ウェブ侵害(SWC)を通じて中央銀行や銀行規制当局のウェブサイトを標的にしていることを示す新たなデータがあると考えています。 これらのWeb侵害により、銀行自体へのその後の侵入の試みと、その後の不正な銀行間送金の試みが可能になった可能性があります。
  • 公的に帰属する銀行業務の中で、最初の攻撃ベクトルはスピアフィッシング、つまり SWCでした。 しかし、2018 年にトルコの銀行に対して発生した少なくとも 1 回の攻撃では、北朝鮮のオペレーターが、スピアフィッシングを介して配信された 、これまで知られていなかった Adobe Flash エクスプロイト (ゼロデイ) を利用しました。
  • 私たちは、 破壊的なマルウェア が、侵入対応の取り組みを不正な取引から隠したり、そらしたりするために使用された可能性のある少なくとも2つのケースを認識しています。
  • 北朝鮮のSWIFTの不正取引は、対象国で休日や連休に行われていることが知られています。

暗号通貨

2017年7月、私たちは北朝鮮の指導者が暗号通貨に関心を持ち、その利用を実証した最初のレポートの1つを発表しました。それ以来、北朝鮮は 韓国の暗号通貨取引所からの大規模な窃盗暗号通貨詐欺暗号ジャッキング暗号通貨マイニングに関与してきました。 私たちの調査によると、北朝鮮は少なくとも3つの暗号通貨(ビットコイン、ライトコイン、モネロ)でコインを採掘、盗み、生成しており、国連が北朝鮮の暗号通貨の「恐喝」によって資金提供されたと評価したブロックチェーンベースの詐欺に少なくとも1つ関与していることが明らかになりました。

2019年11月現在、ビットコインの小規模なマイニングが引き続き観察されています。 トラフィック量とピアとの通信速度は、過去 2 年間にわたって比較的静的なままですが、ハッシュ レートやビルドを特定することはできません。 この特定の採掘作業は、まだ小規模で、数台のマシンに限定されている可能性が高いと考えています。

しかし、2019年5月以降、2018年以降、Moneroのマイニング活動は10倍に増加しています。 2018年10月、北朝鮮のMoneroマイニング活動は、トラフィック量とピアとの通信速度の両方で、上記のビットコインマイニングと同程度でした。 私たちの評価では、2019年11月現在、Moneroのマイニング活動が少なくとも10倍に増加していることが観察されています。 すべてのアクティビティが1つのIPアドレスを介してプロキシされ、その背後に少なくともいくつかの未知のマシンがホストされていると思われるため、ハッシュレートを決定することはできません。

Moneroは、少なくとも2017年8月以降、WannaCry攻撃によるビットコインの利益がビットコインミキサーを通じて洗浄され、最終的にMoneroに変換されて以来、北朝鮮のオペレーターによって使用されてきました。 モネロは、モネロが 真に匿名であるという点でビットコインと区別されます。 すべての取引はブロックチェーン内で暗号化されるため、取引の送信者または受信者のみが相手を発見できます。 Moneroは、 専門化されていない機械で採掘 するように設計されており、マイニングポートが容量によって拡張される傾向があるという点でも異なります。 たとえば、多くのマイナーは、ローエンドのマシンには ポート3333 を使用し、ハイエンドで大容量のマシンには ポート7777 を使用します。

2018年と同様に、ポート7777でのマイニングの増加が観察されたことは、より大容量のマシンがマイニングを行っており、ハッシュレートも高いことを示唆しています。 私たちが観察したポート番号とアクティビティは、ハッシュレートを決定するには不十分でした - 私たちが評価できたのは、マイニングが発生していたということだけでした。 しかし、匿名性と 非専門マシン でマイニングできるという2つの要素が、北朝鮮のユーザーにとってMoneroをビットコインよりも魅力的にしている可能性が高いと考えています。

2019年8月の国連専門家パネルの中間報告書によると、ある加盟国が「朝鮮民主主義人民共和国軍の専門部門」も暗号通貨のマイニングに関与していたことをパネルに特定しました。北朝鮮のIP空間から観察されたビットコインまたはMoneroのマイニング活動は、この軍の部門によって行われている可能性があります。しかし、私たちが持っているデータ以上の洞察はなく、観測された採掘にどの北朝鮮のエンティティが責任があるかを確認することはできません。

また、北朝鮮のオペレーターは、被害者を騙して悪意のある暗号関連ソフトウェアをインストールさせるために設計された多くの秘密の手法も採用しています。 クリプトジャッキングとして知られる1つは、知らないユーザーのコンピューターを乗っ取って暗号通貨をマイニングするというもので、韓国と世界のユーザーを大きく標的にしています。クリプトジャッキングにより、攻撃者は被害者のマシンの計算能力とエネルギーを活用できるため、暗号通貨のマイニングの機会費用が大幅に削減されます。

2018年後半に登場した2つ目の手法は、「取引アプリケーション」と呼ばれる一般的な暗号通貨ツールの悪意のあるバージョンを利用したものでした。 この場合、北朝鮮のオペレーターは、多数の暗号通貨を取引するための単一のポイントを提供する、正当で機能的なアプリケーションを開発しました。 インストール時に、アプリケーションは更新を確認し、代わりに FALLCHILLと呼ばれる有名な北朝鮮のリモートアクセストロイの木馬(RAT)をインストールしました。 この悪意のある取引アプリケーションは、標的となった暗号通貨取引所のネットワークへのアクセスを促進しましたが、この例では攻撃が成功したかどうかは明らかではありません。

ブロックチェーン分析会社のChainalysisは、 2019年3月にシンガポールを拠点とするDragonEx という取引所から同様の 手法 を使用して、いくつかの暗号通貨で約700万ドルを盗んだことを文書化しました。このケースでは、北朝鮮のオペレーターが Worldbit-botと呼ばれる機能的な自動暗号通貨取引ボットを作成し、これにはDragonExネットワークへのアクセスを容易にするRATも含まれており、最終的には700万ドル相当のコインが盗まれました。

私たちは、暗号通貨は、北朝鮮にとって独立した規制の緩い収益源としてだけでなく、違法に入手した資金を移動および使用するための手段としても貴重なツールであると評価しています。 国連は、「暗号通貨攻撃により、北朝鮮は攻撃の収益を海外でより容易に使用できるようになる」と結論付け、北朝鮮の人々は、資金を追跡する試みを回避するために、数千件の取引を開始したり、複数の国を経由するルーティングを行ったり、異なるコインに交換したりするなど、多大な努力を払っていると 結論付け ています。

低レベルのIT業務と金融犯罪

2012年頃から記者、学者、研究者が行った一連の脱北者インタビューは、北朝鮮のサイバー作戦の目標と人員配置を外部に垣間見せている。 脱北者たちは 主に海外の 施設に住むオペレーターとプログラマーで構成される北朝鮮の 作戦装置のイメージを構築し、金正恩政権に収益をもたらすという包括的な目標を任務としている。

脱北者たちは、ビデオゲームの偽造やユーザーへの詐欺が、金正恩政権の収益創出にとってどれほど重要になっているかを詳述している。 中国の家で何十人もの他の北朝鮮のハッカーと一緒に働いていたある脱北者は、これらの男たちは年間約10万ドルを稼ぐ必要があり、その80%が金正恩政権に送り返されていると報告した。この要件を満たすために、男たちは偽造ビデオゲーム、武器、ポイント、ギアなどのデジタルアイテムを盗むボットを作成し、それらを転売して利益を得たり、ゲームソフトウェアの新しい脆弱性を発見して販売したりしました。 さらなる報告によると、北朝鮮のオペレーターは、韓国の オンラインカジノゲーマー現金自動預け払い機(ATM)ユーザー も標的にして資金を生み出していることが確認されています。

2018年9月、 ウォール・ストリート・ジャーナル 紙は、北朝鮮の工作員がUpWorkやFreelancerなどの「ギグエコノミー」ITフリーランスウェブサイトを利用して、知らない世界中のユーザーから仕事を募っていたと報じた。 特に、一部の仕事には、「カナダの電子商取引プラットフォーム Shopifyでの一括購入を容易にするボット」などのWebサイトおよびアプリケーション開発が含まれていました。米国の求人検索会社のWebサイト。そしてグラフィックデザインプロジェクト。」 この場合、これらの北朝鮮人は中国北東部の瀋陽という都市で活動していました。

これは、完全にではないにせよ、サイバー作戦を実施するために北朝鮮人を海外に派遣することに大きく依存している 運用モデルの 絵を描いています。

禁止されている技術や知識へのアクセス

脱北者たちはまた、金正恩政権のサイバー作戦において 外国 が果たす役割について、多くは知らず知らずのうちに広く 語ってきた 。サイバーの観点から見ると、金正恩政権は、国営事業者の 訓練受け入れ の両方に第三国を利用している。

北朝鮮は、サイバーオペレーターの訓練のために第三者を利用しているだけでなく、 国連の制裁で禁止されている核関連の知識を獲得するためにも利用している可能性がある。 2017年9月の調査で、ウォール・ストリート・ジャーナルは、北朝鮮人が「北朝鮮の機微な核活動の拡散や核兵器運搬システムの開発に貢献し得る」科目、特に中国で「高度な物理学、高度なコンピューターシミュレーション、関連するコンピューターサイエンスの教育や訓練を含む」科目の留学に従事していることを発見した。 地理空間ナビゲーション、原子力工学、航空宇宙工学、航空工学、および関連分野」

さらに、脱北者は、サイバーオペレーターが大学卒業後に高度なトレーニングを受けるために海外に送られることが多い と報告 しています。 脱北者が明示的に名前を挙げた国には、中国、ロシア、インドが含まれている。

北朝鮮人を海外に派遣してサイバー作戦の訓練と実施を行うという この運用モデルは 、これらのハッカーが政権のためにお金を稼ぐ手段と、私たちが分析した北朝鮮のエリートウェブトラフィックを比較すると、特に関連性が高くなります。 これまでの研究では、世界中の国々における北朝鮮の物理的および仮想的な存在を特定するためのヒューリスティックを開発しました。このヒューリスティックには、これらの国との間の北朝鮮のインターネット活動の平均以上のレベルだけでなく、ニュースアウトレット、地区または市政府、地元の教育機関など、多くのローカルリソースの閲覧と使用も含まれていました。

この技術により、北朝鮮人が物理的に居住している、または居住している可能性が高い国を特定することができました。 2019年を通じて、私たちは技術とこの分析を洗練させ続け、2019年には主に、インド、中国、ネパール、ケニア、モザンビーク、インドネシア、タイ、バングラデシュの8カ国で観察された活動の継続を観察しました。 しかし、この分析は過去には有用であったが、2つの理由から、これらの国々における北朝鮮の行動について、徐々に実質的な洞察が得られなくなってきた。

第一に、北朝鮮の支配層エリートが一様に強力なインターネットセキュリティ手続きを実践しているわけではないにもかかわらず、北朝鮮の人々とすべてのインターネットユーザーの両方にとって、広範な傾向はセキュリティの強化に向かっている。 これは、北朝鮮のインターネット活動を追跡し、新たな洞察を明らかにすることが、時間の経過とともに難しくなっていることを意味します。

次に、大手テクノロジー企業は、DNS、コンテンツ配信、クラウドサービスなど、ますます幅広いサービスを顧客に提供しています。 ネットワークの観点からは、一般的なDigitalOcean、Cloudflare、またはGoDaddyインフラストラクチャの背後にあるエンドコンテンツを見分けることは非常に困難です。 ポートやプロトコルでさえ、提供されるデータ量は限られており、多くの場合、DigitalOceanボックスで終了するセッションでは何も表示されません。

我々のデータに基づき、我々は、中国とインドの両方が、故意にせよ無意識にせよ、北朝鮮の作戦をホストし、可能にしていると評価し続けている。 特にインドは、北朝鮮のサイバー作戦のホストであり、被害者であり続ける可能性が高い。

運用上のセキュリティ

2018年初頭、私たちは、北朝鮮の人々が、仮想プライベートネットワーク(VPN)、仮想プライベートサーバー(VPS)、トランスポート層セキュリティ(TLS)、オニオンルーター(Tor)などの運用セキュリティ技術の使用を劇的に増加していることに気づきました。 2018 年後半までに、運用上安全な行動は、トラフィック全体の 13% から 5% 強にまで減少しました。 私たちは、北朝鮮の指導者による安全なブラウジング技術の使用を監視することは、技術に精通していることと対応力があること、そしてエリートの行動に対する国家レベルのコントロールの程度という2つのことの指標であると考えています。

2019年には、安全なブラウジング技術の使用がわずかに回復し、全インターネットトラフィックの9.5%になりました。 その中で、HTTPSは北朝鮮の指導者によって最も広く使用されました。 これは、世界の上位100万のウェブサイトの ほぼ半数 がデフォルトでHTTPSを使用しているという事実に関係していると思われます。

Another change we observed in North Korean operational security behavior in 2019 was the incorporation of DNS tunneling. DNS (Domain Name System) was created to enable computers to resolve a domain name (pyongyangtimes[.]com[.]kp, for example) to an IP address (175.45.176.67). The original intent for DNS was to ease the lookups and associations of domains and IP addresses, not to secure that process. As a result, and because DNS is so critical to a network’s operation, DNS ports (port 53 typically) are left open, and traffic is relatively unscrutinized. DNS tunneling is when the DNS process is used not for a domain resolution, but for data transfer or tunnel between networks or devices.

北朝鮮の場合、2019年半ばにユーザーがDNSトンネリングを導入したことが確認されました。 繰り返しになりますが、DNSは通常、十分に精査されないため、ファイアウォールやサービスの制限を回避するための理想的なプロトコルであり、DNSトンネリングツールキット は広く利用可能です。 DNSトンネリングは新しい技術ではありませんが、北朝鮮のユーザーによって採用されたのはごく最近のことだと考えています。 北朝鮮のDNSトンネリング活動の場合、宛先IPの大部分はShodanによってVPNエンドポイントおよびMicroTikデバイスとしても識別されており、このソリューションが代替VPNとして意図されていた可能性が高いことを示しています。

DNSトンネリングはほとんどの平均的なインターネットユーザーが慣れ親しんでいる技術ではないため、この特定の手法を使用すると、一部の北朝鮮のエリートインターネットユーザーがどれほど技術的に精通しているかを知ることができます。 私たちは、リーダーシップがDNSトンネリングを採用する理由が2つあると評価しています。

  1. 侵入アクティビティを難読化するため。 DNSトンネリングは、被害者のネットワークからデータを盗み出したり、感染したエンドポイントとC2(コマンド&コントロール)サーバーとの間に通信チャネルを作成したりするために使用できます。 DNS経由の悪意のある通信は、ほとんどの組織がネットワーク接続を容易にするために寛容なDNSセキュリティポリシーを採用しているため、ブロックまたは特定される可能性が低くなります。
  2. 政府が課すセキュリティ管理やコンテンツ制限を回避するため。 北朝鮮のインターネットユーザーは最高指導者クラスの一員ですが、金正恩政権が許可している範囲外のコンテンツにアクセスしたいと考える人もいる可能性があります。 例えば、2016年に金正恩政権は、国内ユーザーがFacebook、YouTube、Twitterにアクセスするの をブロックし始めた ことが分かっています。 しかし、ネットワークトラフィック分析を使用することで、それ以来、北朝鮮のユーザーがこれらのプラットフォームを閲覧している のが観察されています 。 DNSトンネリングは、より精通したインターネットユーザーが、めったに制限されないプロトコルを使用して、これらの制限やその他のセキュリティ制御などのコンテンツ制限を回避する方法になる可能性があります。

北朝鮮のインフラを標的としたDDoS攻撃

It is not unusual for North Korean websites to be targeted by denial-of-services (DoS) or distributed denial-of-service (DDoS) attacks. For example, on May 28, 175.45.176.67, which hosted websites for the Pyongyang Times, Naenara, and several North Korean insurance companies, was targeted by a DDoS attack lasting one hour with DNS traffic levels peaking at an observed rate of at least 550 megabits per second. DNS flooding is the most common type of DDoS we have observed utilized against North Korean infrastructure.

2019年4月下旬から、少なくとも世界161か国のデバイスから発せられ、単一の北朝鮮のIPアドレスを標的とする協調 コネクションレスLDAP(CLDAP) アクティビティの急増によって特定された、ユニークなタイプのDDoS攻撃が観測されました。 この活動は北朝鮮現地時間の正午頃に開始され、わずか25分間続き、CLDAPのトラフィックレベルは少なくとも毎秒1.5ギガビットの観測速度でピークに達しました。これは、北朝鮮本土がホストするIPアドレス空間の日常的な観測基準よりも数桁高い数値です。

CLDAP は、通常、企業ネットワーク上でディレクトリ サービス (Active Directory からのユーザ名とパスワードへのアクセスなど) に使用されます。 しかし、2016 年と 2017 年に、セキュリティ企業は CLDAP と LDAP が DDoS 攻撃で悪用されていることを確認し始めました。 CLDAP経由でDDoSを実行する手法では、攻撃者は、コネクションレス型LDAPサービスが実行されているオープンリフレクタサーバーへのCLDAPリクエストで、送信元IPアドレスを意図した被害者のIPに置き換えるだけです。 スプーフィングされたアドレスは、CLDAPリフレクタサーバを騙して、CLDAPレスポンスをリクエスタではなく、意図した被害者に送り返させます。

また、CLDAPリクエストの平均パケットサイズは約80バイトで、対応するレスポンスパケットの平均サイズは約1472バイトであることも確認しました。 これは、DDoS攻撃の40分間に攻撃者によって約18倍の増幅率が達成されたことを示唆しています。 2017 年のインタビューで、Akamai のセキュリティ対応担当者は、観測した最大の CLDAP 攻撃が毎秒 3 ギガビットの速度を達成したことを伝え、その規模の攻撃は「小規模なサイトをオフラインにし、他のサイトに遅延の問題を引き起こす可能性がある」と評価しました。

観測された攻撃の速度は毎秒1.5ギガビットであり、少なくとも北朝鮮の一般向けインターネットインフラストラクチャに混乱を引き起こすのに十分であると評価しています。

north-korea-internet-tool-5-1.png

Top-level diagram of reflective DDoS amplification attack methodology used against DPRK global-internet-facing infrastructure in late April 2019. We also identified two further suspected reflective CLDAP DDoS amplification attacks: one on the morning of May 7, 2019 lasting just over 40 minutes, and another the next evening on May 8, which lasted approximately an hour. Both of these attacks were an order of magnitude smaller in terms of the number of unique CLDAP reflector servers used, although the relative CLDAP amplification factor in data size remained consistent at 18x. Interestingly, almost all of the reflector servers used in the May 8 attacks were also used in the attacks against North Korean IPs a day earlier. Further, despite the order of magnitude difference in total number of resolvers used, 62% of the resolvers used in the May 7 attack were found to have also been used in the earlier April 23 attack.

攻撃 日付(ズールー語) ピーク活動時間 DDoS 増幅率 使用された観測された CLDAP リフレクタの総数
攻撃1 23/04/2019 40分間 18.88 10529
アタック2 06/05/2019 41分 18.35 1338
攻撃3 07/05/2019 61分 18.34 598
4月と5月の攻撃を誰が実行したのかについての情報はありません。 繰り返しになりますが、DDoS攻撃は北朝鮮では珍しいことではなく、プロトコルの独自性と攻撃率という理由だけで、今回の攻撃を探求することを選択しました。

北朝鮮の保険業界

北朝鮮は2019年に保険業界のデジタル化と国際化を開始したが、これはおそらく外国投資の増加を促し、金正恩政権に不正に収益をもたらすためであると評価している。

NKニュースによると、北朝鮮には5つの保険会社がある。

  1. 韓国国民保険公社(KNIC)は、1947年に設立された損害保険
  2. 2015年5月設立のレインボーインターミディエイターズ、消防、自動車、請負業者、機械故障、生命、旅行、人身事故、観光客、再保険
  3. 2016年10月に設立されたSamhae Insurance Companyは、船体、貨物、賠償責任、航空
  4. 2016年8月に設立されたPolestar Insurance Companyは、火災、エンジニアリング、クレジット、農業の分野で保険および再保険サービスを提供しています
  5. 2017年10月に設立されたFuture Re Companyは、自由貿易保険および条約再保険

2017年8月、 国連 は、偵察総局(RGB)第39事務局とのつながりと、北朝鮮のミサイル計画の資金提供に関連する保険金請求詐欺に関与していることから、KNICを制裁対象に指定した。 数年前に設立されたにもかかわらず、当社のデータによると、過去4社の保険会社は2018年後半から2019年初頭にかけて世界のインターネット上に存在していませんでした。

Within the last year, Samhae, Polestar, and Future Re all acquired global internet websites and mail servers. The websites for all three companies, as of November 2019, are hosted at 175.45.176.67. Future Re established a mail server in late December 2018 at 175.45.176.20, which also hosts the mail server for Silibank, an internet company based in Shenyang, China that became one of North Korea’s first internet service providers (ISP) back in 2001. Silibank still offers email services for North Korean clients, including Rainbow Intermediaries, which lists a Silibank domain as an email contact on its webpage.

north-korea-internet-tool-6-1.jpg

2019年7月に NKニュース が撮影したレインボー・インターミダリーズのウェブサイトのスクリーンショット。 4つの保険会社すべてのグローバルインターネットインフラストラクチャは、昨年中に作成されたばかりです。 さらに、当社のデータによると、2019年2月以降、インド、ロシア、イランのユーザーからFuture ReのメールサーバーやSamhae、Polestar、Future Reのウェブサイトへのトラフィックが増加していることが示されています。 独立した企業体であるどころか、4つの保険会社すべてのデジタルフットプリントは、それらが同じインターネットインフラストラクチャから運営および管理されていることを示唆しており、おそらく単一の国家主導の取り組みを表している。

2018年12月、ポールスターのキム・ギョンフン社長は、北朝鮮全土に11の支店と70の現地事務所を設立し、「国際的に有名な保険会社とのネットワークを構築する」ことで「サービスを国際市場にさらに拡大する」計画である と述べた 。 同様に、三海保険の社長は韓国のメディアに対し、同社は北朝鮮のすべての「主要港湾都市、漁業基地、輸送基地」に支店と代理店を持ち、2018年11月に漁船の再保険を開始した と語った

しかし、北朝鮮の保険会社が興味深いトピックであるのは、彼らが歴史的に金正恩政権の資金を生み出す上で果たしてきた役割と、外国投資を奨励するためにどのように必要かということです。 2017年、 北朝鮮の外交脱北者は 、金正恩政権がKNICを使って保険金詐欺から年間数千万ドルを稼ぐ方法を説明した。

「北朝鮮には国営保険会社が1社しかないため、事故をでっち上げても、その請求を検証する方法はありません。 国家インフラのための国際保険や再保険を購入した後、(疑惑の事故に関する)文書が偽造され、州は年間数千万ドルを稼いでいる。

主要な国営保険会社であるKNICは、30年間にわたり、国際的な再保険会社と購入した再保険契約を利用して、虚偽の可能性のある請求を行い、金正恩政権に数千万ドルを生み出してきた。 タイムズ紙によると、2014年、KNICのグローバル資産は7億8700万ポンド、つまり約13億ドルに達しました。

北朝鮮の保険金詐欺の検証可能な事例を見つけるのは難しいですが、過去10年間にこの詐欺の範囲を示すいくつかの事例があります。 2011年、マレーシアと北朝鮮の共同建設会社が、ウガンダの首都郊外に213戸のコンドミニアムを建設する1800万ドルの契約を獲得した。 翌年、 この建設会社は 過大評価された一連の保険を購入し、工事が始まる前に20%の前払いを受けました。 何年にもわたる交渉、裁判、そしておそらく詐欺の後、2018年、北朝鮮が所有する建設会社とウガンダの住宅公社は、コンドミニアムを完成させることなく、数百万ドルの保険金を請求したにもかかわらず、プロジェクトから撤退した。

最も 悪名高いケースの一つは、2005年に平壌で起きたヘリコプター墜落事故で、緊急救援物資が入っていた倉庫が破壊されたことについて、KNICが損害賠償請求を行ったことだ。 KNICは、国際的な保険会社のコンソーシアムと約6,000万ドルで商品に保険をかけていました。 保険会社は、過大評価された物的損害と疑わしい文書を理由に、数年間支払いを拒否しましたが、最終的にはKNICと約 5,700万ドルで和解しました。 当時、北朝鮮は欧米の保険会社に対して約1億5000万ドル相当の請求を多数行っていると考えられていた。

一部の 中国の投資家によると、これらの追加の保険会社は、北朝鮮の投資に対する信頼を高める効果もあるという。 具体的には、「新しい保険仲介業者は、北朝鮮経済内の商業サービスの複雑さと競争が激化している兆候を示している」。

金正恩政権が2019年中に残る4つの国営保険会社のアクセシビリティを向上させることに明らかに焦点を当てているのは、2017年のKNIC制裁後の収益創出手段としての保険詐欺を活性化し、北朝鮮の潜在的な投資家を安心させる試みである可能性があると私たちは考えています。

今後の展望

過去2年半にわたり、北朝鮮に関する私たちの調査は、北朝鮮の最高指導者のデジタルライフを垣間見る比類のない窓を提供してきました。 我々は、「最大圧力」キャンペーンの期間、ミサイル発射と実験活動が最も多かった期間、米国と北朝鮮の指導者間の 史上初の一連の首脳会談 など、米朝関係におけるユニークな時期におけるリーダーシップ活動を追跡し、分析してきた。

この調査シリーズの核心は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示していることです。 彼らは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てます。 金正恩政権は、インターネットを利用し、搾取するためのユニークなモデルを開発しました - それは犯罪シンジケートのように運営されている国家です。

北朝鮮はまた、多国籍組織や西側諸国が北朝鮮に課した制裁を回避するための、新しく創造的で革新的なインターネットベースのモデルを開発しました。 このモデルには、銀行強盗や詐欺などの露骨な犯罪と、暗号通貨マイニングやフリーランスのIT作業などの非犯罪活動の両方を通じて収益を上げることが含まれます。

また、このモデルは、北朝鮮の核・弾道ミサイル開発や サイバー作戦 など、 禁止されている知識や技術 を習得するための手段にもなる。最も基本的な点では、北朝鮮は、制裁回避のメカニズムとしてインターネットを活用するモデルを開発しましたが、これは特徴的ですが、例外的ではありません。 このモデルはユニークですが、再現性があり、最も懸念されるのは、制裁を回避するためにインターネットを使用する他の経済的に孤立した国の例として役立つことです。

私たちは、他の孤立した国々が、北朝鮮が利用したのと同じ犯罪的および非犯罪的な手法の一部を使用して、収入を生み出し、自国の制裁を回避するのを目にし始めると信じています。

例えば、2019年の間に、イランは国際的な決済を促進し、米国の金融規制を回避する方法として暗号通貨を追求し始めたと評価しています。 1月のニューヨーク・タイムズ紙の記事によると、ヨーロッパとアジアのビジネス関係者は、イラン企業への支払いに暗号通貨を使用することに「ますます協力的」で支持的になっている。7月、イラン政府は、金に支えられる国内暗号通貨を発表しました。そして8月には、イランが暗号通貨マイニングを産業として合法化しました

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がネットワーク上での潜在的な北朝鮮の活動を特定する際に、次の措置を講じることを推奨しています。

  • 侵入検知システム (IDS) と侵入防止システム (IPS) をアラートとして設定し、確認後に、次の著名な北朝鮮の IP 範囲からの接続試行をブロックすることを検討してください。

  • 175.45.176.0/22

  • 210.52.109.0/24

  • 77.94.35.0/24

  • 具体的には、北朝鮮の暗号通貨マイニングの取り組みを検出して防止するには、侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、TCPポートを介してネットワークに接続している次の著名な北朝鮮のIP範囲からの不正な接続試行を警告し、レビュー後にブロックすることを検討してください。

  • ビットコインの8332および8333

  • Monero の 18080 および 18081

  • ライトコインの9332および9333

手記: The aforementioned ports are the default ports configured for the given cryptocurrencies. It is plausible for cryptocurrency mining software to have been modified to override the default ports. Furthermore, other services may also be configured to operate on the listed ports based on your enterprise configuration, and therefore, IDS and/or IPS alerting of network traffic on the listed ports may yield false positives.

  • DNSトンネリングは、ネットワークトラフィックログまたはパケットキャプチャを調べることで検出できます。 高スループットのDNSトンネリングは、このケースで北朝鮮のユーザーに対して特定されたものですが、検出 できるのは 、通常、「(1)量、(2)メッセージの長さ、(3)メッセージ間の平均時間の短縮」に関して、DNSトラフィックに大きな変化を引き起こすためです。

  • 一般的なDNSセキュリティの場合:

  • DNS ファイアウォールまたはフィルター (DNS 応答ポリシー ゾーン (RPZ) など) を DNS インテリジェンス フィードと共に使用します。

  • すべてのDNSリクエストと接続をログに記録し、ログを保持して将来の調査を可能にします。 可能であれば DNSSEC を使用してください。

  • 潜在的なCLDAP DDoS攻撃から防御するには:

  • Do not expose CLDAP services to the global internet. This will ensure that these machines are not unwitting participants in a CLDAP DDoS attack. Employ DDoS mitigation services.

  • 組織のVPNサービスとプロトコルを把握し、非標準のVPNトラフィックをブロックまたは慎重に精査します。

  • ネットワーク内から暗号通貨マイニングソフトウェアがダウンロードおよび操作される可能性に対抗するために、企業全体にソフトウェアホワイトリストプログラムを実装することを検討してください。

  • 多くの暗号通貨マイナーは、調整のためにインターネットリレーチャット(IRC)を使用しています。 IRCが企業に必要なアプリケーションでない限り、IDSおよびIPSを介してデフォルトのIRC TCPポート6667をブロックすることを検討し、IRCを使用した暗号通貨マイニングアクティビティを軽減することを検討してください。

  • 北朝鮮のオペレーターは、特に金融機関と韓国を標的とした作戦で、FlashとSilverlightの両方のエクスプロイトを一般的に利用してきました。 Recorded Futureは、これらのプログラムに頻繁にパッチを適用するか、一般的に使用を軽減することを推奨しています。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

  • すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
  • 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
  • システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
  • 綿密なインシデント対応とコミュニケーション計画を立てる。
  • 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるかを調べます(たとえば、フィッシングによるデバイスやアカウントの乗っ取りなど)。
  • 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
  • ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
  • ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
  • パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

関連ニュース&研究