Um die Cyberaktivitäten Nordkoreas zu verstehen, ist die Absicht von entscheidender Bedeutung.

Das Verständnis der nationalen Ziele, der staatlichen Organisationen und der militärischen Strategie Nordkoreas ist der Schlüssel zu den Diskussionen über die Zuschreibung nordkoreanischer Cyberaktivitäten und fehlt in ihnen oft. Häufig beschreiben hochrangige politische Führer, >Cybersicherheitsexperten und Diplomaten die nordkoreanische Führung oder ihr jeweiliges Handeln als "verrückt", "unberechenbar" oder "nicht rational". Dies ist nicht der Fall. Wenn man Cyberaktivitäten durch die Linse der nordkoreanischen Militärstrategie, der nationalen Ziele und der Sicherheitswahrnehmung betrachtet, entsprechen sie ihrem umfassenderen Ansatz.

Untersuchungen von Recorded Future zeigen, dass nordkoreanische Cyber-Akteure weder verrückt noch irrational sind: Sie verfügen lediglich über einen größeren operativen Handlungsspielraum als die meisten anderen Geheimdienste.

Dieser Bereich umfasst ein breites Spektrum krimineller und terroristischer Aktivitäten, einschließlich illegaler Drogenherstellung und -verkauf, Herstellung von Falschgeld, Bombenanschläge, Mordversuche und mehr. Die National Security Agency (NSA) hat die WannaCry-Ransomware-Angriffe im April dem nordkoreanischen Geheimdienst Reconnaissance General Bureau (RGB) zugeschrieben. Wir gehen davon aus, dass der Einsatz von Ransomware zur Beschaffung von Geldern für den Staat sowohl unter die asymmetrische Militärstrategie als auch unter die Politik der "Selbstfinanzierung" Nordkoreas fallen und in den breiten operativen Aufgabenbereich der nordkoreanischen Geheimdienste fallen würde.

Hintergrund

Die Demokratische Volksrepublik Korea (DVRK oder Nordkorea) ist eine erbliche asiatische Monarchie mit staatlichen, parteipolitischen und militärischen Organisationen, die sich der Erhaltung der Führung der Koreanischen Arbeiterpartei (KWP) und des Militärs, der Koreanischen Volksarmee (KPA), verschrieben haben.

Das Reconnaissance General Bureau (RGB), auch bekannt als "Unit 586", wurde 2009 nach einer umfassenden Umstrukturierung mehrerer staatlicher, militärischer und parteilicher Geheimdienstelemente gegründet. Der KPA unterstellt, hat er sich seitdem nicht nur zum dominierenden nordkoreanischen Auslandsgeheimdienst, sondern auch zum Zentrum für geheime Operationen entwickelt. Die RGB und ihre Vorgängerorganisationen werden für eine Reihe von Bombenanschlägen, Mordversuchen, Entführungen und Entführungen verantwortlich gemacht, die in den späten 1950er Jahren begannen, sowie für eine Litanei krimineller Aktivitäten, darunter Drogenschmuggel und -herstellung, Fälschungen, zerstörerische Cyberangriffe und mehr.

Satellitenbild des Operationsgebäudes RGB Southern in Pjöngjang. (Quelle)

Als Nordkoreas führende Organisation für geheime Operationen ist die RGB wahrscheinlich auch die wichtigste Organisation für Cyberoperationen. Wie im Bericht des Center for Strategic and International Studies aus dem Jahr 2015 beschrieben:

Das RGB ist eine Zentrale nordkoreanischer Geheimdienst-, Kommando- und Sabotageoperationen. Die Geschichte der RGB-Führung und ihrer einzelnen Mitglieder zeichnet das Bild einer zentralen Anlaufstelle für illegale und geheime Aktivitäten außerhalb der Demokratischen Volksrepublik Korea. Der RGB bzw. seine Bestandteile waren vor 2009 in alles Mögliche verwickelt, von Kommandoüberfällen vom Seeweg bis hin zu Entführungen und Spionage. Die Tatsache, dass das RGB die Kontrolle über Cyberressourcen hat, deutet darauf hin, dass die Demokratische Volksrepublik Korea beabsichtigt, diese Ressourcen für Provokationszwecke einzusetzen.

Das RGB besteht wahrscheinlich aus sieben Büros; sechs ursprüngliche Büros und ein neues siebtes (Bureau 121), das wahrscheinlich irgendwann nach 2013 hinzugefügt wurde.

RGB-Organigramm, zusammengestellt mit Informationen aus The Korea Herald, 38 North und CSIS.

Das Büro 121 ist wahrscheinlich Nordkoreas wichtigste Einheit für Cyberoperationen, aber es gibt auch andere Einheiten innerhalb der KPA und des KWP , die ebenfalls Cyberoperationen durchführen können.

Die Zuschreibung bestimmter Cyberaktivitäten an den nordkoreanischen Staat oder Geheimdienstorganisationen ist schwierig und bis vor kurzem nur ein Indiz. Am 12. Juni veröffentlichte das US-CERT eine gemeinsame technische Warnung , in der die vom US-Heimatschutzministerium (DHS) und dem FBI durchgeführte Analyse der "Tools und Infrastrukturen zusammengefasst sind, die von Cyber-Akteuren der nordkoreanischen government_ verwendet werden, um die Medien, die Luft- und Raumfahrt, das Finanzwesen und kritische Infrastrukturen in den Vereinigten Staaten und weltweit ins Visier zu nehmen".

Diese Warnung war das erste Mal, dass die US-Regierung Gruppen von Bedrohungsakteuren und Malware, von denen seit langem vermutet wird, dass sie von staatlich geförderten nordkoreanischen Akteuren verwendet werden, mit der nordkoreanischen Regierung selbst in Verbindung bringt. DHS und FBI identifizierten explizit zwei Gruppen von Bedrohungsakteuren, Lazarus Group und Guardians of Peace, sowie drei Tools, Destover, Wild Positron/Duuzer und Hangman, die von der nordkoreanischen Regierung verwendet werden. Während das FBI und das DHS viele Indikatoren für eine Kompromittierung, Yara-Regeln und Netzwerksignaturen identifizierten, lieferte der Bericht keine Beweise für die Zuschreibung an die nordkoreanische Regierung oder Details darüber, welche Organisation oder Einheit dafür verantwortlich sein könnte.

Die Lazarus Group, von der inzwischen bekannt ist, dass es sich um staatlich geförderte nordkoreanische Akteure handelt, führt seit mindestens 2009 Operationen durch, mit einem DDoS-Angriff auf US-amerikanische und südkoreanische Websites mit dem Wurm MYDOOM . Bis Ende 2015 konzentrierten sich die Cyberaktivitäten der Lazarus-Gruppe hauptsächlich auf südkoreanische und US-amerikanische Regierungs - und Finanzorganisationen, darunter zerstörerische Angriffe auf den südkoreanischen Banken- und Mediensektor im Jahr 2013 und viel beachtete Angriffe auf Sony Pictures Entertainment im Jahr 2014.

Zeitleiste der Cyber-Operationen der Lazarus Group seit 2009.

Anfang 2016 zeichnete sich bei einer ungewöhnlichen Operation gegen die Zentralbank von Bangladesch ein neues Aktivitätsmuster ab. Akteure verschafften sich die legitimen Zugangsdaten der bangladeschischen Zentralbank für das Interbanken-Nachrichtensystem SWIFT und versuchten damit, 951 Millionen US-Dollar aus dem Guthaben der Bank auf Konten in aller Welt zu überweisen. Durch einige einfache Fehler der Akteure (und etwas pures Glück) gelang es den Zentralbankern, die Überweisung des Großteils der Gelder zu verhindern oder diese zurückzuerlangen. Die Angreifer erbeuteten jedoch letztlich fast 81 Millionen Dollar.

Die National Security Agency (NSA) hat diesen Angriff auf die Zentralbank von Bangladesch dem nordkoreanischen Staat zugeschrieben, aber die Ermittlungen innerhalb der US-Regierung dauern noch an. Bedrohungsanalysten zahlreicher Unternehmen haben diesen Angriff und die nachfolgenden Angriffe auf Banken auf der ganzen Welt bis Anfang 2017 der Lazarus-Gruppe zugeschrieben (die DHS, FBI und NSA in den letzten drei Tagen alle mit der nordkoreanischen Regierung in Verbindung gebracht haben).

Laut einem am 14. Juni veröffentlichten Bericht der Washington Post_ hat die NSA eine Geheimdienstbewertung zur WannaCry-Kampagne zusammengestellt und die Entwicklung des WannaCry-Wurms "von der RGB gesponserten Cyber-Akteuren" zugeschrieben. Diese Einschätzung, die offenbar in der vergangenen Woche intern abgegeben wurde, berief sich auf "mäßiges Vertrauen" in die Zuschreibung und schrieb den Wahlkampf im April als "Versuch ab, Einnahmen für das Regime zu erhöhen".

Die Angriffe auf die Zentralbank von Bangladesch und auf weitere Banken weltweit sowie die Erpresserkampagne „WannaCry“ markieren eine neue Phase der Cyberoperationen Nordkoreas. Sie spiegelt die Phasen der Gewalt und Kriminalität wider, die Nordkorea in den letzten 50 Jahren durchlaufen hat. Wir werden diese Phasen später in diesem Beitrag untersuchen.

Die große Bandbreite bekannter und mutmaßlicher Cyber-Operationen Nordkoreas wirft seit Jahren Fragen nach der Rationalität der nordkoreanischen Führung auf, nach möglichen Beweggründen und Vorteilen dieser Art von Cyber-Aktivitäten für das Land und nach Gründen, warum Nordkorea die Verantwortung für diese Angriffe abstreitet. Die Forschung von Recorded Future geht diesen Fragen nach, indem sie das Gesamtbild untersucht und geopolitische und strategische Informationen mit Bedrohungsinformationen kombiniert.

Analyse

Es ist wichtig, einige dieser früheren Aktivitäten Nordkoreas näher zu untersuchen, um den Cyber-Operationen, die wir seit 2009 verfolgen, einen Kontext zu verleihen. Nordkoreas Beteiligung an einer breiten Palette krimineller und terroristischer Aktivitäten ist Teil seiner umfassenden nationalen Strategie, die auf asymmetrischen Operationen und Überraschungsangriffen beruht, um das konventionelle nationale Machtdefizit Nordkoreas zu überwinden.

Laut einem Interview mit einem ehemaligen Beamten des US-Außenministeriums und Nordkorea-Experten in der Zeitschrift „ Vanity Fair “ ist „Kriminalität, mit anderen Worten, ein integraler Bestandteil der nordkoreanischen Wirtschaft geworden.“ „Das zahlt sich nicht nur aus, es kommt auch ihrer Strategie entgegen, westliche Interessen zu untergraben.“¹

Es ist von entscheidender Bedeutung, Nordkoreas kriminelle und Cyber-Aktivitäten in den Kontext seiner umfassenderen militärischen und nationalen Sicherheitsstrategien zu stellen, die zwei Hauptziele verfolgen:

• Fortbestand des Kim-Regimes,
• Vereinigung der koreanischen Halbinsel unter nordkoreanischer Führung.

Eine Studie der University of Washington aus dem Jahr 2016 fasst Nordkoreas asymmetrische Militärstrategie kurz und bündig zusammen:

Seit dem Ende des Koreakrieges hat Nordkorea eine asymmetrische Militärstrategie, asymmetrische Waffen und asymmetrische Stärke entwickelt, da seine konventionelle Militärmacht weitaus schwächer ist als die der USA und Südkoreas. Nordkorea hat daher drei militärstrategische Säulen entwickelt: Überraschungsangriff, schneller, entscheidender Krieg und gemischte Taktiken. Erstens bezieht sich die Überraschungsangriffsstrategie darauf, den Feind zu einem unerwarteten Zeitpunkt und an einem unerwarteten Ort anzugreifen. Zweitens besteht die Strategie des Landes, schnell und entschieden vorzugehen und das südkoreanische Militär zu besiegen, bevor das US-Militär oder die internationale Gemeinschaft eingreifen kann. Schließlich besteht die Strategie der gemischten Taktik darin, mehrere Taktiken gleichzeitig anzuwenden, um das strategische Ziel zu erreichen.

Trotz ihrer fast ständigen Tirade kriegerischer Rhetorik und Machtbekenntnisse betrachtet Nordkorea die Welt grundsätzlich aus einer Position der Schwäche und hat eine nationale Strategie entwickelt, die seine komparativen Stärken nutzt – die vollständige Kontrolle über eine Bevölkerung von 25 Millionen Menschen und die unerschütterliche, amoralische Hingabe an die Erbdynastie Kim.

In diesem Zusammenhang passen Kriminalität, Terrorismus und zerstörerische Cyberangriffe allesamt in die asymmetrische Militärstrategie Nordkoreas, die auf Überraschungsangriffe und gemischte Taktiken setzt. Die Kriminalität und die Cyberangriffe haben zudem den zusätzlichen Vorteil, dass sie es Nordkorea ermöglichen, genau jene internationalen Wirtschafts- und Politiksysteme zu untergraben, die es einschränken und bestrafen.

Es mehren sich die Beweise dafür, dass Sanktionen, internationaler Druck und möglicherweise eine verstärkte Durchsetzung durch China ihren Tribut von der nordkoreanischen Wirtschaft und insbesondere von der Fähigkeit des nordkoreanischen Geheimdienstes fordern, Güter für die Regimeführung zu beschaffen . Ein Bericht des Korea Development Institute vom Mai 2017 kam zu dem Schluss, dass der nordkoreanische Schwarzmarkt dem Land geholfen hat, die Auswirkungen der internationalen Sanktionen im vergangenen Jahr zu ertragen.

Nachfolgend werden zahlreiche nicht-cyberbasierte Operationen detailliert beschrieben, die von den Vorgängerorganisationen des RGB durchgeführt wurden. Die Gewalt, die Zerstörung und das kriminelle Ausmaß dieser Operationen offenbaren die große operative Reichweite dieser Geheimdienste und den Kontext, in dem sie durchgeführt werden.

Diese Daten enthüllen außerdem eine Geschichte von Dementis der nordkoreanischen Führung, die bis in die 1960er Jahre zurückreicht, und stellen die Dementis der Cyber-Operationen durch die derzeitige Führung in einen Kontext.

Notiz

Die im Folgenden aufgeführten Aktivitäten sollen lediglich als Beispiel für den umfassenden operativen Rahmen nordkoreanischer Operationen dienen und stellen keine vollständige Liste dar.

„Überfall auf das Blaue Haus“

Einer der ersten großen Angriffe auf Südkorea seit der Erklärung des Waffenstillstands nach dem Koreakrieg im Jahr 1953 ereignete sich 1968. Der sogenannte "Überfall auf das Blaue Haus" war ein Attentat auf den damaligen Präsidenten Park Chung Hee durch 31 nordkoreanische Spezialeinheiten in der Nacht des 20. Januar 1968. Die 31 nordkoreanischen Soldaten überquerten die Demilitarisierte Zone (DMZ) zu Fuß und schafften es, bis auf eine halbe Meile an die Residenz des Präsidenten (das sogenannte "Blaue Haus") heranzukommen, bevor sie entlarvt wurden. Nach ihrer Entdeckung lieferten sich die nordkoreanischen Soldaten eine Reihe von Feuergefechten mit südkoreanischen Streitkräften; 68 Südkoreaner und drei US-Soldaten wurden getötet. Die meisten nordkoreanischen Soldaten wurden in den acht Tagen nach dem Angriff getötet; zwei schafften es zurück über die DMZ und einer wurde gefangen genommen.

Der gefangene nordkoreanische Soldat behauptete während einer Pressekonferenz, sie seien gekommen, um "Park Chung Hee die Kehle durchzuschneiden". Diese Darstellung wurde während eines geheimen Treffens zwischen einem südkoreanischen Geheimdienstbeamten und dem damaligen Ministerpräsidenten Kim Il-sung im Jahr 1972 bestritten. Kim behauptete, seine Regierung habe nichts mit der Razzia zu tun und "zu diesem Zeitpunkt nicht einmal davon gewusst".

Ein gefangener nordkoreanischer Soldat nach dem Überfall auf das Blaue Haus. (Quelle)

Bombenanschlag in Rangun 1983

Am 9. Oktober 1983 versuchten drei nordkoreanische Soldaten, den damaligen südkoreanischen Präsidenten Chun Doo Hwan während einer Reise nach Myanmar zu ermorden. Eine Bombe in einem Mausoleum, das der Präsident besuchen sollte, explodierte vorzeitig und tötete 21 Menschen, darunter den koreanischen Außenminister und den stellvertretenden Ministerpräsidenten.

Während des Prozesses gegen die Attentäter ergaben Zeugenaussagen , dass die nordkoreanischen Agenten ein nordkoreanisches Handelsschiff benutzten, um nach Myanmar zu reisen, und das Haus eines nordkoreanischen Diplomaten, um die Bomben vorzubereiten. In einem geheimen Bericht (der Bericht wurde im Jahr 2000 freigegeben) zehn Tage nach dem Bombenanschlag legten CIA-Analysten starke Argumente dafür vor, dass Nordkorea für den Angriff verantwortlich war, obwohl die offizielle nordkoreanische Nachrichtenagentur eine Beteiligung offiziell dementierte . Nordkoreanische Staatsmedien beschuldigten Präsident Chun sogar, den Angriff zu nutzen, um die Spannungen auf der Halbinsel zu erhöhen.

Südkoreanische Beamte warten Minuten am Mausoleum in Rangun
bevor die Bombe explodierte. (Quelle)

Bombenanschlag auf Korean-Air-Flug 858

Am 29. November 1987 gingen zwei nordkoreanische Geheimdienstagenten an Bord eines Korean-Air-Fluges von Bagdad (Irak) nach Seoul und platzierten eine Bombe. Während eines Zwischenstopps in Abu Dhabi stiegen die beiden Agenten aus, ließen aber die Bombe (als Funkgerät getarnt) an Bord. Die Bombe explodierte und das Flugzeug stürzte im Dschungel an der thailändisch-burmesischen Grenze ab und tötete alle 115 Menschen an Bord.

Einer der nordkoreanischen Geheimdienstagenten, der lebend gefangen genommen wurde, enthüllte später, dass der Bombenanschlag dazu gedacht war, "ausländische Beteiligung an den Olympischen Spielen 1988 in Seoul zu verhindern und Unruhe in Südkorea zu stiften". Der Agent gestand auch, dass der Befehl zur Bombardierung des Flugzeugs direkt vom damaligen nordkoreanischen Führer Kim Il-Sung oder seinem Sohn, dem späteren Führer Kim Jong-il, gekommen war.

Übergang zur Kriminalität

Mitte der 1990er Jahre war in Nordkorea der Übergang von terroristischen Akten zur Kriminalität vollzogen. Während Nordkorea seit den späten 1970er Jahren eine Politik der „ Selbstfinanzierung“ verfolgte,² bei der Botschaften und diplomatische Außenposten gezwungen waren, Geld für ihre eigenen Operationen zu verdienen, typischerweise durch illegale Aktivitäten wie Schmuggel, wurde diese Kriminalität erst in den 1990er Jahren zu einem Geschäft des gesamten Staates und nicht nur des diplomatischen Establishments. Dieser Wandel wurde durch eine Reihe von Faktoren beeinflusst, darunter das Ende des Kalten Krieges und die Einstellung wichtiger Hilfsleistungen durch Wohltäter (wie die Sowjetunion und China), eine verheerende Hungersnot, ein Führungswechsel sowie jahrelange internationale Verurteilungen und Strafmaßnahmen.

Ein Bericht des Komitees für Menschenrechte in Nordkorea aus dem Jahr 2015 unterteilt Nordkoreas Beteiligung an "illegalen wirtschaftlichen Aktivitäten" in drei verschiedene Phasen. Erstens, von den Ursprüngen der staatlichen Beteiligung Nordkoreas in den 1970er bis Mitte der 1990er Jahre, von Mitte der 90er bis Mitte der 2000er Jahre und etwa 2005 bis heute. Die RGB, ihre Vorgängerorganisationen und andere Militär- und Geheimdienste unterstützen diese illegalen Aktivitäten.

Illegale Drogenherstellung und -schmuggel

Nordkorea hat seit Mitte der 1970er Jahre ein staatlich gefördertes Drogenschmuggelprogramm (und später auch die Herstellung). Dieses riesige Unternehmen wurde vom Militär, Geheimdiensten und Diplomaten unterstützt und umfasste oft die Zusammenarbeit mit kriminellen Organisationen wie der taiwanesischen Bande United Bamboo, philippinischen Kriminellensyndikaten und dem japanischen organisierten Verbrechen.³

Akademische Untersuchungen deuten darauf hin, dass Nordkorea umfangreiche verdeckte Schmuggelnetzwerke und -fähigkeiten entwickelt hat, um dem Kim-Regime ein Mittel zur harten Währung zur Verfügung zu stellen.

Der nordkoreanische Staat baut aktiv Schlafmohn an und produziert bis zu 50 Tonnen Rohopium pro Jahr. Zum Vergleich: Die Vereinten Nationen schätzen, dass Afghanistan im Jahr 2014 6.400 Tonnen Rohopium produziert hat, was Nordkorea im Vergleich dazu zu einem kleinen Produzenten macht. Einem Bericht des Congressional Research Service zufolge haben staatliche Verarbeitungslabore die Kapazität, jedes Jahr die doppelte Menge zu Opium oder Heroin zu verarbeiten. Experten schätzen, dass Nordkorea jährlich zwischen 550 und 1 Milliarde US-Dollar aus illegalen wirtschaftlichen Aktivitäten einnimmt.

Fälschung

Eine der am weitesten verbreiteten kriminellen Unternehmungen Nordkoreas ist die Herstellung von gefälschten amerikanischen 100-Dollar- (und 50-Dollar-) Scheinen oder sogenannten "Supernoten". In einer Anhörung vor dem Kongress im Jahr 2006 stellte der US-Geheimdienst eine definitive Verbindung zwischen der Produktion der "Supernote" und dem nordkoreanischen Staat her.

Laut Interviews in einem Artikel des New York Times Magazineaus dem Jahr 2006 geht die staatliche Unterstützung Nordkoreas für die Fälschung von US-Währung auf eine Direktive von Kim Jong-il Mitte der 1970er Jahre zurück. Bei der ursprünglichen Fälschung wurden 1-Dollar-Scheine gebleicht und als 100-Dollar-Scheine neu gedruckt und im Laufe der Zeit weiterentwickelt, als Nordkoreas internationale Isolation zunahm und seine Wirtschaft zusammenbrach.

"Supernote" und ein echter 100-Dollar-Schein. (Quelle)

Der Vertrieb und die Produktion der Supernoten folgten einem ähnlichen Muster wie bei den in Nordkorea produzierten Betäubungsmitteln und nutzten globale Verbrechersyndikate, Staats- und Geheimdienstbeamte sowie legale Unternehmen. Nordkorea hat wiederholt bestritten, an Fälschungen oder anderen illegalen Operationen beteiligt gewesen zu sein.

Eine Geschichte der Verleugnung

Wie oben dargelegt, hat Nordkorea in der Vergangenheit die Verantwortung für seine gewalttätigen, illegalen und zerstörerischen Operationen geleugnet. Dazu gehört das Leugnen der Beteiligung an der Razzia im Blauen Haus, dem Bombenanschlag in Rangun, allen kriminellen und illegalen Aktivitäten, einschließlich der Fälschung von US-Dollars, dem Angriff auf Sony Pictures Entertainment und dem Raubüberfall auf die Zentralbank von Bangladesch. Einige Wissenschaftler argumentieren , dass Handlungen wie die Fälschung der Währung einer Nation einen _casus belli_ darstellen, eine Handlung oder ein Ereignis, das einen Krieg rechtfertigt, und andere argumentieren, dass "internationale Rechtsnormen und -konstrukte nicht angemessen berücksichtigen, was casus belli im Cyberbereich ausmacht".

Beide Argumente sowie das Verständnis der asymmetrischen Militärstrategie Nordkoreas unterstreichen, warum Nordkorea für viele dieser zerstörerischen und gewalttätigen Taten nicht die Verantwortung übernehmen möchte. Die Anerkennung staatlicher Verantwortung könnte den Vereinigten Staaten oder Südkorea einen gültigen Casus Belli liefern und zu einem Krieg führen, den Nordkorea mit Sicherheit verlieren würde. Auch wenn die Beweislage überzeugend ist, schaffen die offiziellen Dementis der Regierung Unsicherheit und geben Nordkorea Raum, seine Operationen fortzusetzen.

Auswirkungen

Was in der Diskussion darüber, ob Nordkorea für die WannaCry-Kampagne und die Banküberfälle verantwortlich ist, fehlt, ist das Warum – also die geopolitischen und strategischen Informationen, die den zivilgesellschaftlichen Organisationen, Sicherheitsexperten und Bedrohungsanalysten einen Kontext für die von ihnen beobachteten Aktivitäten liefern.

Letzte Woche haben die NSA und mehrere Unternehmen, darunter Symantec und Kaspersky, die jüngste WannaCry-Ransomware-Kampagne mit Nordkorea in Verbindung gebracht. Recorded Future schätzt ein, dass diese Art von Cyberaktivitäten sowohl unter Nordkoreas Politik der "Selbstfinanzierung" als auch unter die asymmetrische Militärstrategie fallen würde.

Vor diesem Hintergrund ist Recorded Future als Land, das unter enormem internationalen finanziellen und politischen Druck steht und derartige Richtlinien und Strategien anwendet, davon überzeugt, dass die Cyber-Operationen Nordkoreas (mit dem Ziel, an harte Währung zu gelangen) zumindest kurz- bis mittelfristig (ein bis drei Jahre) fortgesetzt werden. Darüber hinaus werden die zerstörerischen Cyber-Operationen gegen die südkoreanische Regierung und kommerzielle Unternehmen im gleichen Zeitraum anhalten und sich wahrscheinlich auf japanische oder westliche Organisationen ausweiten, wenn die Spannungen zwischen den USA und Nordkorea hoch bleiben.

Das oben skizzierte Cyber-Bedrohungsumfeld und die militärische Strategie deuten darauf hin, dass Unternehmen in mehreren wichtigen Wirtschaftssektoren die Überwachung der nordkoreanischen Cyberaktivitäten verstärken sollten. Finanzdienstleister müssen ständig wachsam sein, wenn es um die Ausnutzung ihrer SWIFT-Verbindungen und -Zugangsdaten, mögliche zerstörerische Malware-Angriffe und DDoS sowie Bedrohungen für Kundenkonten und -daten geht. Unternehmen im Bereich der öffentlichen Auftragsvergabe und des Verteidigungssektors, insbesondere Unternehmen, die den Einsatz des THAAD-Systems (Terminal High Altitude Area Defense) sowie US-amerikanische oder südkoreanische Operationen auf der Halbinsel unterstützen, sollten sich der erhöhten Bedrohungslage für ihre Netzwerke und Operationen auf der koreanischen Halbinsel bewusst sein.

Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – sollten auf der Hut vor einer breiten Palette von Cyberaktivitäten aus Nordkorea sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.

Dies ist Teil eins einer zweiteiligen Serie über Nordkorea. Im zweiten Teil untersuchen wir Verhaltensmuster und Internetaktivitäten in Nordkorea, darunter die weit verbreitete Verwendung virtueller privater Server (VPS) und virtueller privater Netzwerke (VPN), um das Surfverhalten, Internettransaktionen und andere möglicherweise böswillige Aktivitäten zu verschleiern.

¹Zwar gibt es kein perfektes Analogon zu der staatlich geförderten Kriminalität, die Nordkorea betreibt, doch was den operativen Umfang der Geheimdienste angeht, kommt der Iran dem wahrscheinlich am nächsten. Weitere Informationen zu den iranischen Sicherheitsdiensten und Cyberaktivitäten finden Sie unter: http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf, https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ploy, http://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528.

^{arabische Ziffer}Nicht alle Operationen zur Generierung von Mitteln im Rahmen dieser Politik der "Selbstfinanzierung" sind in ihren Gastländern illegal.

³ Ibison, David. „Pjöngjangs Spionageschiff enthüllt ein dunkles Geheimnis: Beweise vom Schiff deuten darauf hin, dass Nordkorea mit kriminellen Banden zusammenarbeitet, um Drogen in Japan zu verteilen.“ Financial Times, 28. Mai 2003: 12.