Eine eingehende Analyse der nordkoreanischen Internetaktivitäten offenbart eine Abkehr von den westlichen sozialen Medien und eine dramatische Zunahme operativer Sicherheitsmaßnahmen.

Anmerkung zum Untersuchungsbereich: Insikt Group untersuchte die Internetaktivitäten der obersten Führungsebene Nordkoreas durch die Analyse von Daten Dritter, IP-Geolokalisierung, Border Gateway Protocol (BGP)-Routingtabellen und Open-Source-Intelligence (OSINT) mithilfe einer Reihe von Tools. Dies ist eine Fortsetzung unseres Analyse vom Juli 2017. Die für diesen Bericht analysierten Daten erstrecken sich vom 1. Dezember 2017 bis zum 15. März 2018.

Executive Summary

Im Juli 2017 veröffentlichte Recorded Future eine Studie über das Internet-Surfverhalten der vertrauenswürdigsten Führer Nordkoreas, der „0,1 Prozent“ des Nordens. Bei dieser Untersuchung stellten wir fest, dass die herrschende Elite Nordkoreas in die moderne Internet-Gesellschaft eingebunden und technisch versiert war und ein Internet-Nutzungsverhalten aufwies, das dem der Internetnutzer im Westen sehr ähnelte.

Im Dezember beschlossen wir, die Analyse noch einmal aufgreifen zu wollen und stellten fest, dass es wesentliche Veränderungen in der Art und Weise gibt, wie die herrschende Elite Nordkoreas das Internet nutzt. Insbesondere hat die nordkoreanische Führung in den sechs Monaten seit unserer ursprünglichen Analyse westliche soziale Medien nahezu vollständig aufgegeben und ihre operativen Sicherheitsvorkehrungen deutlich verstärkt.

Es ist wahrscheinlich, dass diese dramatische Verhaltensänderung das Ergebnis eines oder einer Kombination der folgenden Faktoren ist: 1) zunehmende ausländische Forschung und Aufmerksamkeit für den Medienkonsum der Nordkoreaner, 2) neue Durchsetzung des offiziellen Verbots dieser westlichen Social-Media-Dienste, das seit April 2016 in Kraft ist, oder 3) erhöhte operative Sicherheit durch die nordkoreanische Elite.

Wichtige Urteile

• Die nordkoreanische Elite migrierte fast vollständig von westlichen sozialen Medien und Diensten zu ihren chinesischen Pendants – Alibaba, Tencent und Baidu.
• Innerhalb von sechs Monaten steigerte die nordkoreanische Elite ihre Nutzung von Internet-Verschleierungsdiensten um 1.200 Prozent. Hierzu gehört ein dramatischer Anstieg von Diensten wie Virtual Private Networks (VPN), Virtual Private Servers (VPS), Transport Layer Security (TLS) und The Onion Router (Tor).
• Wir entdeckten zwei weitere Länder, Thailand und Bangladesch, in denen eine ^heuristische 1-Analyse ergab, dass Nordkoreaner wahrscheinlich lebten und illegale Aktivitäten zur Generierung von Einnahmen durchführten. Dies kommt zu den acht Ländern hinzu, die wir 2017 entdeckt haben, darunter Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik, Indonesien und China.
• Nordkorea setzte den Abbau von Bitcoin fort und begann Ende Januar auch mit dem Abbau von Monero.

Hintergrund

Wie wir bereits im Juli ausführlich dargelegt haben, gibt es einige wenige Auserwählte in der höchsten Führung Nordkoreas, denen direkter Zugang zum globalen Internet gestattet wird. Es gibt zwar keine verlässlichen Zahlen über nordkoreanische Internetnutzer, aber Reporter schätzen, dass es von "nur einer sehr kleinen Anzahl" über "den inneren Kreis der nordkoreanischen Führung" bis hin zu "nur ein paar Dutzend Familien" reicht. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers eindeutig: ein vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.

Es gibt drei Hauptwege, wie die nordkoreanischen Eliten Zugang zum globalen Internet haben. Wie bei allen mit dem Internet verbundenen Netzwerken gibt es gelegentlich Berichte über bösartige Aktivitäten aus diesen Bereichen. Die Mehrheit der nordkoreanischen böswilligen Cyberoperationen wird jedoch wahrscheinlich aus dem Ausland durchgeführt (mehr dazu im Abschnitt "Präsenz im Ausland" weiter unten).

Die erste Methode erfolgt über die zugewiesene .kp Bereich, 175.45.176.0/22, der auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains wie co.kp, gov.kp und edu.kp sowie etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungsseiten.

Zeitleiste der Ereignisse im Zusammenhang mit 175.45.176.0/22 Bereich von Juli 2017 bis April 2018.

Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname "KPTC" ist die Abkürzung für Korea Posts and Telecommunications Co., das staatliche Telekommunikationsunternehmen.

Zeitleiste der Ereignisse im Zusammenhang mit 210.52.109.0/24 Bereich von Juli 2017 bis April 2018.

Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon aufgelöst wird.

Die Zeitleiste der Ereignisse im Zusammenhang mit 77.94.35.0/24 reicht von Juli 2017 bis April 2018.

Anmerkung der Redaktion

Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „nordkoreanischem Verhalten“ sprechen, meinen wir die Nutzung des globalen Internets und nicht das nordkoreanische Intranet Kwangmyong, zu dem nur wenige ausgewählte Politiker und die herrschende Elite Zugang haben. Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, denen der Zugriff auf Kwangmyong oder diplomatische und ausländische Einrichtungen in Nordkorea gestattet ist.

Darüber hinaus haben wir diesen Zeitraum vom 1. Dezember 2017 bis zum 15. März 2018 gewählt, weil er eine Übergangsphase darstellt und den innerkoreanischen Dialog im Vorfeld der Olympischen Winterspiele im Februar 2018 in Südkorea intensiviert.

Analyse

Ähnlich wie bei internationalen Nutzern des globalen Internets besteht die Internetaktivität der nordkoreanischen Elite größtenteils aus Internetvideos, Online-Spielen und Surfen im Internet. Eine Cisco-Analyse ergab, dass 77 Prozent des weltweiten Internetverkehrs im Jahr 2017 aus Internetvideos und Online-Spielen bestanden. Bei nordkoreanischen Nutzern bestanden 70 Prozent der Aktivitäten aus Internetvideos oder Online-Spielen, 17 Prozent aus Surfen im Internet, Abrufen von E-Mails und Herunterladen von Daten und 13 Prozent erfolgten in einem virtuellen privaten Netzwerk (VPN) oder auf andere Weise verschleiert.

Wandel im Social-Media-Konsum

Die nordkoreanische Führung verbrachte von Dezember bis März etwa genauso viel Zeit in sozialen Medien, beim Einkaufen und auf Suchmaschinen wie im vergangenen Sommer. Allerdings haben sich die von ihnen genutzten Dienste dramatisch verändert.

Stündliche Aktivität auf acht sozialen Netzwerken, Shopping- und Suchseiten vom 1. Dezember 2017 bis 15. März 2018 (tatsächlich). Die Anbieter werden nach Popularität aufgelistet, von Alibaba (höchste Popularität) bis Instagram (niedrigste Popularität).

Im Juli zeigten unsere Daten, dass die nordkoreanische Führung die westlichen sozialen Medien, insbesondere Facebook, Google und Instagram, stark nutzte. Tatsächlich war Facebook der mit Abstand beliebteste Dienst; die tägliche tatsächliche Nutzung war mehr als doppelt so hoch wie bei allen chinesischsprachigen Diensten.

Das Auffälligste an der Social-Media-Aktivität im Datensatz von Dezember 2017 bis März 2018 ist das nahezu vollständige Fehlen von Facebook- und Instagram-Aktivitäten und der deutliche Anstieg bei der Nutzung chinesischer Dienste. Die Aktivität auf Facebook und Instagram ist so gering, dass sie im obigen Diagramm nicht sichtbar ist.

Innerhalb von nur sechs Monaten wanderten die nordkoreanischen Eliten fast vollständig von westlichen sozialen Medien und Diensten zu Alibaba, Tencent und Baidu ab. Die restlichen westlichen Dienste in den Top Acht wurden hauptsächlich für das Streamen von Inhalten und nicht für soziale Netzwerke genutzt.

Diese Verhaltensänderung könnte das Ergebnis der zunehmenden ausländischen Forschung und Aufmerksamkeit für den Medienkonsum der Nordkoreaner, der neuen Durchsetzung des seit April 2016 geltenden offiziellen Verbots dieser westlichen Social-Media-Dienste oder der erhöhten operativen Sicherheit durch die nordkoreanische Elite sein.

Muster des Lebens

Die nordkoreanischen Führer weisen in diesem Zeitraum deutliche Muster in der täglichen Nutzung auf, die denen im Sommer 2017 ähneln. Im Allgemeinen liegen die Zeiten mit der höchsten Aktivität weiterhin zwischen etwa 9.00 Uhr und 20.00 oder 21.00 Uhr, wobei Samstag und Sonntag die Tage mit durchweg höchster Aktivität sind. Die Aktivitätsspitzen am späten Samstagabend und frühen Sonntagmorgen bestanden hauptsächlich aus Content-Streaming oder Online-Gaming, was darauf schließen lässt, dass sich die nordkoreanische Elite an den Wochenenden Freizeit gönnt.

Tägliche Internetnutzung pro Stunde (kein Durchschnitt).

Gaming als gewinnorientiertes Unternehmen

Eine Reihe von Interviews mit Überläufern, die seit etwa 2012 von Reportern, Wissenschaftlern und Forschern durchgeführt wurden, hat der Außenwelt einen Einblick in die Ziele und die Personalausstattung der nordkoreanischen Cyberoperationen gegeben. Überläufer haben das Bild eines nordkoreanischen Operationsapparats gezeichnet , der hauptsächlich aus in Einrichtungen im Ausland lebenden Bedienern und Programmierern besteht und dessen übergeordnetes Ziel darin besteht, Einnahmen für das Kim-Regime zu generieren.

Dieses Operationsmodell , Nordkoreaner ins Ausland zu schicken, um Cyberoperationen durchzuführen, wird besonders relevant, wenn man die Mittel, mit denen diese Hacker Geld für das Regime verdienten, mit dem von uns analysierten Webverkehr der nordkoreanischen Elite vergleicht. Überläufer haben detailliert beschrieben, in welchem Ausmaß das Fälschen und Betrügen von Video- und Online-Spielen und -Nutzern für die Generierung von Einnahmen für das Kim-Regime entscheidend geworden ist. Ein Überläufer, der mit Dutzenden anderer nordkoreanischer Hacker in einem Haus in China gearbeitet hatte, berichtete, dass diese Männer fast 100.000 Dollar pro Jahr verdienen mussten, von denen 80 Prozent an das Kim-Regime zurückgeschickt wurden. Um diese Anforderung zu erfüllen, entwickelten die Männer gefälschte Videospiele; Bots, die digitale Gegenstände wie Waffen, Punkte und Ausrüstung gestohlen haben; verkaufte sie mit Gewinn weiter; und entdeckte und verkaufte neue Schwachstellen in Spielesoftware.

Die folgende Liste stellt eine umfassendere Nutzung von Online-Spielen durch die nordkoreanische Elite seit Juli 2017 dar und könnte Forschern Hinweise darauf geben, welche Spiele nordkoreanische Hacker im Ausland ausnutzen, um Einnahmen für das Regime zu generieren. Es ist nicht klar, welcher Anteil dieser Art von Einnahmen aus dem Territorium Nordkoreas stammt. Es ist jedoch klar, dass ausländische Betreiber oft Bots oder Gaming-Hacks für Plattformen und Dienste entwickelten, mit denen sie bereits vertraut waren.

• 0AD: Aufsteigendes Imperium
• Pik-Ass
• Beben
• Die Marathon-Trilogie-Spiele
• Bewaffneter Angriff 1-3
• World of Warcraft
• Würfel 2: Sauerbraten
• Diablo 2
• League of Legends
• Zweites Leben
• Konten und Spiele auf Steam

Die nordkoreanische Elite nutzt außerdem zahlreiche Spielkonsolen oder -systeme, darunter Nintendo und PlayStation, sowie Spielespeicher- und Kontoanbieter wie Steam und Blizzard.

Präsenz im Ausland

Im Rahmen unserer Untersuchung im Juli haben wir eine Heuristik entwickelt, um bedeutende physische und virtuelle Präsenzen Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik berücksichtigte überdurchschnittliche Internetaktivitäten Nordkoreas von und zu diesen Ländern, aber auch das Durchsuchen und Verwenden zahlreicher lokaler Ressourcen wie Nachrichtenagenturen, Bezirks- oder Stadtverwaltungen, lokaler Bildungseinrichtungen und mehr.

Mithilfe dieser Technik konnten wir acht Länder identifizieren, in denen Nordkoreaner lebten oder sich aufhielten, darunter Indien, Malaysia, Neuseeland, Nepal, Kenia, Mosambik, Indonesien und China. Für diesen Datensatz von Dezember bis März haben wir die Daten für diese acht Länder erneut untersucht und Beispiele von Ländern aufgenommen, die nicht in das Muster passten, um eine höhere Genauigkeit der analytischen Schlussfolgerungen zu erreichen.

Top-Exportziele für Nordkorea im Jahr 2015 (Daten mit freundlicher Genehmigung des MIT Observatory of Economic Complexity). China, Indien, Indonesien, Thailand, Bangladesch, Nepal (als Teil von "Sonstiges Asien") und Mosambik gehören zu dieser Liste der Top-Exportziele.

Von den acht im letzten Sommer ermittelten Ländern entsprechen lediglich Malaysia und Neuseeland nicht mehr der Verhaltensheuristik, allerdings auf leicht unterschiedliche Weise.

In Neuseeland blieb das Verkehrsaufkommen zwar relativ konstant, aber die Aktivität wies nicht mehr die zweite Hälfte der Heuristik (lokale Ressourcen und mehr) auf, sondern schien in erster Linie eine Drehscheibe für nordkoreanische Bittorrent-, Videostreaming- und Gaming-Dienste zu sein. Anfang Januar versuchte ein IP der neuseeländischen Streitkräfte über einen Zeitraum von drei Tagen wiederholt, sich mit nordkoreanischen Netzwerken zu verbinden. Die Aktivitäten wiederholten sich und waren laut, aber nicht auf einem Niveau, das zu einer Unterbrechung der nordkoreanischen Internetdienste geführt hätte.

Es ist möglich, dass Neuseeland einigen nordkoreanischen Operationsaktivitäten durch Maßnahmen entgegenwirkte, die es im August 2017 ergriffen hatte, um nordkoreanischen Akademikern Visa zu verweigern , und durch seine Unterstützung der Sanktionsregelungen der Vereinten Nationen und der Vereinigten Staaten.

In Malaysia ist das Verkehrsaufkommen zwar deutlich zurückgegangen, es gibt dort aber offensichtlich auch einige Nordkoreaner. So beobachten wir beispielsweise, dass von Kuala Lumpur aus wiederholt offizielle E-Mail-Konten Nordkoreas überprüft werden. Allerdings ist der Umfang der lokalen nordkoreanischen Aktivitäten wesentlich geringer als im vergangenen Sommer.

Die Beziehungen zwischen Malaysia und Nordkorea haben sich seit letztem Sommer und nach der Ermordung von Kim Jong-nam erheblich verschlechtert. Malaysia hat seinen Botschafter in Pjöngjang abberufen, Beschränkungen für nordkoreanische Gastarbeiter, Unternehmen und Flüge verhängt , ein Reiseverbot verhängt und könnte Nordkorea auffordern, die Größe seiner Vertretung in Kuala Lumpur zu reduzieren.

Zusätzlich zu den verbleibenden sechs Ländern – Indien, Nepal, Kenia, Mosambik, Indonesien und China – wiesen die Internetaktivitäten zweier weiterer Länder das gleiche Verhaltensmuster auf: Thailand und Bangladesch. Wir gehen davon aus, dass diese acht Länder wissentlich oder unwissentlich Nordkoreaner beherbergen. Diese Nordkoreaner betreiben wahrscheinlich illegale Einnahmequellen mit der Absicht, internationale Sanktionen zu umgehen oder sich eine höhere Bildung anzueignen, um die nordkoreanischen Atomwaffen- und Cyberoperationsprogramme voranzutreiben.

Im ersten Teil unserer Untersuchung zu den strategischen Beweggründen für die Durchführung von Cyberoperationen haben wir einige der umfangreichen kriminellen Operationen im Ausland detailliert beschrieben, mit denen das Kim-Regime Gelder für die Raketen- und Atomentwicklungsprogramme des Landes erhält.

Nordkoreas illegale Netzwerke zur Generierung von Einnahmen wurden von Forschern, Reportern und Akademikern ausgiebig untersucht. Diese und zahlreiche weitere Studien zeigen, wie Nordkorea seine diplomatischen Einrichtungen im Ausland, seine staatliche Restaurantkette und seine im Ausland lebenden Bürger nutzt, um die Generierung illegaler Einnahmen sowie die Ausbildung von Nuklear - und Cyberoperationen zu erleichtern.

In Thailand und Bangladesch gibt es staatliche nordkoreanische Restaurants, diplomatische Einrichtungen, die mit kriminellen Aktivitäten in Verbindung gebracht werden, und nordkoreanische Investitionen. Die digitale Signatur, die wir entwickelt und angewendet haben, ist nur ein weiterer Datenpunkt, der unser Vertrauen in die Aufnahme dieser beiden Nationen in diese Liste stärkt.

Hohes Volumen, aber keine Signaturübereinstimmung

Mehrere Länder zeigten ein hohes Aktivitätsvolumen im Vergleich zu den nordkoreanischen Reichweiten, erfüllten jedoch nicht die zweite bzw. lokale Hälfte der Heuristik. Insbesondere unter den Top-10-Ländern wurden die meisten dieser Länder von nordkoreanischen Benutzern lediglich für Video-Streaming, Content-Delivery oder VPN/VPS-Dienste genutzt.

Top 10 Länder mit der höchsten Internetaktivität von oder nach Nordkorea (tatsächliche Zahlen).

Interessanterweise scheinen die Video-Streaming- und Content-Delivery-Netzwerke von Alibaba den aus Nordkorea stammenden Datenverkehr über US-Server zu leiten, was der Haupttreiber der US-Aktivitäten war. Im Falle der Niederlande und Deutschlands wurde die Infrastruktur beider Länder massiv ausgenutzt, um Aktivitäten zu verschleiern, hauptsächlich durch VPN- oder VPS-Dienste und Tor-Exit-Knoten.

Dies steht in krassem Gegensatz zum letzten Sommer, als weniger als ein Prozent aller nordkoreanischen Internetaktivitäten in irgendeiner Form verschleiert oder verborgen wurden. Die Gründe für diesen Wechsel zu europäischen Anbietern sind nicht klar, wir gehen jedoch davon aus, dass die Umsetzung der DSGVO und der europäische Fokus auf den individuellen Datenschutz im Internet Gründe dafür sein könnten.

Kryptowährungsaktivität

Seit unseren ersten Berichten , dass Nordkorea seit mindestens Mai 2017 Bitcoin schürft, ist das Interesse des Nordens an und die Ausbeutung von Kryptowährungen explodiert. Im Jahr 2017 beging Nordkorea zahlreiche Diebstähle von südkoreanischen Kryptowährungsbörsen, wurde mit dem WannaCry-Angriff im Mai in Verbindung gebracht und hat begonnen, Monero zu minen.

In diesem neuen Datensatz sehen wir ein erweitertes Interesse der nordkoreanischen Eliten an Kryptowährungen und eine Fortsetzung des Bitcoin-Mining. Obwohl unsere Daten uns keinen Einblick in den vollen Umfang der Bitcoin-Aktivitäten Nordkoreas geben, konnten wir eine Fortsetzung der Mining-Aktivitäten feststellen, die wir im Mai vom 24. Januar bis zum Ende dieses Datensatzes am 15. März beobachtet haben. Das Verkehrsaufkommen und die Kommunikationsrate mit Peers waren dieselben wie im letzten Sommer, wir konnten jedoch immer noch keine Hash-Rate oder keinen Build bestimmen. Dieser Mining-Aufwand scheint klein angelegt und auf wenige Maschinen beschränkt zu sein, ähnlich der Aktivität im letzten Sommer.

Wir haben auch gesehen, dass wahrscheinlich ein separater Benutzer die Bitcoind-Schnittstelle nutzt, die eine lokale oder ferngesteuerte Steuerung und Integration mit anderer Software oder in größere Zahlungssysteme ermöglicht. Dies ist ein starker Indikator dafür, dass nordkoreanische Benutzer Bitcoin-Transaktionen durchführen, aber wir können nicht bestätigen, was gekauft wurde, welche Wallets damit verbunden sind oder wie viele Coins der Benutzer besessen hat.

Zusätzlich zu den oben beschriebenen Bitcoin-Aktivitäten haben wir ab dem 29. Januar Monero-Mining aus nordkoreanischen Netzwerken beobachtet. Diese Aktivität wurde bis zum Ende unseres Datensatzes am 15. März fortgesetzt. Das Monero-Mining ähnelt dem Bitcoin-Mining, da es dieselbe „Proof-of-Work“-Methode verwendet, bei der man den Hash finden muss, der einem bestimmten Zielwert entspricht.

Monero unterscheidet sich von Bitcoin dadurch, dass Monero wirklich anonym ist. Alle Transaktionen werden innerhalb der Blockchain verschlüsselt, so dass nur der Absender oder Empfänger einer Transaktion den anderen entdecken kann. Monero unterscheidet sich auch dadurch, dass es für das Mining von Maschinen mit geringerer Kapazität konzipiert wurde und seine Mining-Ports dazu neigen, je nach Kapazität zu skalieren. Zum Beispiel verwenden viele Miner Port 3333 für Low-End-Maschinen und Port 7777 für High-End-Maschinen mit höherer Kapazität. In diesem Fall beobachteten wir das Mining über Port 7777, was darauf hindeutet, dass eine Maschine mit höherer Kapazität das Mining durchführte, und auch eine höhere Hash-Rate. Die Portnummern und die Aktivität, die wir beobachteten, reichten nicht aus, um die Hash-Rate zu bestimmen – alles, was wir beurteilen konnten, war, dass Mining stattfand.

Verschleierte Aktivität

Ein weitaus höherer Prozentsatz – fast 13 Prozent – der Internetaktivitäten der Führungsebene wurde in diesem Zeitraum auf die eine oder andere Weise verschleiert, im Gegensatz zu weniger als einem Prozent Aktivität im letzten Sommer. Von April bis Juli 2017 wurden weniger als ein Prozent aller nordkoreanischen Internetaktivitäten verschleiert. Im Laufe von etwa sechs Monaten hat die nordkoreanische Führung die Art und Weise, wie sie im Internet surft, sucht und Inhalte abruft, erheblich verändert.

Prozentualer Anteil der Nutzung von Verschleierungsdiensten durch die nordkoreanische Führung insgesamt.

Das Point-to-Point Tunneling Protocol (PPTP) war der am weitesten verbreitete Verschleierungsdienst, gefolgt von wahrscheinlich HTTPS (über Port 443) oder gesichertes Browsen und dem IPSec-VPN.

Von April bis Juli 2017 verschleierte die nordkoreanische Führung weniger als ein Prozent ihrer gesamten Internetaktivitäten – dazu gehörten TLS-fähiges Surfen, die Verwendung von VPN oder VPS und anderen Tunneling-Protokollen oder sogar die Verwendung von Tor. Bis Dezember hatten die nordkoreanischen Nutzer ihr Surfverhalten grundlegend geändert und die Nutzung von Verschleierungsdiensten um das Zwölffache erhöht.

Wenn man bedenkt, dass 70 Prozent der nordkoreanischen Internetaktivität aus Internetvideos oder Online-Spielen besteht, stellen 13 Prozent einen beträchtlichen Anteil des verbleibenden Webverkehrs dar, was unseren Blick auf die Aktivitäten der Führung noch weiter einschränkt.

Netzwerkanalyse

Am 1. Oktober 2017 beobachteten Forscher , dass ein russisches Telekommunikationsunternehmen, Trans TeleCom (AS 20485), in den Internet-Routing-Datenbanken für Nordkoreas primären IP-Bereich 175.45.176.0/22 auftauchte. Vor Oktober 2017 wurde Nordkoreas wichtigste Verbindung zum globalen Internet vom chinesischen Telekommunikationsunternehmen China Unicom (AS4837) bereitgestellt.

Zu unterschiedlichen Zeiten werden am 1. Oktober drei der vier Subnetze von 175.45.176.0/22 (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 und 175.45.179.0/24) wurden von Trans Telecom geroutet , bis sich die Verbindung stabilisiert hatte, und dann nur noch die 175.45.178.0/24 Das Subnetz wurde weiterhin über die Trans Telecom-Infrastruktur übertragen, während die anderen drei China Unicom nutzten.

Von Dezember 2017 bis 15. März 2018 nur die 175.45.178.0/24 Subnetz wurde immer über Trans Telecom geleitet, während die anderen drei weiterhin über die Infrastruktur von China Unicom geleitet wurden. Obwohl Nordkorea durch die Trans-Telecom-Route über einen alternativen Internetzugang verfügt, wird dieser offenbar nur für etwa ein Drittel der gesamten Internetaktivitäten Nordkoreas genutzt.

Nutzung jedes Subnetzes innerhalb des primären Bereichs von 175.45.176.0/24 als Prozentsatz des gesamten Datenverkehrs.

Das Subnetz 176 erzeugt die meisten Aktivitäten, da es die überwiegende Mehrheit der öffentlich zugänglichen Websites Nordkoreas hostet. Darüber hinaus besteht dieses Subnetz aus einer Reihe von gemeinsam genutzten Servern, die sowohl Websites hosten als auch ausgehenden Datenverkehr weiterleiten, sowie Proxys und Load Balancer. Unsere Analyse zeigt beispielsweise, dass Nordkorea einen F5 BIG-IP-Load-Balancer verwendet, um ausgehenden Datenverkehr über mindestens acht IP-Adressen in diesem Subnetz zu verteilen. Load Balancer verwalten den ein- und ausgehenden Internetverkehr und verteilen ihn auf eine bestimmte Anzahl von Servern, um die Kapazität und Netzwerkzuverlässigkeit für gleichzeitige Benutzer zu erhöhen.

Für viele, die versucht haben, auf eine der in Nordkorea gehosteten Websites zuzugreifen, mag dies überraschend klingen, da das Laden dieser Seiten bekanntermaßen langsam ist und häufig mehrere Versuche erforderlich sind, bevor der Inhalt angezeigt wird. Unsere Analyse zeigt, dass dieser Lastausgleich in erster Linie für die gemeinsam genutzten Server genutzt wird und seine Leistung wahrscheinlich sowohl durch das Fehlen eines redundanten Systems als auch durch die Belastung der begrenzten Bandbreite aufgrund der Menge an Video-Streaming und Online-Gaming beeinträchtigt wird.

Dies bedeutet, dass sich hinter jeder dieser IP-Adressen wahrscheinlich mehrere physische Computer verbergen, obwohl nicht genau bekannt ist, wie viele das sind. Das Volumen der Internetaktivität, das wir von und zu nordkoreanischen IP-Bereichen beobachtet haben, ist ziemlich gering, insbesondere für ein nationales Netzwerk. Da nur ein so kleiner Prozentsatz der Bevölkerung Zugriff auf das globale Internet hat, entspricht die Anzahl der Computer hinter diesen Subnetzen eher dem Äquivalent eines mittelgroßen Unternehmens als einem Land mit der entsprechenden Bevölkerungszahl (ungefähr 25 Millionen).

Für die 210.52.109.0/24 Bereich, Routing-Tabellen bestätigen, dass der Zugangspunkt von China Netcom unter AS9929 verwaltet wird. Aus den Routingdaten geht außerdem hervor, dass Daten aus diesem Bereich in mindestens der Hälfte der Fälle auch über eine Sprint zugewiesene Autonomous System Number (AS oder ASN), AS1239, geroutet werden. Es ist nicht klar, ob dieser Weg tatsächlich über die physische Infrastruktur in den Vereinigten Staaten führt oder ob er das Ergebnis einer gemeinsamen AS-Mitgliedschaft ist.

Im Oktober 2017 führten Sicherheitsforscher eines Antiviren-Unternehmens eine Umfrage zu diesem Thema durch 175.45.176.0/22 und spekulierte, dass bestimmte IP-Adressen ausländischen Besuchern zugewiesen und speziell für deren Internetzugang verwendet werden. Dies basierte darauf, dass "Web-Traffic" von dreizehn IP-Adressen in der 175.45.178.0/24 Subnetz.

Unsere Analyse zeigt, dass der „Web-Verkehr“ von nordkoreanischen IP-Adressen nicht ausreicht, um die Nutzung durch Ausländer zu bestimmen. Andernfalls könnte dieser gesamte /22-Bereich als ausländischen Besuchern zugeordnet angesehen werden. Wir haben Internet-Browsing, Video-Streaming, Online-Gaming, VPN-Nutzung und andere Arten von Datenverkehr von den dreizehn identifizierten IP-Adressen festgestellt. Dieser Verkehr machte weniger als 0,5 Prozent unseres gesamten beobachteten Verkehrs aus und wir haben ihn aus unserer Gesamtanalyse ausgeschlossen, da er statistisch unbedeutend war.

Ausblick

Bereits im Juli argumentierten wir, dass unsere Untersuchungen gezeigt hätten, wie stark die herrschende Elite Nordkoreas mit der modernen Internet-Gesellschaft vernetzt sei und dass die internationalen Sanktionen nicht ausgereicht hätten, um Nordkorea von der Außenwelt zu isolieren. Darüber hinaus erklärten wir, dass neue Instrumente und Beziehungen erforderlich seien, um einen nachhaltig negativen Einfluss auf das Kim-Regime auszuüben.

In den Monaten seit diesem ersten Bericht haben wir erhebliche Veränderungen festgestellt, sowohl in der Art und Weise, wie die nordkoreanische Elite das Internet nutzt, als auch in der Vielfalt der internationalen Beteiligung an Sanktionen und Druck auf das Kim-Regime. In weniger als einem halben Jahr hat die nordkoreanische Führung die von ihr genutzten Internetdienste und ihr Verhalten im Internet grundlegend verändert, um die Anonymität zu erhöhen. Sie haben Kryptowährungen als Mittel zur Umgehung von Sanktionen verfolgt und versucht, Gelder von Finanzinstituten weltweit zu stehlen.

Die nordkoreanische Elite der Internetnutzer passt sich an ihr sich veränderndes digitales Umfeld an, da die physischen Sanktionen weiter verschärft werden und Koalitionen von Nationen die Aktivitäten mit dem Kim-Regime abbrechen. Unsere Einschätzung vom Juli, dass neue Instrumente, die sich nicht auf das territoriale Nordkorea konzentrieren, erforderlich sind, um einen dauerhaften negativen Einfluss auf das derzeitige Kim-Regime zu erzielen, hat jedoch nach wie vor Bestand. Die Sachverständigengruppe der Vereinten Nationen für Nordkorea konzentriert sich weiterhin eng auf den cybergestützten Diebstahl von Militärgeheimnissen, und die US-Sanktionen haben sich noch nicht mit Cyberoperationen befasst.

Die Breite der Internetnutzung Nordkoreas – vom Surfen der politischen Führung über die Erzielung von Einnahmen bis hin zu taktischen Cyberoperationen – zeigt, wie unverzichtbar dieses Medium für das Kim-Regime ist. Zu den internationalen Bemühungen, die Aktivitäten und den Handlungsspielraum dieses Schurkenstaates einzuschränken, müssen auch Sanktionen oder Strafmaßnahmen gegen die Cyber-Operationen Nordkoreas gehören.

Für Cybersicherheitsexperten und Netzwerkverteidiger unterstreicht dieser Wandel im Internetverhalten der Führung weiterhin, wie komplex die Verteidigung gegen böswillige nordkoreanische Cyberaktivitäten sein kann. Wir empfehlen Finanzdienstleistungsunternehmen, Banken, Kryptowährungsbörsen, Benutzern und allen, die den THAAD-Einsatz des US-amerikanischen und südkoreanischen Militärs sowie die Operationen auf der Halbinsel unterstützen, weiterhin höchste Wachsamkeit und Bewusstsein für die erhöhte Bedrohungslage in ihren Netzwerken walten zu lassen.

Ebenso sollten Energie- und Medienunternehmen – insbesondere jene, die in Südkorea ansässig sind oder diese Sektoren unterstützen – vor einer breiten Palette von Cyberaktivitäten aus Nordkorea auf der Hut sein, darunter DDoS-Angriffe, zerstörerische Malware und Ransomware-Angriffe. Generell sollten sich Organisationen aller Branchen weiterhin der Anpassungsfähigkeit von Ransomware bewusst sein und ihre Cybersicherheitsstrategien der Entwicklung der Bedrohung entsprechend anpassen.

¹Bei der heuristischen Analyse handelt es sich um einen Problemlösungsansatz, der durch methodische Annäherung ein Analyseergebnis ermittelt, das auf der Anwendung mehrerer Kriterien auf die zugrunde liegenden Daten beruht. In diesem Fall handelt es sich um das Ergebnis einer eingehenden Analyse eines großen Datensatzes in Kombination mit einer genauen Kenntnis des wahrscheinlichen Handlungsumfelds im Ausland lebender nordkoreanischer Staatsangehöriger.

²Acht ist keine magische Zahl – es scheint lediglich die Anzahl der Länder zu sein, in denen das Verhalten zur Signatur passt.