_Hinweis zum Geltungsbereich: Die Insikt Group untersuchte die Internetaktivitäten der nordkoreanischen Führungsspitze, indem sie mithilfe einer Reihe von Tools Daten von Drittanbietern, IP-Geolokalisierung, Routingtabellen des Border Gateway Protocol (BGP) und Open Source Intelligence (OSINT) analysierte. Die für diesen Bericht analysierten Daten erstrecken sich vom 16. März 2018 bis zum 30. August 2018.

Dieser Bericht dürfte für Ministerien und Organisationen in den Bereichen Technologie, Finanzen, Verteidigung, Kryptowährungen und Logistik von größtem Interesse sein, ebenso wie für jene, die die Umgehung nordkoreanischer Sanktionen, illegale Finanzierung und staatlich geförderte Cyber-Spionage untersuchen._

Executive Summary

Im Laufe der letzten anderthalb Jahre hat Recorded Future eine Reihe von Forschungsbeiträgen veröffentlicht, die einzigartige Einblicke in das Verhalten der obersten Führung Nordkoreas gewähren. Wir haben herausgefunden, dass die herrschende Elite Nordkoreas technisch versiert ist, eine ganze Palette älterer und hochmoderner Computer, Telefone und Geräte verwendet, das Internet als Mittel zur Umgehung von Sanktionen einsetzt und in jüngster Zeit vermehrt chinesische soziale Netzwerke westlichen vorzieht.

In diesem letzten Teil unserer Serie untersuchen wir die Beständigkeit von Trends in den Bereichen Internetsicherheit, Social-Media-Nutzung und Kryptowährung und geben tiefere Einblicke in die Art und Weise, wie Nordkorea das Internet nutzt, um Einnahmen für das Kim-Regime zu generieren. Insbesondere die veränderten Muster in der Internetnutzung der herrschenden Elite zeigen, wie anpassungsfähig und innovativ die obersten Führungspersönlichkeiten Nordkoreas sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausnutzung des Internets entwickelt, und die Führung greift schnell auf neue Dienste oder Technologien zurück, wenn diese nützlich sind, und wirft sie beiseite, wenn sie nicht nützlich sind.

Wichtige Urteile

• Veränderungen im Lebenswandel und bei den Inhalten deuten darauf hin, dass das Internet für die oberste Führung Nordkoreas wahrscheinlich immer häufiger zu einem beruflichen Werkzeug wird. Da die Führungsspitze immer internetaffiner wird und ihre Internetnutzung professionalisiert, werden sich die bestehenden Herausforderungen bei der Sanktionsdurchsetzung und der Verteidigung von Computernetzwerken verschärfen.
• Die nordkoreanische Führungsspitze weist heute eine deutlich größere operative Sicherheit auf als Anfang 2017. Dieses Bewusstsein sowie die zunehmende weltweite Nutzung großer Domain-Hosting- und Internet-Infrastrukturanbieter haben mit der Zeit unsere Transparenz in Bezug auf die täglichen Internetaktivitäten der herrschenden Elite Nordkoreas beeinträchtigt.
• Mithilfe einer Verhaltensheuristik haben wir mehrere Länder ermittelt, die wahrscheinlich nordkoreanische Arbeitnehmer aufnehmen, die in der Dienstleistungs- oder Informationswirtschaft beschäftigt sind und keine rein manuellen Arbeitskräfte. Zu diesen Ländern gehören China, Indien, Nepal, Bangladesch, Mosambik, Kenia, Thailand und Indonesien.
• Wir haben einen asset-backed Kryptowährungsbetrug namens Marine Chain entdeckt, der von einem Netzwerk nordkoreanischer Unterstützer in Singapur betrieben wird, sowie mindestens eine weitere Betrugsmünze namens Interstellar, Stellar oder HOLD (nach einem Tausch kürzlich in HUZU umbenannt), die möglicherweise ebenfalls mit Nordkorea in Verbindung steht.
• Die Abkehr von westlichen sozialen Medien und Diensten, die wir Anfang 2018 beobachtet haben, hat sich – mit Ausnahme von LinkedIn – fortgesetzt. Wir konnten beobachten, dass die nordkoreanische Führung LinkedIn ab April 2018 zwar in geringem Umfang, aber regelmäßig und konsequent nutzte. Es war uns nicht möglich, einzelne LinkedIn-Benutzer zu identifizieren.

Hintergrund

Wie unsere Recherchen seit April 2017 gezeigt haben, gibt es unter den höchsten Führungspersönlichkeiten Nordkoreas einige wenige, denen direkter Zugang zum globalen Internet gestattet ist. Es gibt zwar keine verlässlichen Zahlen über nordkoreanische Internetnutzer, aber Reporter schätzen, dass es "nur eine sehr kleine Anzahl" über "den inneren Kreis der nordkoreanischen Führung" bis hin zu "nur ein paar Dutzend Familien" gibt. Unabhängig von der genauen Zahl ist das Profil eines nordkoreanischen Internetnutzers eindeutig: Er ist ein vertrauenswürdiges Mitglied oder Familienmitglied der herrschenden Klasse.

Die nordkoreanische Elite greift auf drei wesentliche Wege auf das globale Internet zu. Die erste Methode erfolgt über die zugewiesene .kp Bereich, 175.45.176.0/22, der auch die einzigen über das Internet zugänglichen Websites des Landes hostet. Dazu gehören neun Top-Level-Domains wie co.kp, gov.kp und edu.kp sowie etwa 25 Subdomains für verschiedene nordkoreanische staatliche Medien-, Reise- und Bildungsseiten.

Die zweite Methode erfolgt über einen von China Netcom zugewiesenen Bereich, 210.52.109.0/24. Der Netzname "KPTC" ist die Abkürzung für Korea Posts and Telecommunications Co., das staatliche Telekommunikationsunternehmen. Die dritte Methode erfolgt über einen zugewiesenen Bereich, 77.94.35.0/24, der von einem russischen Satellitenunternehmen bereitgestellt wird und derzeit zu SatGate im Libanon auflöst.

Die Chronologie der Ereignisse im Zusammenhang mit dem geistigen Eigentum Nordkoreas reicht von März bis August 2018.

Darüber hinaus haben wir, wie wir bereits im April festgestellt haben, die 175.45.176.0/22 Die Reichweite wird sowohl von China Unicom (AS4837) als auch von der russischen TransTelekom (AS20485) geleitet. Von den vier Subnetzen dieser Reihe (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 und 175.45.179.0/24), Wir beobachteten weiterhin nur die 175.45.178.0/24 die über TransTelekom geleitet werden; die anderen drei wurden ausschließlich von China Unicom geleitet.

Hinweis: Wenn wir von nun an von „nordkoreanischen Internetaktivitäten“ oder „nordkoreanischem Verhalten“ sprechen, meinen wir damit die Nutzung des globalen Internets, zu dem nur einige wenige Führer und die herrschende Elite Zugang haben, nicht jedoch das nordkoreanische Intranet (Kwangmyong). Diese Daten geben uns keinen Einblick in die Intranet-Aktivitäten oder das Verhalten der größeren Gruppe privilegierter Nordkoreaner, die Zugang zu Kwangmyong oder zu diplomatischen und ausländischen Einrichtungen in Nordkorea haben.

Internetnutzung konstant – Musterverschiebungen seit April 2017

Die unterschiedlichen Muster der täglichen Internetnutzung der nordkoreanischen Führer sind seit April 2017 unverändert geblieben. Im Allgemeinen ist die Aktivität zwischen etwa 8:00 Uhr und 20:00 oder 21:00 Uhr am höchsten.

Tägliche Internetnutzung pro Stunde (kein Durchschnitt) von März bis August 2018.

Allerdings haben sich die Tage mit der höchsten Aktivität im Laufe der Zeit verschoben. Im Jahr 2017 waren Samstage und Sonntage durchweg die Tage mit der höchsten Aktivität. Insbesondere Samstagnacht und am frühen Sonntagmorgen kam es zu Spitzenzeiten, die vor allem aus Online-Gaming oder Content-Streaming bestanden. Im Laufe des Jahres 2018 hat sich dieses Muster verschoben: Die Internetnutzung an herkömmlichen Werktagen (Montag bis Freitag) hat zugenommen, während die Nutzung am Wochenende zurückgegangen ist. An Samstagen und Sonntagen dominieren nach wie vor Content-Streaming und Gaming, allerdings machen diese Aktivitäten einen geringeren Anteil an der gesamten wöchentlichen Internetnutzung aus als im letzten Jahr.

Tägliche Internetnutzung nach Stunden und Tagen (kein Durchschnitt) von März bis August 2018.

Tägliche Internetnutzung nach Stunden (kein Durchschnitt) vor März 2018.

Während die Ursachen für diese Verschiebung unbekannt sind, deutet diese Anpassung im Laufe der Zeit darauf hin, dass die Internetnutzung zu einem größeren Teil des Arbeitsalltags der nordkoreanischen Führung geworden ist. Im August 2018 schloss Nordkorea den Außenbau seines neuen Hauptquartiers des Internet Communication Bureau in Pjöngjang ab. Laut North Korea Tech ist der Zweck des neuen Hauptquartiers nicht klar, aber es könnte sich auf den Zugang zum globalen Internet konzentrieren.

Es scheint, dass das neue Gebäude dazu beiträgt, Pjöngjangs Anbindung an das globale Internet zu erleichtern. Seine genaue Funktion wurde jedoch nicht bekannt gegeben. Vielleicht soll es auch dazu dienen, Server zu beherbergen, die die wenigen Websites bereitstellen, die Pjöngjang im Internet betreibt, oder es soll als Gateway-Zentrale dienen, die den gesamten Datenverkehr zwischen Nordkorea und dem Rest der Welt überwacht und kontrolliert.

Möglicherweise könnte dieser Wandel im Nutzungsverhalten in Verbindung mit der Fertigstellung des Hauptsitzes des Internet Communication Bureau eine Professionalisierung der Internetnutzung in der obersten Führung Nordkoreas bedeuten. Dies würde bedeuten, dass diese Führungskräfte das Internet in stärkerem Maße im Rahmen ihrer Arbeit und nicht nur zu ihrer eigenen Unterhaltung nutzen.

Operatives Sicherheitsverhalten moderiert

In unserer Analyse vom April fielen uns zwei dramatische Verhaltenstrends bei nordkoreanischen Internetnutzern auf. Zunächst kam es zu einem deutlichen Anstieg bei der Verwendung operativer Sicherheitstechniken wie virtuellen privaten Netzwerken (VPN), virtuellen privaten Servern (VPS), Transport Layer Security (TLS) und The Onion Router (Tor). Im April stellten wir einen Anstieg der Nutzung dieser Dienste durch die nordkoreanische Führung um 1.200 Prozent fest. Dies bedeutet eine deutliche Abkehr von ihrem früheren Verhalten, bei dem die Internetaktivitäten überwiegend ungeschützt waren.

Seitdem hat sich dieser Anstieg der operativen Sicherheitsmaßnahmen abgeschwächt. Anfang 2018 machte das verschleierte Surfen 13 Prozent aller Internetaktivitäten der nordkoreanischen Führung aus. Bis September 2018 sank dieser Prozentsatz auf knapp über fünf Prozent. Bisher war die Verwendung von VPN-Technologien für 63 Prozent der verschleierten Internetaktivitäten verantwortlich. In den darauffolgenden sechs Monaten sank die VPN-Nutzung durch die nordkoreanische Führung auf nur noch 50 Prozent der verschleierten Aktivitäten. Die Verwendung von HTTPS (über Port 443) bzw. sicheres Surfen stieg auf 49 Prozent des betrieblich sicheren Surfens. Insgesamt ist jedoch die geringere VPN-Nutzung für den größten Teil des Rückgangs beim verschleierten Surfen verantwortlich.

Die Gründe für diesen Rückgang der VPN-Nutzung durch die nordkoreanische Führung sind in unseren Daten nicht sofort klar. Auf der einen Seite können einige VPN-Protokolle rechenintensiv oder unzuverlässig sein, die meisten erfordern ein Abonnement und regelmäßige Zahlungen, und viele haben Gerätelimits oder akzeptieren immer noch keine Kryptowährungen. Auf der anderen Seite verfügen die meisten VPN-Dienstanbieter über eine Anwendung und einfach zu konfigurierende Anweisungen. Darüber hinaus ist der Preis für VPNs so weit gesunken, dass Benutzer seriöse und zuverlässige VPNs für nur 3 US-Dollar pro Monat nutzen können.

Am wahrscheinlichsten ist, dass nordkoreanische Internetnutzer zunächst aufgrund eines externen Anreizes oder einer Anforderung strengere Methoden zum Schutz ihrer Privatsphäre im Internet übernahmen. Im April dieses Jahres kamen wir zu dem Schluss, dass diese Verhaltensänderung wahrscheinlich die Folge der zunehmenden internationalen Aufmerksamkeit für die Internet- und Medienaktivitäten Nordkoreas, der Durchsetzung eines offiziellen Verbots oder einer neuen operativen Sicherheitsanforderung war.

Die Auferlegung einer Anforderung oder Richtlinie für nordkoreanische Benutzer war der wahrscheinlichste Grund für die dramatische Erhöhung der Internetsicherheit, der diese anschließende Mäßigung folgte. Diese Forderung führte wahrscheinlich dazu, dass die nordkoreanischen Führungsnutzer verstärkt Sicherheitsmaßnahmen ergriffen, die dann mit der Zeit wieder abnahmen, da die Kosten in Bezug auf Zeit, Geld und Zugänglichkeit den Nutzen zu übersteigen begannen.

Kontinuierliche Nutzung chinesischer sozialer Medien seit Anfang 2018

Anfang 2018 konnten wir beobachten, wie die Nordkoreaner fast vollständig von westlichen sozialen Medien und Diensten abwandten und zu ihren chinesischen Pendants wechselten. Diese Änderung erfolgte im Laufe von sechs Monaten, von Ende 2017 bis Anfang 2018. Die Nutzer der nordkoreanischen Führung wechselten abrupt von Diensten wie Facebook, Instagram und Google zu Diensten ihrer chinesischen Pendants wie Baidu, Alibaba und Tencent.

Seit dem 1. März 2018 hält diese Abwanderung von westlichen sozialen Medien und Diensten an. Die nordkoreanische Führung nutzt Alibaba doppelt so häufig wie jeden anderen Dienst – ob westlich oder chinesisch. Zu den Aktivitäten auf Alibaba zählen Video- und Spiele-Streaming, Suche und Shopping.

Stündliche Aktivität auf acht sozialen Netzwerken, Shopping- und Suchseiten vom 1. März 2018 bis zum 28. August 2018 (tatsächlich). Die Anbieter werden nach Popularität aufgelistet, von Alibaba (höchste Popularität) bis Instagram (niedrigste Popularität).

Während die Nutzung nordkoreanischer Führungspersönlichkeiten in den meisten US-Diensten weiterhin abnahm, konnten wir seit April 2018 einen Anstieg bei der Nutzung von LinkedIn beobachten. Das Aktivitätsvolumen auf LinkedIn war niedriger als die Werte, die wir im Juli 2017 auf Facebook oder Instagram beobachtet haben. Die Nutzung von LinkedIn war jedoch regelmäßig und hielt bis zum Ende dieses Datensatzes im August 2018 an. Die Datenverkehrszahlen deuten darauf hin, dass es im Jahr 2017 deutlich weniger aktuelle LinkedIn- als Facebook-Nutzer gibt, stellen jedoch einen interessanten Kontrast zur anhaltenden Abkehr von westlichen sozialen Netzwerkdiensten dar.

Zunahme der Kryptowährungsausnutzung

Bei unseren früheren Untersuchungen haben wir festgestellt, dass die nordkoreanische Führung sowohl Bitcoin als auch Monero schürfte, wenn auch in begrenztem bzw. relativ kleinem Umfang. Für diesen Zeitraum (März 2018 bis August 2018) waren das Verkehrsaufkommen und die Kommunikationsrate mit Peers für beide Coins dieselben wie im letzten Jahr, und wir konnten noch immer keine Hash-Raten oder Builds bestimmen. Wir gehen davon aus, dass diese speziellen Mining-Bemühungen wahrscheinlich noch in kleinem Maßstab stattfinden und auf nur wenige Maschinen beschränkt sind.

Was sich im Zeitraum von März 2018 bis August 2018 jedoch dramatisch verändert hat, ist die Ausbeutung von Kryptowährungen, asset-gestützten „Altcoins“ und des Kryptowährungs-Ökosystems durch Nordkorea.

Im Juni 2018 begannen wir, eine Reihe von Verbindungen und eine große Menge an Datenübertragungen mit mehreren Knoten zu bemerken, die mit dem Altcoin namens Interstellar, Stellar oder HOLD Coin in Verbindung standen. HOLD Coin ist als "Altcoin" bekannt, was sich auf jede andere Kryptowährung als Bitcoin bezieht, einschließlich einiger der etablierteren und am weitesten verbreiteten Coins wie Monero, Ethereum und Litecoin. Es gibt über 1.000 Altcoins, und die meisten sind Variationen des Bitcoin-Frameworks.

Anfang 2018 durchlief die HOLD-Münze einen Prozess namens Staking, um Zinsen und anfängliche Einnahmen zu generieren. Beim Staking schürfen Benutzer zunächst eine Anzahl an Münzen, dürfen diese aber für einen festgelegten Zeitraum nicht handeln. Die Münze kann dann an Wert gewinnen und eine Benutzerbasis aufbauen, was es den Münzentwicklern ermöglicht, den Wert der Münze zu kontrollieren, indem sie regeln, welche Geldbörsen zu einem bestimmten Zeitpunkt handeln können. Die Teilnahme am Staking einer neuen oder unbekannten Altcoin kann riskant sein, da die Entwickler den Staking-Zeitrahmen kontrollieren und den Handel so stark begrenzen können, dass viele Benutzer ihre Investitionen verlieren, wenn der Wert der Münze sinkt, und sie dann nicht mehr mit ihren eingesetzten Münzen handeln können.

Im Laufe des Jahres 2018 wurde der HOLD-Coin an einer Reihe von Börsen notiert und dekotiert, im August 2018 einem Swap und Rebranding unterzogen (der neue Name lautet HUZU) und hat seine HOLD-Investoren zum Zeitpunkt dieser Veröffentlichung im Stich gelassen. Wir gehen mit geringer Sicherheit davon aus, dass nordkoreanische Nutzer an den Altcoins Interstellar, Stellar oder HOLD beteiligt waren.

Anmerkung des Herausgebers: Wir haben den obigen Absatz bearbeitet, um klarzustellen, dass der Wechsel und die Umbenennung von HOLD in HUZU am Ende des Berichtszeitraums erfolgten.

Wir haben mindestens einen weiteren Blockchain-Betrug entdeckt, von dem wir mit hoher Wahrscheinlichkeit annehmen, dass er im Auftrag Nordkoreas durchgeführt wurde. Dies war eine Blockchain-Anwendung namens Marine Chain Platform.

Wir sind im August 2018 in einigen Bitcoin-Foren auf Diskussionen über Marine Chain als Kryptowährung gestoßen. Marine Chain war angeblich eine Asset-Backed-Kryptowährung, die die Tokenisierung von Seeschiffen für mehrere Benutzer und Eigentümer ermöglichte. Benutzer in anderen Foren wiesen darauf hin, dass www[.]marine-chain[.]io war fast spiegelbildlich eine andere Seite, www[.]Reeder[.]io.

April 2018 Screenshots von marine-chain[.]io und shipowner[.]io zur Verfügung gestellt von Forumsteilnehmern.

Domänenregistrierungsverlauf für marine-chain[.]io.

Marine-Kette[.]io wird seit seiner Registrierung unter vier verschiedenen IP-Adressen gehostet. Vom 9. April 2018 bis zum 28. Mai 2018 hat marine-chain[.]io wurde bei 104[.]25[.]81[.]109. Während dieser Zeit hostete diese IP-Adresse auch eine nicht mehr existierende Krypto-Nachrichtenseite namens allcryptotalk[.]netto die seit Juni 2015 keine neuen Inhalte mehr veröffentlicht hat, und die Website eines betrügerischen Handelsunternehmens für binäre Optionen namens Binary Tilt. Dieses Unternehmen wurde von der Regierung von Ontario, Kanada, für betrügerisch erklärt, und Dutzende von Benutzern haben auf dieser Website Berichte über Verluste von Zehn- bis Hunderttausenden von Dollar und Betrug veröffentlicht.

Die Marine Chain-Website wird nicht mehr aufgelöst, sondern wurde von einem Unternehmen namens Marine Chain Platform betrieben. Abgesehen von einer LinkedIn-Seite hatte das Unternehmen nur eine minimale Online-Präsenz, keine Kundenreferenzen und nur wenige Mitarbeiter. Die LinkedIn-Seite von Marine Chain war ein Synonym für jemanden namens Tony Walker, der behauptete, ein "Blockchain-Spezialist für die maritime Industrie" und Berater des CEO der Marine Chain Platform seit Mai 2017 zu sein.

Am 1. Oktober 2018 ergab eine Suche nach Marine Chain Platform auf LinkedIn auch einen weiteren Berater namens HyoMyong Choi. Herr Choi hat sich selbst als Kryptowährungsinvestor in Korea, als Berater für ICOs und als Angel-Investor aufgeführt. Er gab auch an, gleichzeitig als Chief Operating Officer (COO) für ein anderes Unternehmen namens InnoShore, LLC beschäftigt zu sein.

LinkedIn-Profil von HyoMyong Choi vom 1. Oktober 2018.

LinkedIn-Profil von HyoMyong Choi vom 15. Oktober 2018. In diesem Screenshot hat Herr Choi sowohl seine Erfahrungen mit der Marine Chain Platform als auch mit InnoShore, LLC entfernt.

Sowohl Herr Walker als auch Herr Choi behaupten, die National University of Singapore besucht zu haben und verfügen über viele derselben Unterstützer. Herr Choi ist auch als Adrian Ong bekannt, wie seine (wahrscheinlich gefälschte) Facebook-Seite beweist. Das Konto wurde im März 2018 erstellt und das Profilbild wurde von einem Mitarbeiter eines südkoreanischen Unternehmens gestohlen, das koreanischen Studenten den Besuch US-amerikanischer und britischer Universitäten ermöglicht.

Facebook-Seite für HyoMyong Choi oder Adrian Ong (Gesicht geschwärzt, um die Privatsphäre des Opfers zu schützen).

Choi (Herr Ong) hatte nur zwei Freunde, beide in Südostasien lebend und mit großen sozialen Netzwerken ausgestattet. Abgesehen von diesen beiden Konten ist Choi (oder Herr Ong) nicht sonst online vertreten.

Der andere prominente Mitarbeiter der Marine Chain Platform, den wir ausfindig machen konnten, war der CEO, ein Mann namens Captain Jonathan Foong Kah Keong. Laut seinem LinkedIn-Profil ist Capt. Foong ist seit Jahrzehnten in der Schifffahrtsbranche in Singapur aktiv. Obwohl er seine Position bei Marine Chain derzeit nicht in seinem LinkedIn-Profil auflistet, hat er im vergangenen Jahr bei zahlreichen Veranstaltungen gesprochen und dabei wiederholt seine Position bei Marine Chain oder seine Rolle als Gründer von marine-chain[.]io erwähnt.

Screenshot eines Forums zum Thema Schifffahrtsbranche und Blockchain, an dem Foong im April 2018 teilnahm und in dem sein Titel als CEO von marine-chain[.]io aufgeführt ist.

Was macht Capt. Foong hebt sich von den durchschnittlichen Kryptowährungs- oder Blockchain-Betrügern dadurch ab, dass er mit singapurischen Unternehmen in Verbindung steht, die seit mindestens 2013 die Umgehung der nordkoreanischen Sanktionen unterstützen. In einer Studie, die 2015 von der Nordkorea-spezifischen Politikforschungswebsite 38North.org veröffentlicht wurde, sagte Kapitän. Foong wird zweimal als Mitarbeiter oder Berater von Unternehmen in Singapur identifiziert, die "illegale Aktivitäten im Namen Nordkoreas ermöglicht haben und die mit UN-sanktionierten Einrichtungen Geschäfte machen".

Die Unternehmen Capt. Personen, für die Foong gearbeitet hat , werden mit der Manipulation der nationalen Flaggenregister dreier Länder in Verbindung gebracht , die häufig als Billigflaggen für nordkoreanische Schiffe verwendet wurden.

Kapitän Foong ist Teil eines weltweiten Netzwerks von Unterstützern, die Nordkorea dabei unterstützen, internationale Sanktionen zu umgehen. Diese Verbindungen zur Marine Chain Platform markieren das erste Mal, dass dieses riesige und illegale Netzwerk Kryptowährungen oder Blockchain-Technologie nutzt, um Gelder für das Kim-Regime zu sammeln.

Im Großen und Ganzen passen diese Arten von Kryptowährungsbetrug in die von Überläufern beschriebene Schablone der Finanzkriminalität auf niedrigem Niveau, die Südkorea seit Jahren plagt und die die internationale Gemeinschaft gerade erst zu verfolgen beginnt. Es ist ein natürlicher Schritt sowohl für eine Gruppe von Akteuren, die seit Jahren so tief in die Welt der Kryptowährungen eingebettet sind, als auch für ein Netzwerk, das gezwungen ist, neue Finanzierungsströme zu erschließen, um den Auswirkungen internationaler Sanktionen entgegenzuwirken.

Nordkoreanische Präsenz im Ausland: Weitere Einzelheiten kommen ans Licht

In unserer früheren Forschung haben wir eine Heuristik entwickelt, um signifikante physische und virtuelle Präsenz Nordkoreas in Ländern auf der ganzen Welt zu identifizieren. Diese Heuristik berücksichtigte überdurchschnittliche Ausmaße nordkoreanischer Internetaktivitäten von und zu diesen Ländern, aber auch das Durchsuchen und Verwenden zahlreicher lokaler Ressourcen wie Nachrichtenagenturen, Bezirks- oder Kommunalverwaltungen, lokaler Bildungseinrichtungen und mehr.

Mithilfe dieser Technik konnten wir acht Länder identifizieren, in denen sich Nordkoreaner physisch aufhielten oder lebten, darunter Indien, China, Nepal, Kenia, Mosambik, Indonesien, Thailand und Bangladesch. Für diesen jüngsten Zeitraum (März 2018 bis August 2018) haben wir die Internetaktivitäten Nordkoreas in diesen acht Ländern erneut untersucht und dabei eine höhere Zuverlässigkeit der Daten aus China und Indien erreicht.

China

Die Ermittlung der Internetaktivitäten mutmaßlicher Nordkoreaner in China wird dadurch erschwert, dass die nordkoreanische Führung in großem Umfang chinesische Internetdienste wie etwa die von Alibaba, Baidu und Tencent nutzt. Bislang hatte Recorded Future nur wenig Einblick in die Regionen, in denen Nordkoreaner leben könnten, oder in die dort genutzten Ressourcen.

Auf lokaler Ebene und als Teilmenge unserer heuristischen Daten entdeckten wir ein hohes Aktivitätsvolumen, das die Regionen Peking, Shanghai und Shenyang, aber auch Nanchang, Wuhan und Guangzhou betraf. Einige dieser Städte und Regionen liegen außerhalb dessen, was als traditioneller Nordosten für Nordkoreaner galt, die in China tätig sind.

Darüber hinaus entdeckten wir weitere Hinweise zu Nordkoreanern im chinesischen Wissenschaftssektor, die zuvor im Dunkeln blieben. Nachfolgend finden Sie eine Liste chinesischer Universitäten, bei denen wir mit mäßiger Sicherheit davon ausgehen, dass sie derzeit oder in der Vergangenheit nordkoreanische Studierende, Lehrkräfte oder Partner beherbergen.

• Jiaotong-Universität Shanghai
• Jiangxi Normal University
• Tsinghua Universität
• Hochschule für Wirtschaft und Handel Wuhan
• Normale Universität Guangxi
• Fudan Universität
• Medizinische Universität Tianjin

Indien

Während sich das Verhaltensmuster für nordkoreanische Aktivitäten, an denen Indien beteiligt war, in diesem Zeitraum nicht geändert hat, konnten wir einige zusätzliche Details festmachen. Ein Großteil der indischen Aktivitäten betraf mehrere Sonderwirtschaftszonen (SEZ), insbesondere die SWZ Noida und Cochin.

Auf lokaler Ebene und als Teilmenge unserer heuristischen Daten haben wir ein hohes Aktivitätsaufkommen in Delhi, Bangalore, Kalkutta und Hyderabad festgestellt. Wir beobachteten erneut verdächtigen Datenverkehr unter Beteiligung der indischen Wetterbehörde und des Nationalen Fernerkundungszentrums, konnten jedoch keine böswillige Absicht feststellen.

Für die meisten dieser Länder folgte diese Heuristik eng mit den bekannten nordkoreanischen illegalen Finanzierungs- oder Logistiknetzwerken. Die von der gemeinnützigen Organisation C4ADS durchgeführte Untersuchung der illegalen Finanzierungsnetzwerke Nordkoreas ist ein hervorragendes Beispiel. Im August veröffentlichte C4ADS einen Bericht, in dem die nordkoreanische Zwangsarbeit im Ausland nach Ländern und Sektoren, einschließlich Restaurants und Produkten, aufgeführt wurde. Diese wiederholte Überschneidung zwischen nordkoreanischen illegalen Finanzierungsnetzwerken und Internetaktivitäten veranlasste uns, erneut zu überprüfen, warum Russland nicht in unsere Verhaltensheuristik passte.

Russland

Aus der Volumenperspektive war die Aktivität mit Russland nur ein Bruchteil der nordkoreanischen Internetaktivität mit China oder Indien (etwa 0,05 Prozent des Volumens aus China zum Beispiel). Was die Dienste angeht, so nutzten die Nordkoreaner die russischen Dienste nur sehr eingeschränkt. Sie besuchten regelmäßig mail.ru und nutzten Yandex nur gelegentlich. Auf Stadtebene betraf das geringe Aktivitätsvolumen vor allem Sotschi, die Region Moskau und Wladiwostok.

Es ist möglich, dass die Arten von Nordkoreanern in Russland in diesem Zeitraum (März 2018 bis August 2018) anders waren als in vielen anderen Ländern, die wir identifiziert haben. Ein großer Teil der nordkoreanischen Arbeiter in Russland sind Arbeiter, die oft untergebracht sind und unter "sklavenähnlichen" oder "unmenschlichen" Bedingungen arbeiten. Dies steht im Gegensatz zu einigen nordkoreanischen Arbeitern in anderen Ländern, wie z. B. China, die in der Informationswirtschaft arbeiten und mobile Spiele, Apps, Bots und andere IT-Produkte für einen globalen Kundenstamm entwickeln. Während es sicherlich auch in China eine große Anzahl von Arbeitern gibt, ist es möglich, dass Russland weniger qualifizierte nordkoreanische Arbeiter beherbergt. Diese Art der informationswirtschaftlichen Arbeit erzeugt einen anderen Internet-Fingerabdruck als ausbeuterische Handarbeit und verdeutlicht wahrscheinlich die Diskrepanz zwischen physischer Präsenz und Internetaktivität.

Daher gehen wir davon aus, dass die Nationen, die wir durch unsere Verhaltensheuristik identifizieren, mit größerer Wahrscheinlichkeit nordkoreanische Arbeiter in der Dienstleistungs- oder Informationswirtschaft beherbergen. Obwohl diese Arbeitnehmer immer noch einen großen Teil ihres Einkommens nach Hause schicken, benötigen sie für ihre tägliche Arbeit einen Internetzugang oder leben wahrscheinlich unter weniger repressiven Bedingungen, da sie mit Kunden in Kontakt stehen.

Ausblick

Im Laufe der letzten anderthalb Jahre haben unsere Recherchen zu Nordkorea einen beispiellosen Einblick in das digitale Leben der höchsten Führung Nordkoreas gegeben. Wir haben die Führungstätigkeit zu einem einzigartigen Zeitpunkt in den Beziehungen zwischen den USA und der DVRK verfolgt und analysiert. die Dauer der Kampagne des "maximalen Drucks", die Periode der höchsten Raketenstart- und -testaktivität und das erste Gipfeltreffen zwischen einem amerikanischen und einem nordkoreanischen Führer überhaupt.

Im Kern hat diese Forschungsreihe gezeigt, wie anpassungsfähig und innovativ die oberste Führung Nordkoreas ist. Sie nehmen neue Dienste oder Technologien schnell an, wenn sie nützlich sind, und verwerfen sie, wenn sie nicht nützlich sind. Das Kim-Regime hat ein einzigartiges Modell für die Nutzung und Ausbeutung des Internets entwickelt: Es ist ein Staat, der wie ein Verbrechersyndikat geführt wird.

Insbesondere hat das Kim-Regime das Internet als wirksames Instrument zur Erzielung von Einnahmen und zur Umgehung von Sanktionen kultiviert, indem es Kryptowährungen, verschiedene Interbanken-Überweisungssysteme, die pluralistische Natur der „Gig Economy“, Online-Gaming und mehr nutzt (und ausnutzt). Sie haben dies mit einem jahrzehntealten Schmuggelnetzwerk und einem System korrupter Diplomaten, Botschaften und Konsulate kombiniert.

Es ist diese Verbindung des Physischen und des Virtuellen, die Nordkoreas Erfolg ermöglicht und internationale Regulierungs- und Durchsetzungsbehörden vor Probleme stellt. Der Wert, den Nordkorea aus dem Internet zieht, lässt sich zwar nie genau beziffern, seine Bedeutung darf jedoch nicht unterschätzt werden.

Auf internationaler Ebene haben die Nationen gerade erst begonnen, sich mit dem globalisierten Charakter und der Bedrohung durch nordkoreanische Internetoperationen auseinanderzusetzen. Insbesondere die Vereinigten Staaten reichten eine Strafanzeige gegen einen nordkoreanischen Betreiber, Park Jin Hyok, ein und verwickelten viele andere. Dies ist ein ausgezeichneter erster Schritt, dem weitere Maßnahmen zur Veröffentlichung von Internetoperationen, die Kontaktaufnahme mit nicht-traditionellen diplomatischen Partnern und flexiblere und dynamischere Mechanismen folgen müssen, um die Umgehung von Sanktionen durch Nordkorea über das Internet zu verringern.

Dies wird zugleich unser letzter regulärer Bericht über die Internetaktivitäten der nordkoreanischen Führung sein, da unsere Einblicke aufgrund zweier Trends eingeschränkt waren: der Nutzung von Internetsicherheits- und Anonymisierungsdiensten durch die nordkoreanische Führung und der zunehmenden Verbreitung von Domain-Datenschutz und groß angelegten Hosting-Diensten.

Erstens: Auch wenn die herrschende Elite Nordkoreas ihre Maßnahmen zur Internetsicherheit zurückgefahren hat, ist der allgemeine Trend sowohl für Nordkoreaner als auch für alle Internetnutzer steigend. Dies bedeutet, dass es mit der Zeit immer schwieriger wird, das Surfverhalten Nordkoreas im Internet zu verfolgen und neue Erkenntnisse zu gewinnen.

Zweitens bieten große Technologieunternehmen ihren Kunden eine zunehmend breitere Palette von Diensten an, von DNS über Content Delivery bis hin zu Cloud-Diensten und mehr. Aus Netzwerkperspektive ist es unglaublich schwierig, den Endinhalt hinter einer generischen DigitalOcean-, Cloudflare- oder GoDaddy-Registrierung zu erkennen. Sogar Ports und Protokolle stellen nur eine begrenzte Datenmenge bereit und oft gibt eine IP, die in einer DigitalOcean-Box endet, nichts preis.

Wir werden die IP-Bereiche Nordkoreas weiterhin überwachen und über kritische Entdeckungen oder Ereignisse auf Ad-hoc-Basis berichten.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Organisationen, die folgenden Maßnahmen zu ergreifen, wenn sie potenzielle nordkoreanische Aktivitäten in ihren Netzwerken feststellen:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so, dass sie bei unzulässigen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen eine Warnung ausgeben und diese ggf. blockieren:
• 175.45.176.0/22
• 210.52.109.0/24
• 77.94.35.0/24
• Um nordkoreanische Bemühungen zum Mining von Kryptowährungen zu erkennen und zu verhindern, sollten Sie Ihre Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) so konfigurieren, dass sie bei illegalen Verbindungsversuchen aus den folgenden wichtigen nordkoreanischen IP-Bereichen, die über TCP-Ports eine Verbindung zu Ihrem Netzwerk herstellen, eine Warnung ausgeben und diese nach Prüfung blockieren:
• 10130 und 10131 für HOLD-Münze
• 8332 und 8333 für Bitcoin
• 18080 und 18081 für Monero
• 9332 und 9333 für Litecoin

Hinweis: Bei den oben genannten Ports handelt es sich um die für die angegebenen Kryptowährungen konfigurierten Standardports. Es ist plausibel, dass die Software zum Mining von Kryptowährungen so geändert wurde, dass die Standardports überschrieben wurden. Darüber hinaus können je nach Ihrer Unternehmenskonfiguration auch andere Dienste so konfiguriert sein, dass sie auf den aufgeführten Ports ausgeführt werden. Daher können IDS- und/oder IPS-Warnmeldungen zum Netzwerkverkehr auf den aufgeführten Ports zu Fehlalarmen führen.

• Analysieren Sie den DNS-Verkehr des Netzwerks, um verdächtigen Datenverkehr im Zusammenhang mit dem Mining der Kryptowährung HOLD (z. B. Domänen, die den Begriff „Stellarhold“ enthalten) zu erkennen und zu blockieren.
• Erwägen Sie die unternehmensweite Implementierung eines Software-Whitelist-Programms, um der Möglichkeit entgegenzuwirken, dass Kryptowährungs-Mining-Software aus dem Netzwerk heruntergeladen und ausgeführt wird.
• Viele Kryptowährungs-Miner verwenden zur Koordination Internet Relay Chat (IRC). Sofern IRC keine für Ihr Unternehmen erforderliche Anwendung ist, sollten Sie erwägen, den standardmäßigen IRC-TCP-Port 6667 über Ihr IDS und IPS zu blockieren, um das Mining von Kryptowährungen über IRC einzudämmen.
• Machen Sie sich mit den VPN-Diensten und -Protokollen Ihres Unternehmens vertraut und blockieren oder prüfen Sie sorgfältig nicht standardmäßigen VPN-Verkehr.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (z. B. durch Geräte- oder Kontoübernahme per Phishing).
• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.