North Korea Is Not Crazy

North Korea Is Not Crazy

insikt-group-logo-alt.png

Intent is critical to comprehending North Korean cyber activity.

La compréhension des objectifs nationaux, des organisations étatiques et de la stratégie militaire de la Corée du Nord est essentielle pour analyser les cyberactivités nord-coréennes, mais elle fait souvent défaut dans les discussions sur le sujet. Souvent, les hauts responsables politiques, les experts en cybersécurité de l'>et les diplomates qualifient les dirigeants nord-coréens ou leurs actions respectives de « folles », « imprévisibles » ou « irrationnelles ». Ce n'est pas le cas. Lorsqu'on les examine à travers le prisme de la stratégie militaire, des objectifs nationaux et des perceptions en matière de sécurité de la Corée du Nord, les activités cyber correspondent à leur approche globale.

Recorded Future research reveals that North Korean cyber actors are not crazy or irrational: they just have a wider operational scope than most other intelligence services.

Ce champ d'application couvre un large éventail d'activités criminelles et terroristes, notamment la fabrication et la vente illégales de drogues, la production de fausse monnaie, les attentats à la bombe, les tentatives d'assassinat, etc. L'Agence nationale de sécurité américaine (NSA) a attribué les attaques du ransomware WannaCry perpétrées en avril dernier aux services de renseignement nord-coréens, le Bureau général de reconnaissance (RGB). Nous estimons que l'utilisation de logiciels rançonneurs pour lever des fonds pour l'État s'inscrit à la fois dans la stratégie militaire asymétrique de la Corée du Nord et dans sa politique d'« autofinancement », et relève du large champ d'action de ses services de renseignement.

Background

north-korea-cyber-activity-1.gif

La République populaire démocratique de Corée (RPDC ou Corée du Nord) est une monarchie héréditaire asiatique dotée d'organisations étatiques, partisanes et militaires vouées à préserver le pouvoir du Parti des travailleurs coréens (PTC) et de l'armée, l'Armée populaire coréenne (APC).

Le Bureau général de reconnaissance (RGB), également connu sous le nom d'« Unité 586 », a été créé en 2009 à la suite d'une importante restructuration de plusieurs services de renseignement de l'État, de l'armée et du parti. Subordonné à l'Armée populaire coréenne, il s'est depuis imposé non seulement comme le principal service de renseignement extérieur nord-coréen, mais également comme le centre des opérations clandestines. Le RGB et les organisations qui l'ont précédé sont soupçonnés d'être responsables d'une série d'attentats à la bombe, de tentatives d'assassinat, de détournements et d'enlèvements commis depuis la fin des années 1950, ainsi que d'une multitude d'activités criminelles, notamment le trafic et la fabrication de drogues, la contrefaçon, des cyberattaques destructrices, etc.

north-korea-cyber-activity-2.png

Image satellite du bâtiment des opérations sud de RGB à Pyongyang. (Source)

En tant que responsable des opérations clandestines de la Corée du Nord, le RGB est également susceptible d'être la principale organisation chargée des cyberopérations. Comme l'a décrit le Center for Strategic and International Studies dans son rapport de 2015:

The RGB is a hub of North Korean intelligence, commando, and sabotage operations. The RGB history of its leadership and component parts paints a picture of a one-stop shop for illegal and clandestine activity conducted outside the DPRK. The RGB and, prior to 2009 its component parts, have been involved in everything from maritime-inserted commando raids to abductions and spying. For the RGB to be in control of cyber assets indicates that the DPRK intends to use these assets for provocative purposes.

Le RGB se compose probablement de sept bureaux : six bureaux d'origine et un septième (le bureau 121) qui a probablement été ajouté après 2013.

north-korea-cyber-activity-3.png

Organigramme du RGB, compilé à partir d'informations provenant du Korea Herald, de 38 North et du CSIS.

Le Bureau 121 est probablement la principale unité chargée des opérations cybernétiques en Corée du Nord, mais d'autres unités au sein de l'Armée populaire coréenne et du Parti des travailleurs coréens pourraient également mener des opérations cybernétiques.

Il est difficile d'attribuer des cyberactivités spécifiques à l'État nord-coréen ou à ses services de renseignement, et jusqu'à récemment, les preuves étaient circonstancielles. Le 12 juin, l'US-CERT a publié une alerte technique conjointe résumant l'analyse menée par le département américain de la Sécurité intérieure (DHS) et le FBI sur les « outils et infrastructures utilisés par les cyberacteurs du gouvernement nord-coréen pour cibler les secteurs des médias, de l'aérospatiale, de la finance et des infrastructures critiques aux États-Unis et dans le monde ».

Cette alerte a marqué la première fois que le gouvernement américain a établi un lien entre des groupes d'acteurs malveillants et des logiciels malveillants soupçonnés depuis longtemps d'être utilisés par des acteurs soutenus par l'État nord-coréen et le gouvernement nord-coréen lui-même. Le DHS et le FBI ont explicitement identifié deux groupes d'acteurs malveillants, Lazarus Group et Guardians of Peace, ainsi que trois outils, Destover, Wild Positron/Duuzer et Hangman, utilisés par le gouvernement nord-coréen. Bien que le FBI et le DHS aient identifié de nombreux indicateurs de compromission, règles Yara et signatures réseau, le rapport n'a fourni aucune preuve permettant d'attribuer la responsabilité à l'État nord-coréen, ni aucun détail sur l'organisation ou l'unité susceptible d'être responsable.

Le groupe Lazarus, désormais identifié comme étant soutenu par l'État nord-coréen, mène des opérations depuis au moins 2009, notamment une attaque DDoS contre des sites web américains et sud-coréens à l'aide du ver MYDOOM. Jusqu'à la fin de l'année 2015, les cyberactivités du groupe Lazarus se concentraient principalement sur les organisations gouvernementales et financières sud-coréennes et américaines, notamment des attaques destructrices contre les secteurs bancaire et médiatique sud-coréens en 2013 et l'attaque très médiatisée contre Sony Pictures Entertainment en 2014.

north-korea-cyber-activity-4.png Timeline of Lazarus Group cyber operations since 2009.

Au début de l'année 2016, un nouveau type d'activité a commencé à se manifester dans le cadre d'une opération inhabituelle visant la Banque centrale du Bangladesh. Les acteurs ont obtenu les identifiants légitimes de la Banque centrale du Bangladesh pour le système de messagerie interbancaire SWIFT et les ont utilisés pour tenter de transférer 951 millions de dollars des fonds de la banque vers des comptes à travers le monde. Quelques erreurs simples commises par les acteurs (et un peu de chance) ont permis aux banquiers centraux d'empêcher le transfert ou de récupérer la plupart des fonds, mais les attaquants ont finalement réussi à s'enfuir avec près de 81 millions de dollars.

L'Agence nationale de sécurité (NSA) a attribué cette attaque contre la Banque centrale du Bangladesh à l'État nord-coréen, mais l'enquête au sein du gouvernement américain est toujours en cours. Les analystes en menaces de nombreuses entreprises ont attribué cette attaque et les attaques qui ont suivi contre des banques du monde entier jusqu'au début de l'année 2017 au groupe Lazarus (que le DHS, le FBI et la NSA ont tous lié au gouvernement nord-coréen au cours des trois derniers jours).

Selon un article du Washington Post publié le 14 juin, la NSA a compilé une évaluation des renseignements sur la campagne WannaCry et a attribué la création du ver WannaCry à des « cyberacteurs parrainés par » le RGB. Cette évaluation, qui aurait été publiée en interne la semaine dernière, fait état d'une « confiance modérée » quant à l'attribution de la responsabilité et qualifie la campagne d'avril de « tentative visant à générer des revenus pour le régime ».

The attacks on the Bangladesh Central Bank, additional banks around the world, and the WannaCry ransomware campaign represent a new phase in North Korean cyber operations, one that mirrors the phases of violence and criminality North Korea has passed through over the past 50 years. We will examine these phases later in this post.

The broad operational range of known and suspected North Korean cyber operations has for years raised questions about the rationality of North Korean leadership, possible motivations and benefits for the country from this type of cyber activity, and why North Korea would deny responsibility for these attacks. Recorded Future research addresses these questions by examining the whole picture and pairing geopolitical and strategic intelligence with threat intelligence.

Analysis

Digging into some of these past North Korean activities is important to add context to the cyber operations we have tracked since 2009. North Korea’s engagement in a wide range of criminal and terrorist activities is part of its broad national strategy, which employs asymmetric operations and surprise attacks to overcome North Korea’s conventional national power deficit.

Selon un entretien avec un ancien responsable du département d'État américain et expert de la Corée du Nord, publié dans Vanity Fair, « le crime, en d'autres termes, est devenu partie intégrante de l'économie nord-coréenne ». « Non seulement cela rapporte, mais cela sert également leur stratégie visant à nuire aux intérêts occidentaux.»

It is critical to place North Korea’s criminal and cyber activity in the context of its larger military and national security strategies which support two primary objectives:

Une étude réalisée en 2016 par l'université de Washington résume succinctement la stratégie militaire asymétrique de la Corée du Nord :

Since the end of the Korean War, North Korea has developed an asymmetric military strategy, weapons, and strength because its conventional military power is far weaker than that of the U.S. and South Korea. Thus, North Korea has developed three military strategic pillars: surprise attack; quick decisive war; mixed tactics. First, its surprise attack strategy refers to attacking the enemy at an unexpected time and place. Second, its quick decisive war strategy is to defeat the South Korean military before the U.S. military or international community could intervene. Lastly, its mixed tactics strategy is to use multiple tactics at the same time to achieve its strategic goal.

Malgré ses déclarations belliqueuses et ses démonstrations de force quasi permanentes, la Corée du Nord considère fondamentalement le monde comme un environnement hostile et a développé une stratégie nationale qui exploite ses atouts comparatifs : le contrôle total d'une population de 25 millions d'habitants et une dévotion sans faille et amorale à la dynastie héréditaire des Kim.

In this context, criminality, terrorism, and destructive cyber attacks all fit within the North Korean asymmetric military strategy which emphasizes surprise attacks and mixed tactics. The criminality and cyber attacks also have the added bonus of enabling North Korea to undermine the very international economic and political systems that constrain and punish it.

De plus en plus d'éléments indiquent que les sanctions, lapression internationale et,éventuellement, le renforcement des mesures coercitives par la Chine commencent à avoir des répercussions sur l'économie nord-coréenne et, en particulier, sur la capacité des agents des services de renseignement nord-coréens à se procurer des biens pour les dirigeants du régime. Un rapport publié en mai 2017 par l'Institut coréen du développement a conclu que le marché noir nord-coréen avait aidé le pays à supporter les conséquences des sanctions internationales imposées l'année dernière.

Detailed below are numerous non-cyber operations that have been conducted by the predecessor organizations of the RGB. The violence, destruction, and criminal breadth of these operations reveal the broad operational scope of these intelligence services and the context in which they are conducted.

This data further reveals a history of denials by North Korea of responsibility for operations dating back to the 1960s, putting into context the current leadership’s denials of cyber operations.

Note

The activities detailed below are intended to be illustrative, not an exhaustive list, of the broad operational remit for North Korean operations.

“Blue House Raid”

L'une des premières attaques majeures contre la Corée du Sud depuis la déclaration d'armistice après la guerre de Corée en 1953 s'est produite en 1968. Le «raid sur la Maison Bleue » était une tentative d'assassinat contre le président Park Chung-hee par 31 soldats des forces spéciales nord-coréennes dans la nuit du 20 janvier 1968. Les 31 soldats nord-coréens ont traversé la zone démilitarisée (DMZ) à pied et ont réussi à s'approcher à moins d'un kilomètre de la résidence présidentielle (appelée « Maison Bleue ») avant d'être repérés. À leur découverte, les soldats nord-coréens ont engagé une série d'affrontements armés avec les forces sud-coréennes ; 68 Sud-Coréens et trois soldats américains ont été tués. La plupart des soldats nord-coréens ont été tués dans les huit jours qui ont suivi le raid ; deux ont réussi à retraverser la zone démilitarisée et un a été capturé.

Le soldat nord-coréen capturé a déclaré lors d'une conférence de presse qu'ils étaient venus «trancher la gorge de Park Chung Hee ». Ce récit a été contesté lors d'une réunion secrète en 1972 entre un responsable des services de renseignement sud-coréens et le Premier ministre de l'époque, Kim Il-sung. Kim a déclaré que son gouvernement n'était pas impliqué dans le raid et qu'il « n'en avait même pas connaissance à ce moment-là ».

north-korea-cyber-activity-5.png

Un soldat nord-coréen capturé après le raid de la Maison Bleue. (Source)

1983 Rangoon Bombing

Le 9 octobre 1983, trois soldats nord-coréens ont tenté d'assassiner le président sud-coréen Chun Doo Hwan lors d'un voyage en Birmanie. Une bombe a explosé prématurément dans un mausolée où le président devait se rendre, tuant 21 personnes, dont le ministre des Affaires étrangères et le vice-Premier ministre coréens.

Au cours du procès des auteurs de l'attentat, des témoignages ont révélé que les agents nord-coréens avaient utilisé un navire marchand nord-coréen pour se rendre au Myanmar et au domicile d'un diplomate nord-coréen afin de préparer les bombes. Dans un rapport confidentiel (déclassifié en 2000) rédigé dix jours après l'attentat, les analystes de la CIA ont présenté des arguments solides démontrant que la Corée du Nord était responsable de l'attaque, malgré les démentis officiels de l'agence de presse officielle nord-coréenne. Les médias d'État nord-coréens ont même accusé le président Chun d'utiliser cette attaque pour accroître les tensions dans la péninsule.

north-korea-cyber-activity-6.jpg

Des responsables sud-coréens attendent au mausolée de Rangoon quelques minutes
avant l'explosion de la bombe. (Source)

Korean Air Flight 858 Bombing

Le 29 novembre 1987, deux agents des services secrets nord-coréens sont montés à bord d'un avion de la Korean Air reliant Bagdad, en Irak, à Séoul, et y ont placé une bombe. Lors d'une escale à Abu Dhabi, les deux agents ont débarqué de l'avion, mais ont laissé la bombe (déguisée en radio) à bord. La bombe a explosé et l'avion s'est écrasé dans la jungle à la frontière entre la Thaïlande et la Birmanie, tuant les 115 personnes à bord.

L'un des agents des services secrets nord-coréens, qui a été capturé vivant, a révélé par la suite que l'attentat visait à «décourager la participation étrangère aux Jeux olympiques de 1988 à Séoul et à semer le trouble » en Corée du Sud. L'agent a également avoué que l'ordre de faire exploser l'avion avait été donné directement par le dirigeant nord-coréen de l'époque, Kim Il-Sung, ou par son fils, le futur dirigeant Kim Jong-il.

Transition to Criminality

Au milieu des années 1990, la Corée du Nord était généralement passée des actes de terrorisme à la criminalité. Alors que la Corée du Nord avait adopté une politique d'« autofinancement »,dans le cadre de laquelle les ambassades et les missions diplomatiques étaient contraintes de gagner de l'argent pour leur propre fonctionnement, généralement en se livrant à des activités illicites telles que la contrebande, c'est au cours des années 1990 que cette criminalité est devenue une activité de l'État tout entier et non plus seulement de la diplomatie. Plusieurs facteurs ont influencé ce changement, notamment la fin de la guerre froide et le retrait d'une aide cruciale de la part de bienfaiteurs (tels que l'Union soviétique et la Chine), une famine dévastatrice, une transition politique et des années de condamnation internationale et de sanctions.

Un rapport publié en 2015 par le Comité pour les droits de l'homme en Corée du Nord caractérise l'implication de la Corée du Nord dans des « activités économiques illicites » en trois phases distinctes. Tout d'abord, depuis les origines de l'implication de l'État nord-coréen dans les années 1970 jusqu'au milieu des années 1990, puis du milieu des années 1990 jusqu'au milieu des années 2000, et enfin depuis environ 2005 jusqu'à aujourd'hui. Le RGB, ses organisations prédécesseurs et d'autres services militaires et de renseignement soutiennent ces activités illicites.

Illegal Drug Manufacturing and Smuggling

La Corée du Nord dispose d'un programme de trafic de drogue (et, depuis plus tard, de fabrication) soutenu par l'État depuis le milieu des années 1970. Cette vaste entreprise a bénéficié du soutien de l'armée, des services de renseignement et de diplomates, et a souvent impliqué la collaboration d'organisations criminelles telles que le gang taïwanais United Bamboo, des syndicats du crime philippins et le crime organisé japonais.

Des recherches universitaires indiquent que la Corée du Nord a développé de vastes réseaux et capacités de contrebande clandestine, principalement dans le but de fournir des devises fortes au régime de Kim.

L'État nord-coréen cultive activement le pavot à opium et produit jusqu'à 50 tonnes d'opium brut par an. Pour replacer cela dans son contexte, les Nations Unies estiment que l'Afghanistan a produit 6 400 tonnes d'opium brut en 2014, ce qui fait de la Corée du Nord un producteur mineur en comparaison. Selon un rapport du Congressional Research Service, les laboratoires gouvernementaux ont la capacité de transformer chaque année deux fois cette quantité en opium ou en héroïne. Les experts estiment que la Corée du Nord tire entre 550 millions et 1 milliard de dollars par an de ses activités économiques illicites.

Counterfeiting

L'une des activités criminelles nord-coréennes les plus médiatisées est la production de faux billets américains de 100 dollars (et de 50 dollars), appelés «supernotes ». Dans un témoignage devant le Congrès américain en 2006, les services secrets américains ont établi un lien définitif entre la production des « superbillets » et l'État nord-coréen.

Selon des entretiens publiés dans un article du New York Times Magazineen 2006, le soutien de l'État nord-coréen à la contrefaçon de la monnaie américaine remonte à une directive émise par Kim Jong-il au milieu des années 1970. À l'origine, la contrefaçon consistait à blanchir des billets de 1 dollar pour les réimprimer en billets de 100 dollars. Elle a évolué au fil du temps, à mesure que l'isolement international de la Corée du Nord s'accentuait et que son économie s'effondrait.

north-korea-cyber-activity-7.jpg Une « supernote » et un billet de 100 dollars authentique. (Source)

La distribution et la production des superbillets ont suivi un schéma similaire à celui des stupéfiants produits en Corée du Nord, en recourant à des organisations criminelles internationales, à des agents des services secrets et à des entreprises légitimes. La Corée du Nord a nié à plusieurs reprises toute implication dans la contrefaçon ou dans toute activité illégale.

A History of Denial

Comme indiqué ci-dessus, la Corée du Nord a toujours nié toute responsabilité dans ses opérations violentes, illégales et destructrices. Cela inclut le démenti de toute implication dans le raid de la Maison Bleue, l'attentat à la bombe de Rangoon, toutes les activités criminelles et illicites, y compris la contrefaçon de dollars américains, l'attaque contre Sony Pictures Entertainment et le braquage de la Banque centrale du Bangladesh. Certains chercheurs affirment que des actes tels que la contrefaçon de la monnaie d'un pays constituent un casus belli,c'est-à-dire un acte ou un événement justifiant une guerre, tandis que d'autres soutiennent que «les normes et les concepts juridiques internationaux ne permettent pas de définir clairement ce qui constitue un casus belli dans le domaine cybernétique ».

Both of these arguments, as well as an understanding of North Korea’s asymmetric military strategy, underscore why North Korea would not want to claim responsibility for many of these destructive and violent acts. Acknowledging state responsibility could provide the United States or South Korea with a valid _ casus belli_ , resulting in a war that North Korea would most certainly lose. Even if the evidence is strong, official government denials create uncertainty and give North Korea space to continue operations.

Impact

What has been missing from the discussion about whether North Korea is responsible for the WannaCry campaign and the bank heists has been the why — the geopolitical and strategic intelligence that give CSOs, security professionals, and threat analysts context for the activity they are seeing.

La semaine dernière, la NSA et plusieurs entreprises, dont Symantec et Kaspersky, ont établi un lien entre la récente campagne de ransomware WannaCry et la Corée du Nord. Recorded Future estime que ce type d'activité cyber s'inscrit dans le cadre de la politique d'« autofinancement » et de la stratégie militaire asymétrique de la Corée du Nord.

In this context, as a nation that is under immense international financial and political pressure and one that employs these types of policies and strategies, Recorded Future believes that North Korean cyber operations (with the goal of acquiring hard currency) will continue for at least the short to medium term (one to three years). Additionally, destructive cyber operations against the South Korean government and commercial entities will persist over this same term and likely expand to Japanese or Western organizations if U.S. and North Korea tensions remain high.

L'environnement des cybermenaces et la stratégie militaire décrits ci-dessus indiquent que les entreprises de plusieurs secteurs économiques majeurs devraient renforcer leur surveillance des activités cybernétiques nord-coréennes. Les entreprises de services financiers doivent rester vigilantes face à l'exploitation de leurs connexions et identifiants SWIFT, aux attaques malveillantes et aux attaques par déni de service distribué (DDoS), ainsi qu'aux menaces pesant sur les comptes et les données de leurs clients. Les entreprises du secteur des marchés publics et de la défense, en particulier celles qui soutiennent le déploiement du système de défense antimissile THAAD (Terminal High Altitude Area Defense) ainsi que les opérations américaines ou sud-coréennes dans la péninsule, doivent être conscientes de la menace accrue qui pèse sur leurs réseaux et leurs opérations dans la péninsule coréenne.

Energy and media companies, particularly those located in or that support these sectors in South Korea, should be alert to a wide range of cyber activity from North Korea, including DDoS, destructive malware, and ransomware attacks. Broadly, organizations in all sectors should continue to be aware of the adaptability of ransomware and modify their cyber security strategies as the threat evolves.

This is part one of a two-part series on North Korea. In part two, we will examine patterns of behavior and internet activity from North Korea, including the widespread use of virtual private servers (VPS) and virtual private networks (VPN) to obfuscate browsing, internet transactions, and other, possibly malicious, activity.

Bien qu'il n'existe aucun équivalent parfait à la criminalité d'État pratiquée par la Corée du Nord, l'Iran est probablement le pays qui s'en rapproche le plus en termes de portée opérationnelle des services de renseignement. Pour plus d'informations sur les services de sécurité iraniens et leurs activités cybernétiques, veuillez consulter : http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf, https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ploy http://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528.

2Toutesles opérations visant à générer des fonds dans le cadre de cette politique d'« autofinancement » ne sont pas illégales dans les pays hôtes.

3 Ibison, David. “Pyongyang’s spy ship reveals a dark secret: Evidence from vessel suggests North Korea is working with criminal gangs to distribute drugs in Japan.” Financial Times 28 May 2003: 12.