Nordkoreas cyberprofil
Internettet er ikke et offentligt medie i Nordkorea; det er en statsressource. Kim Jong-uns regime holder landet isoleret fra resten af verden. Så den eneste sandhed er den, der formidles af de regeringskontrollerede medier. Verden er et farligt sted, og med alt, hvad de er blevet fortalt, er nordkoreanere taknemmelige for at blive skærmet fra det.
Det er tvivlsomt, om du nogensinde vil tage til Nordkorea enten for forretning eller fornøjelse. Så denne landeprofil vil fokusere på de møder, som omverdenen har med de statssponsorerede hackere i Nordkorea.
Internetpenetration og tilgængelighed
Internettet er ikke tilgængeligt for den brede offentlighed i Nordkorea, så landet har ingen internetpenetration. Der er nogle forbindelser til internettet tilgængelige for et begrænset antal embedsmænd eller videnskabelige forskere. Nogle få webservere i landet er vært for regeringens websted, såsom Korean Central News Agency. Regeringen har omkring 30 websteder forbundet til World Wide Web.
De få forbindelser, der findes til det lokale internet, er alle dirigeret gennem Kina. Regeringen vil stille et presserum til rådighed for væsentlige arrangementer, der skal tiltrække det udenlandske pressekorps; dette inkluderer nogle få terminaler, der tillader internetadgang. Det er også muligt for udlændinge at oprette forbindelse til internettet via et 3G-mobilnetværk.
Hvad er Kwangmyong?
Landet har sit internet, kaldet Kwangmyong, som ikke har nogen sammenkobling med internettet, der er tilgængeligt i andre lande. Kwangmyong fungerer også på samme måde som World Wide Web, bortset fra at det ikke er muligt at få adgang til websteder uden for Korea. Alle URL'erne på dette system bruger topdomænet .kp, og hver er også identificeret med en IPv4-adresse, som er unik i Kwangmyong.
Da Kwangmyong bruger den samme navnekonvention som World Wide Web, er URL'erne alle skrevet med latinske tegn, ikke Hangul-alfabetet, der bruges til det koreanske sprog. Dette gør de fleste URL'er uforståelige for den gennemsnitlige bruger. Nordkoreanere foretrækker at få adgang til websteder ved at skrive IP-adressen i adresselinjen i stedet for en alfabetisk URL. Dette mister mange af de markedsføringsfordele, som vestlige e-handelsoperatører anvender med deres valg af domænenavn.
Da IP-adresser er svære at huske, er søgemaskiner og bogmærker væsentlige mekanismer til at finde eller genbesøge websteder på Kwangmyong. Denne praksis gør imidlertid tv- eller radioreklamer, der knytter sig til websteder, udfordrende at gennemføre.
Der er ingen forbindelser mellem Kwangmyong og internettet. For at holde en tilsyneladende opdeling mellem de to systemer sikrer Nordkoreas regering, at enhver bygning, hvorfra det er muligt at oprette forbindelse til internettet, ikke har nogen enheder indeni, der kan oprette forbindelse til Kwangmyong.
Internethastigheder i Nordkorea
Da Nordkorea er et lukket samfund, er det udfordrende at få information om dets internetydelser. I betragtning af, at meget få mennesker i Nordkorea har adgang til det globale system, er det faktisk næsten umuligt at opspore nogen, der har brugt internettet der og er parat til at tale. Derfor er det også praktisk talt umuligt at få information om Kwangmyongs præstationer.
Akamai udførte den sidste internationale internethastighedssammenligning, der omfattede Nordkorea i juni 2016. På det tidspunkt blev den gennemsnitlige hastighed på internettet på verdensplan beregnet til 5,6 Mbps. Undersøgelsen rapporterede gennemsnitshastigheder i 170 lande.
Nordkorea, med en gennemsnitshastighed på 2 Mbps, kom ikke sidst. Det placerede 134. på listen. Det er dog ikke klart, om den hastighed blev målt for det faktiske internet eller Kwangmyong.
I den rapport satte den gennemsnitlige internethastighed for Sydkorea den i nummer et slot med 26,7 Mbps. Til sammenligning registrerede rapporten en gennemsnitshastighed på 14,2 Mbps i USA.
Digital bevidsthed
Det er udfordrende at få en computer i Nordkorea. Få butikker har dem på lager, og en potentiel køber skal have tilladelse fra politiet, før de overhovedet får lov til at browse. Denne tilladelse gives først efter et hjemmebesøg fra sikkerhedstjenesten og længerevarende afhøring af alle husstandsmedlemmer. Der er omkring 200.000 hjem med en computer i Nordkorea.
Kwangmyong er en opkaldstjeneste. For at få adgang hjemmefra skal brugeren have en højere sikkerhedsgodkendelse, hvilket indebærer flere vurderingsbesøg og interviews. Næsten alle hjemmecomputere, der er forbundet til Kwangmyong, er i hovedstaden Pyongyang.
For nylig er det blevet muligt at oprette forbindelse til Kwangmyong via en mobiltelefon eller tablet. Der er omkring 4,5 millioner mobile enheder i Nordkorea.
Adgang til Kwangmyong er mere almindeligt påvirket gennem computerlokaler på universitetsbiblioteker eller store fabrikker. Der er adskillige cybercaféer tilladt rundt om i landet, som ville give adgang til Kwangmyong ved at købe en tidsbaseret billet. Men omkostningerne ved disse billetter er meget høje og overstiger den gennemsnitlige borgers evner.
Kwangmyong-netværkets tjenester inkluderer adgang til chatrum, men den nationale ækvivalent til Facebook blev lukket i 2006. Der er dog et regionalt opslagstavlesystem tilgængeligt, som giver akademikere adgang til en chatfacilitet. Der er også et videochatsystem, der er åbent for offentligheden til person-til-person videoopkald. Denne blev lanceret i 2010 og hedder Raekwon. Tv-nyhedsjournalister bruger ofte dette system til at sende rapporter fra hele landet.
Datingchat er tilladt på Kwangmyong, og der er også nogle videospil tilgængelige online, såsom koreansk skak.
Online anonymitet
Der er ingen online anonymitet i Nordkorea, fordi regeringen leverer alle tjenester, og al brug spores.
Et e-mail-system er inkluderet i standardtjenesterne fra Kwangmyong, og der er en statsdrevet søgemaskine tilgængelig. Adgang til webstedet på Kwangmyong udføres gennem en normal statsgodkendt browser. Da alle aktiviteter på Kwangmyong overvåges, og adgang betragtes som et privilegium for de få, er ideen om at sende spam-e-mails eller oprette web-hacks på Kwangmyong uhørt.
Adgang til privatlivsværktøjer
Der er ingen VPN'er i Nordkorea. Så hvis du er udlænding og har et VPN-abonnement derhjemme, hjælper det dig ikke, når du kommer til Nordkorea. For det første vil du ikke være i stand til at oprette forbindelse til det faktiske internet. For det andet, hvis det lykkes dig at få tilladelse til at få adgang til Kwangmyong, vil din VPN-klient ikke være i stand til at komme igennem til nogen af din udbyders internationale servere.
Nordkoreanere kan ikke få adgang til VPN-websteder og kunne derfor ikke tegne et VPN-abonnement, selvom de havde en bankkonto, der kunne sende en international betaling. Ingen VPN-tjenester fungerer på Kwangmyong.
Brændertelefoner og midlertidige webmailkonti er ikke tilgængelige i Nordkorea. Tilmelding til enhver tjeneste på Kwangmyong betyder dog, at du kan blive identificeret i alle dine handlinger online.
Overraskende nok er der noget Tor-aktivitet, der stammer fra Nordkorea. Men da denne aktivitet er registreret på internettet i stedet for Kwangmyong, er disse beskyttede forbindelser sandsynligvis til hackingforskning. Grafen nedenfor viser Tor-forbindelser fra Nordkorea. Det er den endelige rekord genereret af Tor-projektet fra august 2020 til august 2021.
Denne graf viser antallet af brugere på Tor-netværket pr. dag i Nordkorea. Der er altid én person tilsluttet hver dag i løbet af året. Det maksimale antal brugere på en dag var 6, undtagen én dag i slutningen af juni 2021, hvor 12 personer var tilsluttet.
I modsætning hertil viser grafen ved siden af antallet af brugere i USA. Bortset fra en meget aktiv periode i september 2020 er rækken af daglige amerikanske brugere af Tor mellem 275.000 og 550.000.
Cyberkriminalitet: udbredelse og angrebstyper
Indenlandsk er der ingen cyberkriminalitet i Nordkorea. Udenlandske hackere kan ikke komme ind i Kwangmyong. Anonymous hævdede at have brudt ind på netværket i 2013, men de kunne ikke fremlægge beviser eller gentage præstationen med vidner, der så efter bekræftelse. Ingen i Nordkorea ville nogensinde udføre nogen cyberkriminalitet på Kwangmyong.
Hacking indefra Nordkorea ud til resten af verden er en anden historie. Nordkorea har en meget aktiv eskadron af hackere, der er fuldstændig kontrolleret af regeringen og er blandt de få mennesker i landet, der nogensinde får adgang til det faktiske internet.
Regeringens efterretningstjeneste organiserer alle hackere i Nordkorea i en organisation kaldet Lazarus Group. Selvom de førende aktører i denne gruppe startede som uafhængige hackere, er de siden kommet under regeringens kontrol.
Whois Team kender også det statskontrollerede hold, Guardians of Peace, Hidden Cobra, ZINC, Guds Apostle og Guds Disciplin. Gruppen implementerer angreb for efterretninger og forstyrrelser snarere end for økonomisk vinding, selvom de tjener penge på deres angreb som en sidegevinst.
En af Lazarus Groups faste aktiviteter er at iværksætte DDoS-angreb mod mål i Sydkorea og USA. Denne kampagne startede i 2009, men er blevet mindre hyppig siden 2012, hvor gruppen fokuserede på at implementere avancerede vedvarende trusler (APT'er). I en APT får hackeren adgang og udforsker manuelt målnetværket ved at bruge hackingværktøjer til at automatisere forskning og krakning af brute force legitimationsoplysninger.
APT-hackere indfører rutiner til periodisk at ændre eller slette logfiler for at skjule registreringer af deres aktiviteter. Men efterhånden som SIEM-tjenester og indtrængningsdetektionssystemer bliver mere udbredt af verdens erhvervssamfund og regeringer, bliver mulighederne for APT-aktivitet reduceret.
Lazarus-gruppen har to specialistafdelinger, der udfører tjenester for teamet og også for idriftsættelsesmedarbejdere. Den første af disse er BlueNorOff, aka APT38, og Stardust Chollima. Dette hold flytter penge internationalt mellem bankkonti ved at manipulere SWIFT-registreringer. Dette er for tyveri og også for at skjule bevægelserne i gruppens indtjening. Den anden enhed hedder AndAriel, som også er kendt som Silent Chollima. Holdet er specialiseret i APT'er i Sydkorea.
Det største røveri fra BlueNorOff var tyveriet af mere end 100 millioner dollars fra Bangladesh Bank i 2016. Hele ordningen skulle tage 1 milliard dollars, men operationen blev opdaget og blokeret, da de første to trancher var blevet gennemført.
I 2014 brød Lazarus Group, der opererer under navnet The Guardians of Peace, ind i Sony Pictures-systemet og stjal en stor mængde personligt identificerbar information (PII). Dette angreb var inspireret af vreden fra Nordkoreas leder, Kim Jong-un, som var oprørt over den kommende udgivelse af filmen The Interview. Plottet i den film var baseret på et fiktivt forsøg på at myrde Nordkoreas præsident, og Kim Jong-un ønskede at forhindre filmens udgivelse.
Datatyveriet fra Sony Pictures havde til formål at afpresse produktionsselskabet til at annullere udgivelsen af The Interview ved periodisk at frigive trancher af de stjålne data på Dark Web, hvor andre hackere kunne bruge dem. I stedet gav virksomheden efter og skrinlagde udgivelsen af filmen.
Et af de mest berømte ransomware-angreb i historien, WannaCry, der blev lanceret i 2017, gav Lazarus Group skylden. Tilskrivningen har dog aldrig været afgørende, og nogle analyser giver hackergrupper i Hong Kong eller det sydlige Kina skylden.
For nylig forsøgte gruppen at bryde ind i AstraZenecas system for at stjæle deres Covid-19-vaccineforskning. Angrebet var dog mislykket, og gruppen menes at have angrebet andre store farmaceutiske laboratorier samtidigt.
Lazarus-gruppen er stadig aktiv i dag. I august 2021 blev holdet afsløret for at have været aktivt, APT-stil inden for et sydkoreansk mediegruppesystem.