Nordkoreas Cyber-Profil
Das Internet ist in Nordkorea kein öffentliches Medium; Es handelt sich um eine staatliche Ressource. Das Regime von Kim Jong-un hält das Land vom Rest der Welt isoliert. Die einzige Wahrheit ist also die, die von den staatlich kontrollierten Medien verbreitet wird. Die Welt ist ein gefährlicher Ort, und trotz allem, was ihnen gesagt wurde, sind die Nordkoreaner dankbar, davor geschützt zu sein.
Es ist zweifelhaft, ob Sie jemals geschäftlich oder privat nach Nordkorea reisen werden. Daher konzentriert sich dieses Länderprofil auf die Begegnungen, die die Außenwelt mit den staatlich geförderten Hackern Nordkoreas hat.
Internetdurchdringung und -verfügbarkeit
Das Internet ist in Nordkorea nicht für die breite Öffentlichkeit zugänglich, daher gibt es im Land keine Internetverbreitung. Für eine begrenzte Anzahl von Regierungsbeamten oder wissenschaftlichen Forschern stehen einige Verbindungen zum Internet zur Verfügung. Einige Webserver im Land hosten Regierungswebsites, beispielsweise die Korean Central News Agency. Die Regierung verfügt über etwa 30 Websites, die mit dem World Wide Web verbunden sind.
Die wenigen vorhandenen Verbindungen zum lokalen Internet werden alle über China geführt. Die Regierung wird für bedeutende Veranstaltungen einen Presseraum zur Verfügung stellen, um die ausländische Presse anzulocken. Dazu gehören einige Terminals, die einen Internetzugang ermöglichen. Ausländern ist es auch möglich, über ein 3G-Mobilfunknetz eine Verbindung zum Internet herzustellen.
Was ist Kwangmyong?
Das Land verfügt über ein Internet namens Kwangmyong, das keine Verbindung zum Internet in anderen Ländern hat. Kwangmyong funktioniert auch genauso wie das World Wide Web, mit der Ausnahme, dass der Zugriff auf Websites außerhalb Koreas nicht möglich ist. Alle URLs in diesem System verwenden die Top-Level-Domain .kp und jede wird außerdem durch eine IPv4-Adresse identifiziert, die innerhalb von Kwangmyong eindeutig ist.
Da Kwangmyong dieselbe Namenskonvention wie das World Wide Web verwendet, sind die URLs alle in lateinischen Zeichen geschrieben und nicht im Hangul-Alphabet, das für die koreanische Sprache verwendet wird. Dies macht die meisten URLs für den durchschnittlichen Benutzer unverständlich. Nordkoreaner greifen lieber auf Websites zu, indem sie statt einer alphabetischen URL die IP-Adresse in die Adressleiste eingeben. Dadurch gehen viele der Marketingvorteile verloren, die westliche E-Commerce-Betreiber mit der Wahl ihres Domainnamens nutzen.
Da es schwierig ist, sich IP-Adressen zu merken, sind Suchmaschinen und Lesezeichen wesentliche Mechanismen, um Websites auf Kwangmyong zu finden oder erneut aufzurufen. Allerdings erschweren diese Praktiken die Anbindung von Fernseh- oder Radiowerbung an Websites.
Es gibt keine Verbindung zwischen Kwangmyong und dem Internet. Um eine scheinbare Trennung zwischen den beiden Systemen aufrechtzuerhalten, stellt die nordkoreanische Regierung sicher, dass in jedem Gebäude, von dem aus eine Verbindung zum Internet möglich ist, keine Geräte vorhanden sind, die eine Verbindung zu Kwangmyong herstellen können.
Internetgeschwindigkeiten in Nordkorea
Da Nordkorea eine geschlossene Gesellschaft ist, ist es schwierig, Informationen über seine Internetleistung zu erhalten. Da in Nordkorea nur sehr wenige Menschen Zugang zum globalen System haben, ist es nahezu unmöglich, jemanden aufzuspüren, der dort das Internet genutzt hat und bereit ist, zu sprechen. Daher ist es auch praktisch unmöglich, Informationen über die Leistung von Kwangmyong zu erhalten.
Akamai führte im Juni 2016 den letzten internationalen Vergleich der Internetgeschwindigkeit unter Einbeziehung Nordkoreas durch. Damals wurde die durchschnittliche Geschwindigkeit des Internets weltweit mit 5,6 Mbit/s berechnet. Die Umfrage ergab Durchschnittsgeschwindigkeiten in 170 Ländern.
Nordkorea landete mit einer Durchschnittsgeschwindigkeit von 2 Mbit/s nicht auf dem letzten Platz. Es belegte den 134. Platz auf der Liste. Es ist jedoch nicht klar, ob diese Geschwindigkeit für das tatsächliche Internet oder für Kwangmyong gemessen wurde.
In diesem Bericht lag die durchschnittliche Internetgeschwindigkeit Südkoreas mit 26,7 Mbit/s auf Platz eins. Zum Vergleich: Der Bericht verzeichnete in den USA eine Durchschnittsgeschwindigkeit von 14,2 Mbit/s.
Digitales Bewusstsein
Es ist eine Herausforderung, in Nordkorea einen Computer zu bekommen. Nur wenige Geschäfte führen sie, und ein potenzieller Käufer muss die Genehmigung der Polizei einholen, bevor er überhaupt stöbern darf. Diese Erlaubnis wird nur nach einem Hausbesuch des Sicherheitsdienstes und einer längeren Befragung aller Haushaltsmitglieder erteilt. In Nordkorea gibt es etwa 200.000 Haushalte mit einem Computer.
Kwangmyong ist ein Einwahldienst. Um von zu Hause aus Zugang zu erhalten, müsste der Benutzer eine höhere Sicherheitsfreigabe erhalten, was mehr Beurteilungsbesuche und Interviews erfordert. Fast alle mit Kwangmyong verbundenen Heimcomputer stehen in der Hauptstadt Pjöngjang.
In jüngerer Zeit ist es möglich, über ein Mobiltelefon oder Tablet eine Verbindung zu Kwangmyong herzustellen. In Nordkorea gibt es etwa 4,5 Millionen Mobilgeräte.
Der Zugang zu Kwangmyong erfolgt häufiger über Computerräume in Universitätsbibliotheken oder großen Fabriken. Im ganzen Land sind mehrere Cybercafés erlaubt, die den Zugang zu Kwangmyong durch den Kauf eines zeitbasierten Tickets ermöglichen. Allerdings sind die Kosten für diese Tickets sehr hoch und übersteigen die Mittel des Durchschnittsbürgers.
Zu den Diensten des Kwangmyong-Netzwerks gehört der Zugang zu Chatrooms, das nationale Äquivalent zu Facebook wurde jedoch 2006 geschlossen. Es steht jedoch ein regionales Message-Board-System zur Verfügung, das Wissenschaftlern den Zugriff auf eine Chat-Funktion ermöglicht. Es gibt auch ein öffentlich zugängliches Video-Chat-System für persönliche Videoanrufe. Dies wurde 2010 ins Leben gerufen und heißt Raekwon. Nachrichtenjournalisten im Fernsehen nutzen dieses System häufig, um Berichte aus dem ganzen Land zu veröffentlichen.
Dating-Chat ist auf Kwangmyong erlaubt und es sind auch einige Videospiele online verfügbar, wie zum Beispiel koreanisches Schach.
Online-Anonymität
In Nordkorea gibt es keine Online-Anonymität, da die Regierung alle Dienste bereitstellt und die gesamte Nutzung verfolgt wird.
Zu den Standarddiensten von Kwangmyong gehört ein E-Mail-System und es steht eine staatliche Suchmaschine zur Verfügung. Der Zugriff auf die Website auf Kwangmyong erfolgt über einen normalen, staatlich zugelassenen Browser. Da alle Aktivitäten auf Kwangmyong überwacht werden und der Zugriff als Privileg für wenige angesehen wird, ist die Idee, Spam-E-Mails zu versenden oder Web-Hacks auf Kwangmyong zu erstellen, unbekannt.
Zugriff auf Datenschutztools
In Nordkorea gibt es keine VPNs. Wenn Sie also ein Ausländer sind und zu Hause ein VPN-Abonnement haben, nützt Ihnen das nichts, wenn Sie nach Nordkorea kommen. Erstens können Sie keine Verbindung zum eigentlichen Internet herstellen. Zweitens: Wenn es Ihnen gelingt, die Erlaubnis zum Zugriff auf Kwangmyong zu erhalten, kann Ihr VPN-Client keinen der internationalen Server Ihres Anbieters erreichen.
Nordkoreaner haben keinen Zugriff auf VPN-Websites und könnten daher kein VPN-Abonnement abschließen, selbst wenn sie ein Bankkonto hätten, über das sie internationale Zahlungen senden könnten. Auf Kwangmyong sind keine VPN-Dienste in Betrieb.
Brennertelefone und temporäre Webmail-Konten sind in Nordkorea nicht verfügbar. Die Registrierung für einen Dienst auf Kwangmyong bedeutet jedoch, dass Sie bei allen Ihren Online-Aktionen identifiziert werden können.
Überraschenderweise gibt es einige Tor-Aktivitäten, die von Nordkorea ausgehen. Da diese Aktivität jedoch im Internet und nicht in Kwangmyong registriert wird, dienen diese geschützten Verbindungen wahrscheinlich der Hackerforschung. Die folgende Grafik zeigt Tor-Verbindungen aus Nordkorea. Es handelt sich um den endgültigen Rekord, der vom Tor-Projekt für den Zeitraum August 2020 bis August 2021 erstellt wurde.
Diese Grafik zeigt die Anzahl der Benutzer im Tor-Netzwerk pro Tag in Nordkorea. Das ganze Jahr über ist jeden Tag eine Person zugeschaltet. Die maximale Nutzerzahl an jedem Tag betrug 6, mit Ausnahme eines Tages Ende Juni 2021, an dem 12 Personen verbunden waren.
Die nebenstehende Grafik zeigt dagegen die Anzahl der Nutzer in den USA. Abgesehen von einer sehr aktiven Zeit im September 2020 liegt die Spanne der täglichen Tor-Nutzer in den USA zwischen 275.000 und 550.000.
Cyberkriminalität: Prävalenz und Angriffsarten
Innenpolitisch gibt es in Nordkorea keine Cyberkriminalität. Ausländische Hacker können nicht nach Kwangmyong gelangen. Anonymous behauptete, im Jahr 2013 in das Netzwerk eingebrochen zu sein, konnte jedoch weder Beweise vorlegen noch den Vorfall wiederholen, während Zeugen auf die Verifizierung achteten. Niemand in Nordkorea würde jemals Cyberkriminalität gegen Kwangmyong begehen.
Eine andere Geschichte ist es, von Nordkorea aus in den Rest der Welt zu hacken. Nordkorea verfügt über eine sehr aktive Hackerstaffel, die vollständig von der Regierung kontrolliert wird, und gehört zu den wenigen Menschen im Land, die jemals Zugang zum Internet haben.
Der staatliche Geheimdienst organisiert alle Hacker in Nordkorea in einer Organisation namens Lazarus Group. Obwohl die führenden Akteure dieser Gruppe als unabhängige Hacker begannen, geraten sie inzwischen unter die Kontrolle der Regierung.
Das Whois-Team kennt auch das staatlich kontrollierte Team Guardians of Peace, Hidden Cobra, ZINC, God’s Apostles und God’s Discipline. Die Gruppe führt Angriffe eher aus Aufklärungs- und Störungsgründen als aus finanziellen Gründen durch, obwohl sie als Nebeneffekt mit ihren Angriffen Geld verdient.
Zu den regelmäßigen Aktivitäten der Lazarus Group gehört die Durchführung von DDoS-Angriffen gegen Ziele in Südkorea und den USA. Diese Kampagne begann im Jahr 2009, ist jedoch seit 2012 seltener geworden, als sich die Gruppe auf die Implementierung von Advanced Persistent Threats (APTs) konzentrierte. Bei einem APT verschafft sich der Hacker Zugang und erkundet manuell das Zielnetzwerk, wobei er Hacking-Tools verwendet, um die Recherche zu automatisieren und das Knacken von Anmeldeinformationen mit Brute-Force-Angriffen zu ermöglichen.
APT-Hacker führen Routinen ein, um Protokolldateien regelmäßig zu ändern oder zu löschen, um Aufzeichnungen über ihre Aktivitäten zu verbergen. Da jedoch SIEM-Dienste und Intrusion-Detection-Systeme immer häufiger von Unternehmen und Regierungen auf der ganzen Welt genutzt werden, verringern sich die Möglichkeiten für APT-Aktivitäten.
Die Lazarus-Gruppe verfügt über zwei Fachbereiche, die Leistungen für das Team und auch für beauftragende Mitarbeiter erbringen. Die ersten davon sind BlueNorOff, auch bekannt als APT38, und Stardust Chollima. Dieses Team bewegt Geld international zwischen Bankkonten, indem es SWIFT-Datensätze manipuliert. Dies dient sowohl dem Diebstahl als auch der Verschleierung der Ertragsbewegungen der Gruppe. Die andere Einheit heißt AndAriel und ist auch als Silent Chollima bekannt. Das Team ist auf APTs in Südkorea spezialisiert.
Der größte Raubüberfall von BlueNorOff war der Diebstahl von mehr als 100 Millionen US-Dollar von der Bangladesh Bank im Jahr 2016. Der gesamte Plan sollte eine Milliarde US-Dollar kosten, doch die Operation wurde entdeckt und blockiert, nachdem die ersten beiden Tranchen abgeschlossen waren.
Im Jahr 2014 brach die Lazarus-Gruppe, die unter dem Namen „Guardians of Peace“ firmierte, in das System von Sony Pictures ein und stahl eine große Menge personenbezogener Daten (PII). Dieser Angriff wurde durch die Wut des nordkoreanischen Führers Kim Jong-un inspiriert, der über die bevorstehende Veröffentlichung des Films „The Interview“ empört war. Die Handlung dieses Films basierte auf einem fiktiven Attentatsversuch auf den nordkoreanischen Präsidenten und Kim Jong-un wollte die Veröffentlichung des Films verhindern.
Der Datendiebstahl von Sony Pictures zielte darauf ab, die Produktionsfirma zu erpressen, die Veröffentlichung von „The Interview“ abzusagen, indem in regelmäßigen Abständen Teile der gestohlenen Daten im Dark Web veröffentlicht wurden, wo andere Hacker sie nutzen könnten. Stattdessen gab das Unternehmen nach und verschob die Veröffentlichung des Films.
Einer der bekanntesten Ransomware-Angriffe der Geschichte, WannaCry, der 2017 gestartet wurde, machte die Lazarus-Gruppe dafür verantwortlich. Die Zuschreibung war jedoch nie schlüssig, da einige Analysen Hackergruppen in Hongkong oder Südchina die Schuld gaben.
Zuletzt versuchte die Gruppe, in das System von AstraZeneca einzudringen, um dessen Covid-19-Impfstoffforschung zu stehlen. Der Angriff blieb jedoch erfolglos und es wird angenommen, dass die Gruppe gleichzeitig andere große Pharmalabore ins Visier genommen hat.
Die Lazarus-Gruppe ist auch heute noch aktiv. Im August 2021 wurde bekannt, dass das Team im APT-Stil innerhalb eines südkoreanischen Mediengruppensystems aktiv war.