Cyberwar has started (part 2: Noord Korea)

CyberwarIn het digitale domein zijn verschillende landen inmiddels in een cyberoorlog verwikkeld. De dreiging wordt steeds mondialer, met als gevolg dat vele landen inmiddels begonnen zijn met de opbouw van een heus cyberleger, ondanks dat defensiebudgetten verder afnemen en men zelfs begonnen is aan de ontmanteling van haar fysieke strijdmachten. Natuurlijk hebben al deze cybereenheden een defensief karakter, maar zoals ook in de fysieke wereld wordt deze grens met enige regelmaat opgerekt.

Meest recente gebeurtenis die gezien wordt als een ‘act of war’ is de cyberaanval op Sony Pictures Entertainment. De schade was enorm, verschillende films werden voor de officiële publicatie al op het Internet gratis ter download aangeboden, werkstations op het hoofdkantoor waren onbruikbaar gemaakt waardoor werken letterlijk voor vele weken onmogelijk was. Om maar te zwijgen over de imago schade die de organisatie en de leiding in het bijzonder opliep. Omdat de hack gepaard ging met de eis de film ‘The Interview’ niet te publiceren ging de verdenking snel naar Noord Korea. Dit werd binnen enkele dagen door de FBI bekrachtigd. En in een interview met CNN noemde president Obama de hack “digitaal vandalisme die zeer kostbaar was“. Hij beschouwde het niet als oorlogsdaad maar zei wel “we nemen dit zeer serieus en zullen gepast reageren“. Voor Amerika is het duidelijk, Noord Korea is de schuldige en er wordt al openlijk gesproken over een straf. Noord Korea ontkent natuurlijk alle betrokkenheid en inmiddels twijfelen meerderen aan de bewijslast. Maar gezien Noord Korea’s ontwikkelingen in cyberspace hebben zij de schijn wel tegen zich.

Noord Korea

Noord Korea is koploper in de cyberwedloop. Het telt inmiddels zeker meer dan 6.000 cybermanschappen en heeft daarmee op de Verenigde Staten, Rusland, China en mogelijk Iran na het vijfde grootste cyberleger. Dit is hoogst opmerkelijk als je je realiseert dat het Internet vrijwel letterlijk aan het land voorbij is gegaan. De gemiddelde Noord Koreaan moet de toegang tot het Internet ontberen en als hij toegang heeft wordt deze sterk gecensureerd. Daarnaast heeft Noord Korea pas sinds 2007 beschikking over een eigen Top Level Domain ‘.kp’ en het aantal websites zijn mogelijk op één hand te tellen, vrijwel allen gehost uit het bevriende buurland China. Deze beperking wordt pijnlijk duidelijk uit een nachtelijke satellietfoto van het land waaruit het gebrek aan stroomvoorziening blijkt.
Image

Dissidenten

ImageDankzij verschillende dissidenten is er een goed beeld van Noord Korea’s cyberstructuur en haar bedoelingen. Één van de dissidenten is Kim Heung-Gwang, een voormalig professor aan de Hamhung University of Computer Technology, hij verklaarde dat de cybereenheden zich uiteindelijk zullen richten op de infrastructuur van haar vijanden, Zuid Korea en de Verenigde Staten. Heung-Gwang was gearresteerd omdat hij verboden films verspreidde en werd voor een jaar in een werkkamp geplaatst. Uiteindelijk wist hij te ontsnappen door een grensbewaker om te kopen en vervolgens de rivier Tumen over te zwemmen naar China. Sinds 2004 woont hij in Zuid Korea.

ImageEen andere dissident is Jang Se-yul die officier was in Noord Korea’s cyberleger, deze wist te vertellen dat jonge getalenteerde studenten al op 17 jarige leeftijd gerecruteerd worden voor het cyberleger.

Cyberleger

Noord Korea heeft inmiddels verschillende eenheden die zich volledig richten op het cyberdomein. Binnen het National Defense Commision (NDC) is er het zogeheten ‘Reconnaissance General Bureau’ (RGB) waarvan verschillende cybereenheden deel uit maken.Image

Meest relevante eenheden zijn:

  • ImageOffice No. 91‘ wordt gezien als de centrale commando post bij cyberaanvallen. Ze opereren vanuit een twee verdiepingen tellend gebouw in Dangsang-dong uit het Mangkyungdae district rond Pyongyang.
  • Unit 35‘ is verantwoordelijk voor opleiding en training van de cybersoldaten welke al op jonge leeftijd gerecruteerd worden.
  • Unit 121‘ richt zich op ‘intelligence’ en zorgt voor infiltratie in computernetwerken. Het hoofdkantoor bevindt zich in het Moonshin-dong gebied rond Pyongyang, vlakbij de rivier Taedong. De omvang wordt geschat op zo’n 1.800 man.

Omdat Noord Korea op Internetgebied vrijwel geïsoleerd is, opereren de cybereenheden veelal uit de bevriende landen zoals Rusland en China. Populair is natuurlijk het buurland China waar de Noord Koreaanse cybereenheden net over de grens opereren.

Hotel Chilbosan

ImageOpmerkelijk is het bericht dat ‘Unit 121′ veelal opereert vanuit een hotel in Shenyang (stad net over de grens in buurland China en tevens gelegen in China’s militaire district). Het hotel genaamd ‘Chilbosan‘ is net als elk ander hotel, gewoon te vinden en te boeken via het Internet. Op Tripadvisor zijn zelfs verschillende recenties te lezen. Zo liggen de prijzen rond de 60 euro, zijn de kamers klein maar wel schoon én er is natuurlijk WiFi dat toegang biedt tot het Internet. Het hotel wordt als traditioneel Noord Koreaans beschreven en is alles Noord Koreaans wat de klok slaat; het personeel, de bezoekers en zelfs het eten. Door Tripadvisor gewaardeerd met vier van de vijf sterren.

Acts of War

Een groot aantal gebeurtenissen zijn inmiddels toegeschreven aan Noord Korea (zie daarvoor de timeline op www.claws.in). Noord Korea heeft inmiddels Zuid Korea duideilijk gemaakt ‘klaar te zijn voor een high-tech oorlog’. Zuid Korea beschuldigd op haar beurt Noord Korea ervan dat zij sinds 2007 ten minste zes grootschalige cyberaanvallen op Zuid Koreaanse overheidsinstanties hebben uitgevoerd en daarnaast nog vele minder succesvolle pogingen.

Symantec heeft een aantal gebeurtenissen van DarkSeoul (geuzenaam gebruikt door Noord Koreaanse cybereenheden) in onderstaande timeline afgebeeld.

Castov_Blog_Timeline_v06.png
Aanvallen worden over en weer uitgevoerd. Gevolgd door beschuldigingen en de daarbij behorende ontkenningen. Cyberaanvallen worden volledig anoniem en zonder enige herleidbaarheid uitgevoerd, daarom is het haast onmogelijk om acties toe te schrijven aan een agressor. Maar de volgende gebeurtenissen worden aan het conto van Noord Korea toegewezen.
2004

  • North Korea gains access to 33 South Korean military wireless communication networks 275

2006

  • The U.S. State Department is attacked by entities in the East Asia-Pacific region. The attacks coincided with State Department negotiations with North Korea regarding the regime’s nuclear missile tests. (June)
  • A South Korean military official states North Korea’s Unit 121 has breached South Korean and U.S. military entities. (July)

2007

  • North Korea tests a logic bomb (October)

2009

  • North Korea states that it is “fully ready for any form of high-tech war.” (June)
  • Dark Seoul DDoS and disk wiping malware targeting South Korean and U.S. government, media outlet, and financial websites. These attacks also coincided with U.S. Independence Day. (July)
  • Malware for “Operation Troy” was likely planted

2010

  • Dark Seoul Backdoor. Prioxer detected (June)
  • Korean Central News Agency website becomes North Korea’s first known direct connection to the Internet (October)

2011

  • “10 Days of Rain” Attack – Dark Seoul DDoS and disk wiping malware against South Korean media, financial, and critical infrastructure targets (March)
  • North Korea disrupts South Korean GPS signals (March)
  • North Korea reportedly attempts DDoS attack against Incheon Airport
  • Nonghyup bank suffers DDoS attack (April)

2012

  • South Korean newspaper JoongAng Ilbo attacked (June)
  • Dark Seoul Downloader.Castov detected (October)
  • North Korea signs treaty with Iran, agreeing to combat “common enemies” in cyberspace

2013

  • “March 20” disk wiping attacks against South Korean media and financial institutions (March)
  • Whols Team claims responsibility for attacking LG +U website with wiper malware and defacement, impacting South Korean media and financial institutions (March)
  • The New Romantic Cyber Army Team claims responsibility for the same attacks
  • North Korea experiences 36-hour Internet outage. The cause was never definitively determined
  • Anonymous launches #OpNorthKorea and targets North Korean websites (March)
  • Anonymous allegedly hacks Uriminzokkiri and takes over its Twitter and Flickr pages (April)
  • Dark Seoul attack on South Korean financial institutions (May)
  • Dark Seoul DDoS attacks against South Korean government’s DNS server (June)
  • Details on Kimsuky malware, which targeted South Korean think tanks, first released (September)

2014

  • North Korean drones found near South Korean border (March and April).
  • South Korea’s spy agency said North Korean hackers had planted malware in around 20,000 smartphones.
  • Sony ??

 

Image

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Security en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s