Ontmoet de hackers van Noord-Korea: whizzkids met een kaperbrief

Cyberpiraterij voor het nucleaire arsenaal

In het Westen heerst een beeld van Noord-Korea als een ietwat achtergebleven land dat geleid wordt door een onberekenbare dictator, die koste wat kost een arsenaal aan atoomwapens op wil bouwen. Ten onrechte, zo waarschuwen deskundigen in zowel de Washington Post als de Japan Times.

Volgens de beide bladen is Noord-Korea niet enkel een geopolitieke bedreiging, maar ook in digitaal opzicht een gevaar. Tegen die achtergrond loont het om de – digitale – bankovervallen die vanuit Pyongyang over de hele wereld worden uitgevoerd nader onder de loep te nemen, te meer omdat deze in nauw verband staan met het Noord-Koreaanse atoomprogramma.

Noord-Korea
Beeld: ANP/AFP Foto/Kcna

Staatshackers

Pyongyang beschikt over een cyberleger van zesduizend man sterk, dat niet alleen wordt ingezet om geheime informatie te ontfutselen, maar ook een moderne vorm van piraterij uit te oefenen, zo stelde nieuwszender CNN onlangs. Deze staatshackers moeten zorg dragen voor de broodnodige financiële middelen die nodig zijn om het door ’s lands leider Kim Jong-un gewenste krachtige nucleaire potentieel te betalen.

De Noord-Koreaanse hackers hebben met toestemming van het Noord-Koreaanse regime vrij spel in de cyberspace om zo financiële middelen voor het atoomprogramma van het straatarme stalinistische land te regelen.

Bureau 39

Sico van der Meer, expert op het gebied van cyberwapens bij Instituut Clingendael, onderschrijft dit. “Noord-Korea is eigenlijk al decennialang druk bezig met het binnen hengelen van buitenlandse valuta. Het heeft er zelfs een speciaal orgaan, Bureau 39, voor in het leven geroepen. Dat houdt zich bezig met allerlei clandestiene handelingen, zoals drugs- of wapensmokkel. Het geld dat daarmee verdiend wordt, wordt vervolgens weer aangewend om het nucleaire programma te bekostigen, maar ook om via smokkelroutes luxegoederen voor ’s lands elite te bemachtigen. Denk aan de nieuwste modellen van Mercedes of een luxe cognac.”

Ook Remco Breuker stelt dat de link tussen Noord-Korea en de cyberhacks van banken nu toch echt wel bewezen lijkt te zijn. “Al is attributie van cyberhacks altijd enorm moeilijk,” waarschuwt de hoogleraar Koreastudies van de Universiteit Leiden. “En er is bij mijn weten geen direct bewijs dat het hiermee verdiende geld het atoomprogramma in gaat, maar al is dat niet zo, dan maakt het nog andere fondsen vrij om hetzelfde te doen.”

Onder de radar

Ondanks de reputatie van Noord-Korea als misdaadstaat is er maar weinig aandacht voor de cyberovervallen die het land pleegt. Dat is ook wel te begrijpen als men bedenkt dat het land met een Bruto Binnenlands Product van iets meer dan duizend dollar per inwoner van de armste landen ter wereld is. Het land kampt met chronische voedseltekorten en is afhankelijk van Chinese hulp om aan de basisbehoeften van zijn burgers te kunnen voldoen.

Daarmee wekt het niet de schijn te kunnen beschikken over een daadkrachtig cyberleger. Daarnaast leggen buitenlandse media in hun berichtgeving steevast de focus op de nucleaire dreiging die van Pyongyang uitgaat. Daarmee raken de – daarvan op het eerste gezicht losstaande – cyberovervallen ondergesneeuwd. Maar volgens Van der Meer ligt het er ook aan dat Pyongyang niet onomstotelijk als dader aan te wijzen is.

“De sporen leiden naar Noord-Korea, maar cybercrime is vaak maar moeilijk te bewijzen. Daar komt bij dat ook andere hackers zich voor kunnen doen als Noord-Koreanen, bijvoorbeeld door gebruik te maken van hun termen of patronen,” weet hij. Toch stelt die ook dat Noord-Korea zeker in de top-10 van actieve hackerlanden staat. “Ze zijn niet zo goed als de Amerikanen, Russen of Israëli’s en werken soms wat amateuristisch met copy en paste-modellen. Maar ze doen er zeker toe.”

Dat vindt ook Breuker. “We moeten de cyberdreiging die van Noord-Korea uitgaat zeer serieus nemen. We hebben Pyongyang qua kernwapens veel te laat serieus genomen en betalen daar nu de rekening voor. Ik ben me op dit moment voor onderzoek door een berg Zuid-Koreaanse studies aan het werken over Noord-Koreaanse cybercapabilities,” zegt hij.

Spelfout

Daaruit blijkt dat Zuid-Korea al jaren te lijden heeft gehad onder Noord-Koreaanse hacks, waardoor het veel beter dan de rest van de wereld weet hoe geavanceerd Pyongyang in dit opzicht is. Breuker: “We zouden wat beter moeten opletten wat dat betreft. In het veld zelf – onder andere bij de Verenigde Naties – worden de Noord-Koreaanse cyberhackvaardigheden gelukkig niet onderschat. Het aanvankelijke stuntelige amateurisme waarmee Noord-Koreaanse hackers te werk gingen, zette al eerder menige beveiligingsexpert op het verkeerde been.”

Want toen de staatshackers van Pyongyang meer dan een jaar geleden probeerden om 1 miljard dollar te stelen van de New York Federal Reserve, mislukte dit door een spelfout, zo wist persbureau Reuters afgelopen jaar te melden.

Lazarus-groep

De hackers, die inmiddels bekend staan als de Lazarus-groep, waren net bezig de grootste bankoverval in de moderne geschiedenis te plegen door een rekening van de centrale bank van Bangladesh leeg te trekken, toen de Amerikaanse bankiers argwaan kregen. De transactie betrof een overwijzing naar een ‘fandation’, wat ‘foundation’ moest zijn. Daarmee werd de miljardenroof prematuur tot een halt gebracht. Echter niet voordat de groep reeds de lieve som van 81 miljoen dollar hadden buitgemaakt.

Daar bleef het niet bij. Afgelopen mei probeerde Pyongyang een massale ransomware-aanval uit te voeren, die honderdduizenden computers wereldwijd trof. Zeker 150 landen werden getroffen en volgens de New York Times was het slechts door een flinke dosis geluk en met de inzet van een toegewijde Britse hacker van begin twintig dat de Noord-Koreaanse aanval grotendeels werd afgeweerd, waardoor het land uiteindelijk niet veel geld binnen wist te slepen.

Ook is bekend geworden dat Noord-Korea wist in te breken in het militaire netwerk van Seoul en zodanig strategische militaire plannen voor het geval van een oorlog tussen de beide plannen buit wist te maken. Daartoe behoorden onder meer plannen voor het uit de weg ruimen van de top van het regime in Pyongyang tijdens de eerste uren van zo een nieuwe Koreaanse oorlog. Bovendien is er bewijs dat Noord-Korea diverse ‘slapende cellen’ heeft in de Zuid-Koreaanse infrastructuur en binnen het leger die, eens geactiveerd, de energievoorzieningen en militaire netwerken plat kunnen leggen.

En zo is er sprake van nog een hele serie hacks van de Lazarus-groep, waarbij Noord-Korea doelbewust inbreekt en informatie, maar vooral ook geld steelt van financiële instituten van over de hele wereld en waarvan er inmiddels zeker achttien bewezen toe te schrijven zijn aan het regime in Pyongyang. Experts zijn het er inmiddels ook over eens dat de Noord-Koreaanse overvallen tot doel hebben voldoende financiën binnen te harken om ‘s lands atoomprogramma te financieren, dat op zijn beurt weer het overleven van het regime in Pyongyang mogelijk moet maken. Door de economische sancties waar het land zich mee geconfronteerd ziet kampt het met problemen om zijn programma ten volle uit te rollen.

Hoewel de Noord-Koreaanse staatshackers tot nu toe met wisselend succes hebben geopereerdvolgens verschillende experts onmiskenbaar steeds sterker en vaardiger. Niet alleen is de Lazarus-groep in staat gebleken honderden miljoenen dollars buit te maken, ook kan het inmiddels met gerichte aanvallen grote schade aanbrengen aan de westerse infrastructuur, bijvoorbeeld door elektriciteitsvoorzieningen lam te leggen. In tegenstelling tot de sancties vanwege zijn atoomprogramma, wordt Noord-Korea hiervoor vrijwel niet gestraft.

Geen ruimte voor vergelding

Nog meer sancties opleggen kan immers al niet meer en tegelijkertijd heeft het land zelf vrijwel niets te vrezen van een digitale tegenaanval. De Noord-Koreaanse infrastructuur is primitief en daardoor nauwelijks kwetsbaar, zo schrijven technologiemagazines eWeek en TechPulse. Dat stelt ook Van der Meer: “Er is gewoon weinig internet in Noord-Korea, dus daarop kun je ze niet terug pakken.”

Ook Breuker denkt dat maatschappij verstorende aanvallen over het web geen effect zullen hebben. “Er is nauwelijks internet in Noord-Korea, dus het openbare leven platleggen met een cyberaanval kan dus niet.” Van der Meer wijst dan ook op de mogelijkheid om virussen uit te zetten zonder internet. “Denk bijvoorbeeld aan het Stuxnet virus dat de Iraanse atoomcentrifuges plat legde. Dat werd via een USB-stick op een gesloten netwerk overgebracht.”

Breuker gelooft daar echter niet meer in. Tot voor kort kon je een raketlancering nog verstoren, maar dat is nu verholpen, althans zo lijkt het. Noord-Korea is inmiddels al prima in staat om raketten te lanceren.” Het enige overgebleven alternatief is volgens Van der Meer een militaire ingreep, maar “dat zou kunnen leiden tot een oorlog tussen Noord- en Zuid-Korea, met catastrofale gevolgen,” zegt hij.

De New York Times bericht op gezag van een voormalig topman van de Britse inlichtingendienst dat Noord-Korea tot een miljard dollar op jaarbasis buitmaakt met ransomware, digitale bankovervallen etc. Ook de hack van de Zuid-Koreaanse Bitcoinbeurs wordt aan de Lazarus-groep toegeschreven. Daarmee weet Pyongyang een derde van zijn de waarde van zijn export middels digitale kapers te verdienen. Niet slecht voor een land dat nog niet zo lang geleden 100 dollarbiljetten vervalste in een poging aan geld te komen.

Nina Mertens