Киберпрофил на Северна Корея
Интернет не е публична медия в Северна Корея; това е държавен ресурс. Режимът на Ким Чен-ун държи страната изолирана от останалия свят. Така че единствената истина е тази, която се разпространява от контролираните от правителството медии. Светът е опасно място и въпреки всичко, което им е казано, севернокорейците са благодарни, че са защитени от него.
Съмнително е, че някога ще отидете в Северна Корея по работа или за удоволствие. Така че този профил на страната ще се фокусира върху срещите, които външният свят има с държавно спонсорираните хакери на Северна Корея.
Интернет проникване и достъпност
Интернет не е достъпен за широката общественост в Северна Корея, така че страната има нулево проникване на интернет. Има някои връзки към интернет, достъпни за ограничен брой държавни служители или научни изследователи. Няколко уеб сървъра в страната хостват правителствен уебсайт, като Корейската централна новинарска агенция. Правителството има около 30 уебсайта, свързани с World Wide Web.
Малкото връзки, които съществуват към местния интернет, се насочват през Китай. Правителството ще предостави зала за пресата за значими събития, предназначени да привлекат чуждестранната преса; това включва няколко терминала, които позволяват достъп до интернет. Освен това е възможно чужденците да се свързват с интернет чрез 3G мобилна мрежа.
Какво е Kwangmyong?
Страната има свой интернет, наречен Kwangmyong, който няма връзка с интернет, наличен в други страни. Kwangmyong също работи по същия начин като World Wide Web, с изключение на това, че не е възможен достъп до сайтове извън Корея. Всички URL адреси в тази система използват домейна от най-високо ниво .kp и всеки се идентифицира и с IPv4 адрес, който е уникален в Kwangmyong.
Тъй като Kwangmyong използва същата конвенция за именуване като World Wide Web, всички URL адреси са написани с латински букви, а не с азбуката Hangul, използвана за корейския език. Това прави повечето URL адреси неразбираеми за обикновения потребител. Севернокорейците предпочитат да влизат в сайтове, като въвеждат IP адреса в адресната лента вместо URL по азбучен ред. Това губи много от маркетинговите предимства, които западните оператори на електронна търговия внедряват с избора си на име на домейн.
Тъй като IP адресите са трудни за запомняне, търсачките и отметките са основни механизми за намиране или повторно посещение на сайтове в Kwangmyong. Въпреки това, тези практики правят телевизионни или радио рекламни обвързвания към сайтове предизвикателство за постигане.
Няма връзка между Kwangmyong и интернет. За да запази видимото разделение между двете системи, правителството на Северна Корея гарантира, че всяка сграда, от която е възможно да се свържете с интернет, няма никакви устройства в нея, които могат да се свържат с Kwangmyong.
Скорости на интернет в Северна Корея
Тъй като Северна Корея е затворено общество, е предизвикателство да се получи информация за представянето й в интернет. Всъщност, като се има предвид, че много малко хора в Северна Корея имат достъп до глобалната система, е почти невъзможно да се проследи някой, който е използвал интернет там и е готов да говори. Следователно също така е практически невъзможно да се получи информация за представянето на Kwangmyong.
Akamai направи последното международно сравнение на скоростта на интернет, което включва Северна Корея през юни 2016 г. По това време средната скорост на интернет в световен мащаб беше изчислена на 5,6 Mbps. Проучването отчита средни скорости в 170 държави.
Северна Корея със средна скорост от 2 Mbps не е на последно място. Той се класира на 134-то място в списъка. Не е ясно обаче дали тази скорост е измерена за действителния интернет или за Kwangmyong.
В този доклад средната скорост на интернет за Южна Корея я поставя на първо място с 26,7 Mbps. За сравнение, докладът регистрира средна скорост от 14,2 Mbps в САЩ.
Дигитална информираност
Трудно е да се сдобиеш с компютър в Северна Корея. Малко магазини ги съхраняват и потенциалният купувач трябва да получи разрешение от полицията, преди дори да му бъде разрешено да разглежда. Това разрешение се дава само след домашно посещение от службата за сигурност и продължителен разпит на всички членове на домакинството. В Северна Корея има около 200 000 домове с компютър.
Kwangmyong е комутируема услуга. За да получи достъп от вкъщи, потребителят ще трябва да получи по-високо разрешение за сигурност, което включва повече посещения за оценка и интервюта. Почти всички домашни компютри, свързани с Kwangmyong, са в столицата Пхенян.
Съвсем наскоро стана възможно да се свържете с Kwangmyong чрез мобилен телефон или таблет. В Северна Корея има около 4,5 милиона мобилни устройства.
Достъпът до Kwangmyong е по-често засегнат чрез компютърни зали в университетски библиотеки или големи фабрики. Има няколко разрешени киберкафенета в страната, които биха позволили достъп до Kwangmyong чрез закупуване на билет, базиран на времето. Цената на тези билети обаче е много висока и не е по силите на обикновения гражданин.
Услугите на мрежата Kwangmyong включват достъп до чат стаи, но националният еквивалент на Facebook беше спрян през 2006 г. Налична е обаче регионална система за табла за съобщения, която позволява на академиците да имат достъп до чат. Има и система за видео чат, отворена за широката публика за видео разговори от човек на човек. Това стартира през 2010 г. и се нарича Raekwon. Телевизионните журналисти често използват тази система, за да публикуват репортажи от цялата страна.
Чатът за запознанства е разрешен в Kwangmyong, а има и някои видеоигри, достъпни онлайн, като например корейски шах.
Онлайн анонимност
В Северна Корея няма онлайн анонимност, защото правителството предоставя всички услуги и всяко използване се проследява.
Система за електронна поща е включена в стандартните услуги на Kwangmyong и има една налична държавна търсачка. Достъпът до сайта на Kwangmyong се осъществява чрез нормален браузър, одобрен от държавата. Тъй като всички дейности в Kwangmyong се наблюдават и достъпът се счита за привилегия за малцина, идеята за изпращане на спам имейли или създаване на уеб хакове в Kwangmyong е нечувана.
Достъп до инструменти за поверителност
В Северна Корея няма VPN. Така че, ако сте чужденец и имате абонамент за VPN у дома, това няма да ви помогне, когато стигнете до Северна Корея. Първо, няма да можете да се свържете с действителния интернет. Второ, ако успеете да получите разрешение за достъп до Kwangmyong, вашият VPN клиент няма да може да се свърже с нито един от международните сървъри на вашия доставчик.
Севернокорейците нямат достъп до VPN уебсайтове и затова не могат да се абонират за VPN, дори ако имат банкова сметка, която може да изпрати международно плащане. Никакви VPN услуги не работят на Kwangmyong.
Телефоните Burner и временните акаунти за уеб поща не са налични в Северна Корея. Въпреки това, регистрирането за която и да е услуга на Kwangmyong означава, че можете да бъдете идентифицирани във всичките си действия онлайн.
Изненадващо, има известна активност на Tor, произтичаща от Северна Корея. Въпреки това, тъй като тази дейност е регистрирана в интернет, а не в Kwangmyong, тези защитени връзки вероятно са за хакерско изследване. Графиката по-долу показва Tor връзки от Северна Корея. Това е окончателният запис, генериран от проекта Tor, обхващащ периода от август 2020 г. до август 2021 г.
Тази графика показва броя на потребителите на мрежата Tor на ден в Северна Корея. Винаги има един човек, свързан всеки ден през годината. Максималният брой потребители за всеки ден беше 6, с изключение на един ден в края на юни 2021 г., когато бяха свързани 12 души.
За разлика от това съседната графика показва броя на потребителите в САЩ. Освен много активния период през септември 2020 г., обхватът на ежедневните потребители на Tor в САЩ е между 275 000 и 550 000.
Киберпрестъпления: разпространение и видове атаки
Във вътрешен план в Северна Корея няма киберпрестъпления. Чуждите хакери не могат да влязат в Kwangmyong. Anonymous твърдят, че са проникнали в мрежата през 2013 г., но не можаха да предоставят доказателства или да повторят постижението със свидетели, които наблюдават за проверка. Никой в Северна Корея никога не би извършил киберпрестъпления срещу Kwangmyong.
Хакването от Северна Корея към останалия свят е различна история. Северна Корея има много активен ескадрон от хакери, изцяло контролирани от правителството, и е сред малкото хора в страната, които някога имат достъп до действителния интернет.
Правителствената разузнавателна агенция организира всички хакери в Северна Корея в организация, наречена Lazarus Group. Въпреки че водещите играчи в тази група започнаха като независими хакери, оттогава те попаднаха под контрола на правителството.
Екипът на Whois също така познава контролирания от държавата екип, Guardians of Peace, Hidden Cobra, ZINC, God’s Apostles и God’s Discipline. Групата прилага атаки за разузнаване и смущения, а не за финансова печалба, въпреки че печелят пари от атаките си като странична изгода.
Една от редовните дейности на Lazarus Group е стартирането на DDoS атаки срещу цели в Южна Корея и САЩ. Тази кампания започна през 2009 г., но стана по-рядка от 2012 г., когато групата се фокусира върху внедряването на напреднали постоянни заплахи (APT). В APT хакерът влиза и ръчно проучва целевата мрежа, използвайки инструменти за хакване за автоматизиране на проучване и кракване на идентификационни данни с груба сила.
APT хакерите въвеждат рутинни процедури за периодична промяна или изтриване на лог файлове, за да скрият записите на своите дейности. Въпреки това, тъй като SIEM услугите и системите за откриване на проникване стават все по-широко използвани от световните бизнес общности и правителства, възможностите за APT дейност намаляват.
Лазарус Груп има две специализирани звена, които извършват услуги за екипа, а също и за назначаване на сътрудници. Първият от тях е BlueNorOff, известен още като APT38, и Stardust Chollima. Този екип премества пари в международен план между банкови сметки чрез манипулиране на SWIFT записи. Това е за кражба, а също и за скриване на движението на печалбите на групата. Другата единица се нарича AndAriel, която също е известна като Silent Chollima. Екипът е специализиран в APTs в Южна Корея.
Най-големият обир на BlueNorOff беше кражбата на повече от 100 милиона долара от банката на Бангладеш през 2016 г. Цялата схема трябваше да вземе 1 милиард долара, но операцията беше разкрита и блокирана, след като първите два транша бяха завършени.
През 2014 г. Lazarus Group, работеща под името Guardians of Peace, проникна в системата на Sony Pictures и открадна голямо количество лична информация (PII). Тази атака беше вдъхновена от гнева на лидера на Северна Корея Ким Чен Ун, който беше разгневен от предстоящото излизане на филма „Интервюто“. Сюжетът на този филм се основава на измислен опит за убийство на президента на Северна Корея и Ким Чен-ун искаше да предотврати излизането на филма.
Кражбата на данни от Sony Pictures имаше за цел да изнудва продуцентската компания да отмени издаването на The Interview чрез периодично пускане на траншове от откраднатите данни в Dark Web, където други хакери биха могли да ги използват. Вместо това компанията отстъпи и отложи пускането на филма.
Една от най-известните атаки с ransomware в историята, WannaCry, стартирана през 2017 г., обвини Lazarus Group. Въпреки това приписването никога не е било убедително, като някои анализи обвиняват хакерски групи в Хонконг или Южен Китай.
Съвсем наскоро групата се опита да проникне в системата на AstraZeneca, за да открадне нейните изследвания за ваксина Covid-19. Атаката обаче е неуспешна и се смята, че групата е атакувала едновременно други големи фармацевтични лаборатории.
Групата Lazarus е активна и днес. През август 2021 г. бе разкрито, че екипът е бил активен в стил APT в рамките на южнокорейска медийна група.
