Noord-Korea's 'cyberzwaard' roofde 'honderden miljoenen' van banken
Ontmanteling van het Noord-Koreaanse kernwapenarsenaal: voor de vierde keer heeft de Amerikaanse minister Mike Pompeo dit onderwerp besproken in Pyongyang. Cyberaanvallen stonden niet op de officiële agenda van het bezoek dit weekend - terwijl deze week duidelijk werd dat Noord-Koreaanse hackers flink bezig zijn geweest.
Door online infiltratie van banken heeft het land honderden miljoenen dollars gestolen sinds 2014. Die onbewezen claim maakte het Amerikaanse internetbeveiligingsbedrijf FireEye afgelopen woensdag. Het is zeldzaam dat zulke concrete bedragen worden genoemd.
Volgens Noord-Korea-onderzoeker Remco Breuker is de beschuldiging geloofwaardig. "Het is bekend en bewezen dat het regime zich met hacken bezighoudt, ook dankzij de getuigenissen van gevluchte hackers."
Een dag eerder, op dinsdag, waarschuwde de Amerikaanse overheid voor het Noord-Koreaanse Hidden Cobra-hackerscollectief. Dat zou uit pinautomaten in Afrika en Azië tientallen miljoenen dollars buit hebben gemaakt in krap twee jaar tijd. Het zou de hackers gelukt zijn om tegelijkertijd te cashen uit dertig geldautomaten in verschillende landen.
Cyberoorlogvoering is het almachtige magische zwaard.
De digitale wereld blijkt een goudmijn voor het regime in Pyongyang. Het land maakt software voor encryptietechnologie, gezichtsherkenning en vingerafdrukscanners en verkoopt het over de hele wereld, bleek uit een rapport dat gepubliceerd werd in mei.
"De verkoop gebeurt via in buitenlanden geregistreerde bedrijven, die er nadrukkelijk niet Noord-Koreaans uitzien", zegt hoogleraar Koreastudies Breuker. Nietsvermoedende bedrijven die de Noord-Koreaanse software aanschaffen, zijn vervolgens een makkelijke prooi. "Het maakt het installeren van kwetsbare code wel zo makkelijk."
Het communistische regime leidt al sinds de jaren 90 mensen op tot cybersoldaat. Die zijn ondergebracht bij het zogeheten Bureau 121. Dat bureau telt inmiddels zeker 1700 gespecialiseerde hackers, schrijft Breuker in zijn boek De BV Noord-Korea (2018).
APT38
De afgelopen week werd in de VS dus alarm geslagen over de digitale slagvaardigheid van Noord-Korea. De aan dit land gekoppelde hackgroep APT38 heeft geprobeerd 1,1 miljard dollar te stelen van banken in vier jaar tijd. Internetbeveiligingsbedrijf FireEye baseert zich op eigen data. Daaruit zou blijken dat er honderden miljoenen daadwerkelijk zijn buitgemaakt. Een exact aantal werd niet genoemd.
Een recent voorbeeld is de online bankroof op een bank in Chili. In mei werd daar 10 miljoen euro ontvreemd, vermoedelijk door APT38. Op dezelfde manier zijn banken in nog eens tien andere landen aangevallen. Onder meer in Europa, Azië en Noord- en Zuid-Amerika. In het rapport van FireEye staan de namen van de getroffen bedrijven.
Bij FireEye werken onder meer cyberexperts van het leger en de opsporingsdiensten van Amerika. Het bedrijf voert een malware-analyse uit voor het strafrechtelijke onderzoek naar de vermeende Noord-Koreaanse hacker Park Jin Hyok. Deze vermoedelijk 34-jarige programmeur wordt sinds september door de FBI gezocht.
Park is gelinkt aan drie beruchte hackaanvallen: het WannaCry-virus, de aanval op een bank in Bangladesh en de zogeheten Sony-hack. De 34-jarige is de eerste Noord-Koreaanse burger waartegen in de VS een strafrechtelijke onderzoek wegens hacken loopt. Pyongyang ontkent overigens dat hij bestaat en spreekt tegen dat het land ook maar iets te maken heeft met deze zaken.
Desondanks wijst internationaal onderzoek erop dat de drie hacks zeer waarschijnlijk uitgevoerd zijn door hackers uit Noord-Korea.
Voor 100 procent bewijzen wie er achter een cyberaanval zit, is vrijwel onmogelijk. "Zeer hoge waarschijnlijkheid is het hoogst haalbare, vermoed ik. Ook al omdat Noord-Korea samenwerkt met hackers uit andere landen", zegt Breuker.
Het is een van de redenen waarom Noord-Korea al vroeg fors geïnvesteerd heeft in de digitale strijd. "Cyberoorlogvoering is het almachtige magische zwaard", zei leider Kim Jong-un in 2013, staat in Breukers boek.
Het is relatief goedkoop, je kunt je identiteit verborgen houden en je behaalt een groot effect met weinig middelen. Volgens hoogleraar Breuker zijn dit de hoofdredenen voor Noord-Korea's inzet op hacken en digitale spionage. Vooral nu de sancties tegen het communistische land steeds verder zijn opgeschroefd.
Toename van hacks
Door de rakettesten en atoomproeven is de Noord-Koreaanse economie de afgelopen jaren steeds verder aan banden gelegd. FireEye vermoedt dat dit de aanleiding ervoor is dat het land sinds 2014 zijn cybercampagne heeft opgevoerd.
Breuker denkt dat dit de komende jaren verder zal toenemen. "De cyberhacks en dergelijke nemen alleen maar toe naarmate de internationale sancties langer duren. En zo Noord-Korea's vermogen om buitenlandse valuta te verdienen ernstig kortwiekt."
Zolang Pyongyang niet actief zijn atoomprogramma opdoekt, zullen de economische sancties van kracht blijven. De Amerikaanse minister van Buitenlandse Zaken heeft zijn handen vol aan het onderwerp denuclearisatie. Het 'almachtige magische cyberzwaard' kwam bij zijn bezoek in Noord-Korea dit weekend, voor zover bekend, niet ter sprake.
Het valt niet uit te sluiten dat het onderwerp achter gesloten deuren toch is besproken door Pompeo en Kim Jong-un. Maar de kans lijkt erg klein dat Noord-Korea stopt met het uitvoeren van lucratieve cyberaanvallen. "Zonder hacken zou het regime het moeilijker hebben om zichzelf te handhaven", zegt Breuker.
