Chaos creëren en geld verdienen. Zo werken Noord-Koreaanse hackers

Als je deze dagen ergens iets over Noord-Korea leest, dan zijn de woorden 'kernwapens' en 'VS' niet ver weg. Met de rakettest van afgelopen dinsdag staan de verhoudingen weer op scherp. De dreiging is volgens sommige experts groter dan ooit. Over een andere dreiging gaat het minder vaak, maar hij is net zo actueel: die van de Noord-Koreaanse hackers.

Maar wat doen zij eigenlijk? En waar schuilt het gevaar in?

De aanvallen

De afgelopen jaren zijn er meerdere cyberaanvallen geweest die door onderzoekers in verband worden gebracht met Noord-Korea. De meest recente aanval was WannaCry. Dit was een gijzelvirus dat in mei van dit jaar allerlei instanties over de hele wereld een weekend in zijn greep hield. Britse ziekenhuizen gingen plat en in Nederland werd parkeerbedrijf Q-Park erdoor getroffen.

Ruim een jaar daarvoor lukte het hackers om de centrale bank van Bangladesh te hacken. Ze wilden zo’n 900 miljoen dollar stelen, maar door een tikfout liep dat mis. Ze kwamen uiteindelijk alsnog weg met 81 miljoen dollar. Onderzoekers van anti-virusbedrijf Kaspersky concludeerden dat Noord-Koreaanse hackers hier hoogstwaarschijnlijk achter zaten.

Een derde - zeer bekende - hack was die op filmstudio Sony Pictures. In november 2014 publiceerde een groep, die zichzelf Guardians of Peace noemde, data die afkomstig waren van Sony. Tussen die gegevens zaten persoonlijke informatie over medewerkers van het bedrijf en hun families, e-mailconversaties en bijvoorbeeld gegevens over salarissen. De inhoud van computers werd gewist.

Het uitbrengen van The Interview wordt als motief gezien voor het hacken van Sony Pictures

- AFP

In die periode legde Sony de laatste hand aan een speelfilm waarin de leider van Noord-Korea, Kim Jong-un, centraal staat en waarin wordt geprobeerd hem om te brengen. De film wordt gezien als een motief voor de hack.

Deze drie aanvallen lijken allemaal te zijn uitgevoerd door een uit Noord-Korea afkomstige groep: de Lazarus Groep. "Deze groep lijkt als voornaamste doel te hebben om chaos te creëren en destructieve aanvallen uit te voeren", zegt beveiligingsonderzoeker Frank Groenewegen van Fox-IT.

Daar is de Sony-hack een bekend voorbeeld van. "Daarnaast lijkt er binnen die groep ook nog een ander team actief te zijn: Bluenoroff, dat sinds 2016 waarschijnlijk ook als doel heeft om geld te verdienen vanwege de steeds strenger wordende embargo's."

Volgens Groenewegen werken ze onder meer vanuit zogenoemde 'hackershotels', die te vinden zijn op de grens met China. Dit komt doordat het internet in China stukken beter is in Noord-Korea en dat bij voorbaat alle verbindingen vanuit Noord Korea scherp in de gaten worden gehouden door overige landen.

Echt Noord-Korea?

Als een bedrijf digitaal wordt aangevallen, volgt daarna een onderzoek. Vaak zijn de inlichtingendiensten, in de VS de NSA en in het Verenigd Koninkrijk de GCHQ, daarbij betrokken. Ook zijn er steevast commerciële partijen die onderzoek doen. Zij pluizen het virus waarmee de aanval is uitgevoerd uit, op zoek naar aanwijzingen die mogelijk kunnen leiden tot het vinden van de daders.

Zoals rechercheurs bij een moord zoeken naar vingerafdrukken en dna, wordt er hier ook gezocht naar digitale sporen. Er wordt bijvoorbeeld gekeken naar de taal en stijl waarin de malware (het virus) is geschreven. Waar lijkt dat op? Wat vertelt het ons? Is het eerder gebruikt?

Ik denk dat van Noord-Korea makkelijk een false flag is te maken, want het land zal zich snel niet verdedigen in dit opzicht.

Sico van der Meer, veiligheidsanalist bij Instituut Clingendael

Toch is het lastig om de hierboven beschreven aanvallen met zekerheid toe te schrijven aan een partij, vertelt beveiligingsonderzoeker Rickey Gevers. "Ik zie overeenkomsten die erop wijzen dat het om dezelfde groep gaat. De malware is van dezelfde kwaliteit en je vindt er digitale vingerafdrukken terug. Ook is de manier waarop ze computers leegmaken karakteristiek voor hen. Maar 100 procent zekerheid heb je niet."

Sico van der Meer, veiligheidsanalist bij Instituut Clingendael en expert op het gebied van Noord-Korea, benadrukt dat conclusies trekken ingewikkeld is. "Om WannaCry als voorbeeld te nemen: ik zie veel verschillende verhalen. Waren het de Russen? Noord-Koreanen? Ik denk dat van Noord-Korea makkelijk een false flag is te maken, want het land zal zich snel niet verdedigen in dit opzicht."

De NSA trekt die conclusie in ieder geval wel, schreef The Washington Post deze zomer.

Experimenteren met gijzelsoftware

Er zijn dus aanvallen die aan Noord-Korea kunnen worden toegeschreven, maar zekerheid hebben we niet. Waar we wel een aardig beeld van hebben, is de reden dat de Noord-Koreanen hacken en waarvandaan ze dit doen.

Noord-Korea is vooral nu bezig met minder gevaarlijke zaken, zegt Van der Meer. "Ze zijn heel actief in het criminele circuit en je ziet dat ze experimenteren met gijzelsoftware. Daarnaast hebben ze hun pijlen ook al langer gericht op Zuid-Korea, waar ze organisaties al jaren bestoken met aanvallen."

Daarnaast vermoedt Van der Meer dat Pyongyang in de ontwikkeling van hack-capaciteiten minder ver is dan Rusland, de VS of Israël. "Ik heb de indruk dat het vooral copycat-hackers zijn, meer houtje-touwtje-achtig. Al staan ze wel in de top-10 van landen met de meeste hack-capaciteiten. Wat volgens mij de crux is, is dat ze niet zozeer zelf innoveren maar kijken wat anderen doen."

WannaCry is een bekend voorbeeld van gijzelsoftware die uit Noord-Korea zou komen

- EPA

De indruk is wel dat de Noord-Koreanen steeds beter worden. Ze zijn kwalitatief gezien nog niet heel goed, zegt Gevers, maar werken wel effectief. Tegelijkertijd verwacht hij niet op korte termijn heel grote aanvallen van ze. "Je weet dat je dan een oorlog uitlokt, dus ik kan me niet voorstellen dat dat snel gebeurt, al zijn de capaciteiten er wel."

Er is op dit moment veel meer aandacht voor de nucleaire capaciteiten van Noord-Korea, dan voor de hack-kunsten van het land. Iets wat Van der Meer snapt. Zo'n nucleair wapen kan een miljoen mensen het leven kosten, maar er komt natuurlijk een keer een moment dat een cyber-aanval dezelfde impact kan hebben, zegt hij.

Ik denk dat hier geldt: een kat in het nauw maakt rare sprongen.

Frank Groenewegen, beveiligingsonderzoeker bij Fox-IT

Bedenk dat de economie van Noord-Korea er echt heel slecht voor staat, zegt Groenewegen. "De handelsembargo's drukken op het land. Dus ik denk dat hier geldt: een kat in het nauw maakt rare sprongen. Als de embargo's nog verder worden opgevoerd, kunnen ze echt in nood komen. Het is dan, denk ik, niet ondenkbaar dat Noord-Korea als represaille een tegenaanval uitvoert."

Maar, dan ben je slachtoffer van een aanval die verder gaat dan alleen criminaliteit en heb je sterk de aanwijzing dat Noord-Korea erachter zit. Wat doe je dan? Denk bijvoorbeeld aan een scenario waarbij in de VS of Zuid-Korea een elektriciteitscentrale wordt platgelegd.

Heeft een tegenaanval zin?

Terugpakken is heel erg ingewikkeld, zeker als je het niet 100 procent zeker weet, legt Van der Meer uit. "Als je dan de verkeerde pakt, is dat heel pijnlijk. Daarnaast heeft Noord-Korea een constante gijzelaar: de Zuid-Koreaanse hoofdstad Seoul. Die stad kunnen ze in een dag platgooien en dus enorm veel schade aanrichten. Dat weerhoudt landen als de VS ervan hard in te grijpen." Zuid-Korea wordt waarschijnlijk bijna constant aangevallen door Noord-Koreaanse hackers.

Ik denk dat de drempel van daadwerkelijke digitale oorlogsvoering heel hoog ligt, zegt Paul Ducheine, hoogleraar Law of Military Cyber Operations aan de Universiteit van Amsterdam. "Je ziet dat er nu sprake is van veel spierballentaal, van kijk eens wat wij kunnen. Neem bijvoorbeeld het uitvallen van de elektriciteitscentrale in december 2015 in Oekraïne."

Seoul, de hoofdstad van Zuid-Korea, is voor Noord-Koreaanse hackers een constant doelwit

- AFP

Volgens Ducheine is er niet zomaar sprake van een tegenaanval. "Je beschermt je tegen wie dan ook. Als er in Nederland een grote brand uitbreekt, dan gaan we die eerst blussen. Daarna vindt er onderzoek plaats en kun je wellicht constateren wie hierachter zit. Zo gaat het ook met een digitale aanval."

Daarnaast heeft een aanval op het Westen of Zuid-Korea waarschijnlijk een veel grotere impact dan eenzelfde soort aanval op Noord-Korea. Het land heeft een compleet andere infrastructuur, schreef The New York Times onlangs in een stuk over de hackers uit dat land. Waar in veel westerse landen steeds meer zaken zijn aangesloten op internet, is dat in Noord-Korea veel beperkter.

Maar Noord-Korea is niet de enige die hackt, toch?

Nee. De VS, Rusland, Israël, Verenigd Koninkrijk en China plegen ook digitale aanvallen. De modus operandi verschilt overigens wel. Waar Noord-Korea het, momenteel, vooral doet om geld te verdienen heeft VS er een politiek doel mee en China een economisch, zegt Van der Meer.

Een bekende hack die door Amerika en Israël werd gepleegd, was de aanval op een nucleaire reactor in Natanz, Iran. De aanval, die voor de buitenwereld bekendstaat als 'Stuxnet' en bij inlichtingendiensten als 'operatie Olympic Games' heette, bracht schade toe aan de ontwikkeling van het kernprogramma van het land. Tegelijkertijd was de aanval niet zo succesvol als sommigen hadden gehoopt, omdat Iran op een gegeven moment de sabotage ontdekte.