f1motors.ruНовости

Пристальный взгляд на северокорейский интернет

Владимир Кропотов, Филипп З Лин, Федор Ярочкин и Фейке Хаккеборд

Вступление

Присутствие Северной Кореи в Интернете обычно воспринимается как нечто, что идет только одним путем: хакеры выходят, ничего не происходит. Такие инциденты, как Взлом Sony Pictures в 2014 году и пару ограбления мирового банка Как сообщается, работа северокорейских актеров угрозы. Часть общедоступных доказательств опирается на интернет-коммуникации, которые были настроены с северокорейского IP-адреса. Считается, что интернет в стране жестко контролируется, что может заставить думать, что системы в такой сети не могут быть скомпрометированы. Как могли спам-боты, контролируемые иностранными преступниками, быть активными в Северной Корее более года? Возможно ли обычное вредоносное ПО заразить компьютеры в Северной Корее? Используется ли все пространство IP, выделенное для Северной Кореи, в самой стране? Каковы последствия ответов на эти вопросы на атрибуцию нападений, предположительно совершенных северокорейскими актерами?

В этом сообщении блога обобщены наши результаты изучения интернет-трафика, поступающего в Северную Корею и из нее. Он просматривает свое небольшое IP-пространство из 1024 маршрутизируемых IP-адресов. Северная Корея также использует инфраструктуру за рубежом. Мы узнали, что некоторое IP-пространство, зарегистрированное для использования в Северной Корее, на самом деле используется провайдерами виртуальных частных сетей (VPN), которые, очевидно, хотят обмануть гео-IP-сервисы, чтобы пометить иностранную интернет-инфраструктуру как северокорейскую.

Мы расскажем о спам-волнах, которые частично возникают из-за спам-ботов в стране, DDoS-атак на северокорейские веб-сайты и их связи с реальными событиями, а также от повторяющихся атак на северокорейские веб-сайты. Прямо как в нашем более раннее сообщение в блоге в отношении целевых атак, о которых ранее сообщалось, что они исходили из Северной Кореи, мы стремимся демистифицировать некоторые общие убеждения.

Интернет в Северной Корее

Северокорейское интернет-пространство состоит из четырех диапазонов IP-адресов класса C (всего 1024 IP-адреса), подключенных к Интернету через вышестоящего поставщика в Китае. С 1 октября 2017 года российская компания обеспечивает второй маршрут к тому же диапазону IP. По историческим причинам Северная Корея использует один дополнительный диапазон IP-адресов класса C (256 IP-адресов), назначенный China Unicom Telecommunication Company. Доступ к интернету через спутник также возможен в стране. Несколько провайдеров предлагают покрытие, но мы не знаем, кому конкретно разрешено использовать спутниковый интернет.

Несколько диапазонов IP-адресов, по-видимому, используются в Северной Корее, если вы полагаете, что службы определения географического IP-адреса и информация об IP-адресе получены из регистрационных данных Whois.

IP-сеть Номер IP Whois Страна GeoIP Real Country Note 175.45.176.0/22 ​​1024 Северная Корея Северная Корея Северная Корея Выделено для Star Joint Venture Co., Ltd. в Пхеньяне 210.52.109.0/24 256 Китай Китай Китай Заимствовано из Китая Unicom 5.62. 56.160 / 30 4 Северная Корея Северная Корея Чешская Республика «PoP Северная Корея» - используется службой VPN HMA 5.62.61.64/30 4 Северная Корея Монголия Чешская Республика «PoP Северная Корея» - используется VPN-службой HMA 45.42.151.0/24 256 North Корея Северная Корея N / A Manpo ISP (хостинг Roya) 46.36.203.81 1 Северная Корея Северная Корея Нидерланды VPN-сервис «IAPS Security Services» 46.36.203.82/30 4 Северная Корея Северная Корея Нидерланды VPN-сервис «IAPS Security Services» 57.73.224.0/ 19 8192 Северная Корея Северная Корея Не применимо SITA-Orange 88.151.117.0/24 256 Северная Корея Россия Россия ООО «Золотой Интернет» 172.97.82.128/25 128 Северная Корея Северная Корея США «Облако Северной Кореи» - используется службой VPN HMA 185.56 .163.144 / 28 16 Северная Корея Северная Корея Люксембург VPN сервис VPNFacile

Таблица 1. Диапазоны IP-адресов, связанные с Северной Кореей

Некоторые провайдеры виртуальных частных сетей (VPN) утверждают, что имеют выходные узлы в Северной Корее (пример 1, пример 2 ). Это будет означать, что клиенты этих VPN-серверов могут выбрать просмотр через северокорейский выходной узел. Это выглядит довольно любопытной возможностью для авантюрных пользователей познакомиться с интернетом с точки зрения Северной Кореи. Однако, насколько нам известно, претензии провайдеров VPN не соответствуют действительности. «Северокорейские» выездные узлы фактически физически расположены в западных странах, таких как Люксембург, Чехия и США. Провайдеры VPN заставляют службы Geo IP полагать, что у них есть компьютерный сервер в Северной Корее, возможно, путем вставки кода страны Северной Кореи в общедоступные данные Whois определенных диапазонов IP-адресов. Хотя VPN-сервисы могли подумать, что это невинный маркетинговый ход, системный администратор, зависящий от гео-IP-сервисов, может прийти к неверному выводу при просмотре файлов журнала атаки, которая затронула его системы.

Рисунок 1. Сервис HMA VPN говорит, что у него есть выходной узел в Северной Корее, но на самом деле выходной узел находится в Чешской Республике.

Как внешние наблюдатели, мы мало знаем о том, как типичный житель Северной Кореи использует Интернет. Согласно в предыдущий исследования, меньшинство его граждан имеют право использовать Kwangmyong , общенациональный интранет, доступный только в Северной Корее. Это позволяет им использовать видео по требованию, читать онлайн-книги и посещать онлайн-курсы Технологического университета им. Ким Чака, используя мобильные телефоны с тарифным планом предоставлено Koryolink , крупный поставщик услуг в стране, предлагающий мобильная связь с планом данных для граждан, а также для иностранцы , С 2016 года цена для внутренних абонентов составляет 2850 KPW (около 23 долларов США по официальному курсу). Несколько человек также используют Kwangmyong в школе и в администрациях. Для пользователей, которым разрешено просматривать Интернет, трафик проходит через общенациональный прокси-сервер (внутренний IP-адрес прокси-сервера 10.76.1.11), который жестко задан в стандартном веб-браузере Naenara операционной системы Red Star. Согласно говорить Однако на 31-м конгрессе Chaos Communication люди также использовали Windows XP на ноутбуках, импортированных из Китая.

Международные посетители, использующие северокорейский Интернет

До января 2013 года все иностранные гости Северной Кореи должны были сдать свои мобильные телефоны , Позднее правила были изменены, чтобы позволить посетителям держаться за свои мобильные телефоны и планшеты во время пребывания в стране.

Стоимость доступа в Интернет менялась с течением времени и не была так доступна до 2016 года. По словам туриста, цена на мобильный доступ в Интернет для иностранных посетителей в 2013 году достигла 75 евро за активацию и 10 евро в месяц за 50 МБ данных. путевые заметки , С 2016 года цена для иностранцев была снижена до 2,15 долл. США за установку, плюс 3,23 долл. США в месяц при тарифном плане на 1 ГБ. USB-модем для ноутбуков стоит от 150 €.

Насколько нам известно, иностранные пользователи Интернета могут посещать популярные сайты социальных сетей, такие как ВКонтакте, Facebook, Instagram, Google+, а также другие международные сайты со своих ноутбуков и мобильных устройств. Размещение в социальных сетях из Северной Кореи в 2013 году все еще считалось новым. Фотограф Associated Press Дэвид Гуттенфельдер опубликованные фотографии в Instagram и журналист Жан Х. Ли опубликовал чирикать из Пхеньяна, когда она работала на Associated Press.

Рисунок 2: Сообщение в социальных сетях с использованием северокорейского интернета

Это показывает, что Интернет в Северной Корее немного открылся, по крайней мере, для иностранцев, посещающих страну. Интернет-трафик туристов и иностранцев, проживающих в долгосрочной перспективе, осуществляется через внешние IP-адреса. Мы видели веб-трафик, приходящий со следующих IP-адресов:

  • 175.45.178.6
  • 175.45.178.7
  • 175.45.178.10
  • 175.45.178.13
  • 175.45.178.14
  • 175.45.178.23
  • 175.45.178.47
  • 175.45.178.98
  • 175.45.178.99
  • 175.45.178.102
  • 175.45.178.103
  • 175.45.178.111
  • 175.45.178.229

Северокорейские публичные сайты

Есть количество публичных сайтов Размещено в стране. Мы использовали данные Smart Protection Network (SPN) компании Trend Micro, чтобы составить график количества посещений северокорейских веб-сайтов в таблице ниже. Сайт о корейских кулинарных рецептах довольно популярен. Сайт Корейского центрального информационного агентства (KCNA) является самым популярным сайтом и предоставляет международные новости на шести языках. Naenara («Наша страна») - это многоязычный веб-портал, название веб-браузера по умолчанию в северокорейской операционной системе «Red Star OS». Международная радиовещательная служба Voice of Korea предоставляет онлайн-лекции на корейском языке и туристическую информацию. У национальной авиакомпании Air Koryo тоже есть сайт. Хотя некоторые из этих веб-сайтов используют выделенный хостинг, другие размещаются на общем IP-адресе 175 [.] 45 [.] 176 [.] 81. Неудивительно, что DDoS-атаки часто направлены на эти серверы.

Рисунок 3. Naenara, многоязычный веб-портал Северной Кореи

Некоторые северокорейские сайты размещены в других странах. KCNA имеет японскую версию, доступ которой ограничен японскими интернет-пользователями. Этот веб-сайт предоставляет контент для службы, известной как Корейская служба новостей (KNS). KNS также предоставляет фотоуслуги по продаже высококачественных фотографий из Северной Кореи и других стран по цене от 6 000 до 45 000 иен (54 - 400 долларов США). Веб-сайт Uri minzokkiri («Наша нация») расположен в Китае и является пропагандистским сайтом, который переводит избранные новостные статьи на шесть иностранных языков. Хотя один из основных аккаунтов Северной Кореи на YouTube был закрыт в 2016 году, по-прежнему существует канал YouTube (KCTV, Korea Central TV) с официальными видеоклипами.

В приведенной ниже таблице показаны сайты в Северной Корее в соответствии с их популярностью. Синие полосы обозначают выделенные веб-серверы; оранжевые столбцы относятся к веб-сайтам, размещенным на общих серверах.

Рисунок 4. Диаграмма популярности веб-сайтов в Северной Корее по состоянию на июль 2017 года. Источник: сеть Smart Protection Network компании Trend Micro.

Спам-боты в Северной Корее

В Северной Корее есть несколько почтовых серверов, которые отправляют электронные письма (см. Таблицу 2). Насколько нам известно, правительственные организации и министерства не используют адреса электронной почты gov.kp. Вместо этого они размещают свою электронную почту у интернет-провайдеров, таких как star-co.net.kp и silibank.net.kp. Например, Управление авторских прав Корейской Народно-Демократической Республики использует адрес электронной почты [email protected] Главное управление по атомной энергии использует [email protected] Национальная администрация туризма использует [email protected] и визовые требования могут быть рассмотрены корейским комитетом по таэквон-до [email protected] , Иностранные посольства, туристические агентства, банки и иностранные учреждения, которым необходимо общаться через границу, используют свои собственные серверы или общедоступные почтовые службы, такие как Gmail и Hotmail. Письма, отправленные с 175.45.176.70 и 175.45.178.55, обычно являются законными. Электронная почта с других северокорейских IP-адресов, скорее всего, будет серой или вредоносной.

Таблица 2. Почтовые серверы в Северной Корее

Мы обнаружили несколько спам-кампаний, связанных с относительно небольшим количеством спама, исходящего из Северной Кореи, даже когда доступ в интернет для граждан страны строго регламентирован. Данные из интеллектуальной защиты сети Trend Micro (SPN) показывают, что спам-кампании, исходящие из северокорейского диапазона IP-адресов, являются частью нежелательных почтовых кампаний, отправляемых более крупными спам-ботнетами. Это показывает, что компьютеры, подключенные к Интернету в Северной Корее, подвержены вредоносным программам и заражениям ботнетами, как и в любой другой стране. В стране есть компьютеры, которые общаются с командными и контрольными (C & C) серверами действующих лиц, которые, скорее всего, работают за границей. Это также означает, что массовые сканирования портов или попытки взлома, происходящие из северокорейского IP-пространства, могут быть работой актеров, расположенных в других местах.

В таблице ниже перечислены спам-сообщения, отправленные из северокорейского IP-пространства. С августа по декабрь 2016 года IP-адрес 175.45.178.102 участвовал в масштабной спам-кампании, являясь одним из 80 000 уникальных узлов рассылки спама во всем мире. Кампания распространила JS_NEMUCOD, который является загрузчиком, который распространяет вымогателей, таких как Locky и, возможно, другие вредоносные программы, в качестве вложения. Мы также видели распространенную спам-почту, например, связанную с фармацевтическими препаратами и знакомствами.

Дата Отправитель IP-адрес Электронная почта Тип объекта Источник 2016-08-23 175.45.178.102 Отчет об аудите Ransomware Downloader спам-бот сети 2016-08-24 175.45.178.102 Отмена Ransomware Downloader спам-бот сети 2016-08-25 175.45.178.102 Контракт Ransomware Downloader спам-бот сеть 2016-08-26 175.45.178.102 оргтехника Ransomware Downloader сеть спам-ботов 2016-08-27 175.45.178.102 ежемесячный отчет Ransomware Downloader сеть спам-ботов 2016-08-30 175.45.178.102 ипотечные документы Ransomware Downloader сеть спам-ботов 2016-08- 31 175.45.178.102 paycheck Сеть спам-ботов Ransomware Downloader 2016-09-14 175.45.178.102 Отчет об учетной записи Сеть спам-ботов Ransomware Downloader 2016-09-22 175.45.178.102 Платеж одобрен Сеть спам-ботов Ransomware Downloader 2016-09-30 175.45.178.102 Информация о транзакции Сеть спам-ботов Ransomware Downloader 2016-10-05 175.45.178.3 Удовольствие - это то, что вам нужно Сеть спам-ботов Erectile med 2016-10-06 175.45.178.3 Всегда хорошая любящая атака Спам erectile med pam bot network 2016-10-11 175.45.178.3 Получите советы, чтобы улучшить вашу интимную жизнь Erectile med spam bot bot 2016-10-12 175.45.178.3 Повысьте свою любящую жизнь Erectile med spam bot network 2016-10-26 175.45.178.3 Scrivimi me Erectile med сеть спам-ботов 2016-10-27 175.45.178.3 Заходите? Сеть спам-спам-ботов Erectile med 2016-11-22 175.45.178.102 Обратите внимание: сеть спам-ботов Ransomware Downloader 2016-11-23 175.45.178.102 Обратите внимание, сеть спам-ботов Ransomware Downloader 2016-12-13 175.45.178.102 Подтверждение платежа Спам-бот Ransomware Downloader сеть 2017-02-07 175.45.178.107 Вы получили новый eFax от 516-9515481 сети спам-ботов Ransomware Downloader 2017-03-03 175.45.178.107 Держите вашу девушку счастливой каждую ночь Сеть спам-ботов спам Erectile med 2017-06-13 175.45. 178.102 Вот почему акции этой компании собираются подняться в десять раз на следующей неделе. Спам спам бот бот сеть 2017-06-16 175.45.178.111 Вы можете сделать свой принцип более чем в десять раз больше с этим 1 акцией Спам спам бот сеть 2017-06-20 175.45.178.111 Эта компания только что нашла огромное лекарство, и никто об этом еще знает! Сеть спам-спам-ботов 2017-06-21 175.45.178.111 Вот идея, которая может принести вам небольшое состояние… Сеть спам-спам-ботов 2017-07-03 175.45.178.111 Привет, знакомства, спам, бот-сеть 2017-09-10 175.45. 178.14 О, я забыл…, Лучше всего для лечения спам-бот-сети EDFix Med 2017-09-14 175.45.178.14 Копия счета-фактуры 561878 Спам-бот Ransomware Downloader 2017-09-22 175.45.178.107 Ваш счет-фактура # 177122 Спам-бот Ransomware Downloader спам

Таблица 3. Примеры спам-писем, отправленных из Северной Кореи. Этот список не является исчерпывающим.

Вредоносные программы, размещенные на серверах Северной Кореи

Северокорейские сайты часто становятся объектами атак на водопой. Например, веб-портал KCNA и некоторые другие общедоступные сайты периодически использовались для предоставления вредоносного контента своим посетителям. Мы наблюдали один такой инцидент в 2015 году это связано с сайтом, используемым неизвестным актером для доставки PE_WINDEX.AO фальшивый флеш-плеер, который сбрасывает главный инфектор. Два года спустя аналогичная полезная нагрузка (PE_WINDEX.A) была обнаружена на флэш-накопителе USB, который предварительно загружает IBM Инструмент инициализации Storwize , В мае 2017 года японский филиал KCNA и Генеральная ассоциация корейских жителей в Японии (Чонгрион) наблюдалось размещение встроенного VB-скрипта с кодом эксплойта браузера, предназначенным для CVE-2016-0189 уязвимость и загрузка вредоносной полезной нагрузки. На данный момент мы не знаем, были ли эти сайты скомпрометированы или использовались для размещения вредоносных программ.

Рисунок 5: японский сайт KCNA

Рис. 5. Центральное информационное агентство Кореи размещало набор эксплойтов.

Наблюдения от Honeypot Systems

Мы наблюдали трафик атак, связанный с северокорейскими сегментами IP, из наших приманок, таких как 175.45.176.81, общий хост, который обслуживает несколько общедоступных северокорейских веб-сайтов, на которые часто распространяются атаки распределенного отказа в обслуживании (DDoS). Ряд сервисов в нашей сети honeypot были отсканированы и подвергались частым попыткам усиления DDoS. Это дает нам некоторое представление о атаках, исходящих из северокорейского IP-пространства. Например, скачки трафика UDP (SSDP, NTP) с поддельным исходным IP-адресом 175.45.176.81 указывают на то, что кто-то выполняет атаку типа «отказ в обслуживании» (DoS) на этот IP-адрес. Мы также наблюдали атаки TCP SYN от северных корейских IP-адресов. Интересно, что некоторые из этих атак связаны с публичными событиями или геополитическими инцидентами. Атака SSDP на один из основных IP-хостингов в Северной Корее произошла 16 апреля 2017 года, на следующий день после того, как правительство Северной Кореи продемонстрировало в военном параде передовое оружие.

С другой стороны, ряд мошеннических TCP или UDP-трафика, попавших в приманки, происходил из северокорейского IP-пространства. Большинство этих атак происходит из того же класса C, который также содержит прокси-узлы выхода для международных посетителей, такие как 175.45.178.102 и 175.45.178.103. Атрибуция этих атак чрезвычайно трудна, так как сканы могут быть либо с настоящих северокорейских актеров, либо скомпрометированных компьютеров, которые получают свои заказы от серверов управления и контроля за рубежом.

Это приводит нас к интересному выводу. В ряде публичных отчетов использование северокорейского IP-адреса в файле журнала было одним из ключевых факторов, связывающих определенные операции с северокорейскими хакерами. Мы продемонстрировали на ряде выводов, что это не всегда может быть достаточным доказательством, поскольку в северокорейской сети есть скомпрометированные машины, как и в любой другой сети, подключенной к Интернету. Северокорейский интернет не так строго контролируется, как полагают многие, и некоторый интернет-трафик, исходящий из Северной Кореи, фактически вызван ботмастерами за границей. Атрибуция может быть трудной и может быть скользким, как мы показали здесь и в нашем предыдущий блог где OnionDog оказался не целенаправленной атакой со стороны северокорейских актеров, а тренировкой по кибербезопасности.

Похожие

Безлимитный интернет за 1 грн / день для всех клиентов «Киевстар»
... интернетом по технологии GPRS / EDGE с устройства без ограничения трафика, оплачивая только 1 гривну в день"> С сегодняшнего дня все абоненты «Киевстар» могут пользоваться мобильным интернетом по технологии GPRS / EDGE с устройства без ограничения трафика, оплачивая только 1 гривну в день. Инновационная услуга «Интернет без границ» (
Как могли спам-боты, контролируемые иностранными преступниками, быть активными в Северной Корее более года?
Возможно ли обычное вредоносное ПО заразить компьютеры в Северной Корее?
Используется ли все пространство IP, выделенное для Северной Кореи, в самой стране?
Каковы последствия ответов на эти вопросы на атрибуцию нападений, предположительно совершенных северокорейскими актерами?
Заходите?