Hoe Noord-Koreaanse staatshackers ongegeneerd digitale bankovervallen plegen

Een Zuid-Koreaanse expert in cybersecurity monitort de verspreiding van WannaCry in mei 2017. Beeld AFP

De staatshackers van Noord-Korea laten van zich horen. Waar China vooral uit is op economische spionage en Rusland op politieke beïnvloeding, richt Noord-Korea zich op diefstal.

Aan zekerheid grenzende waarschijnlijkheid. Ook na jarenlang onderzoek naar het reilen en zeilen van de staatshackers van Noord-Korea, neemt Christiaan Beek de woorden ‘zeker weten’ niet in de mond als hij spreekt over de link tussen het land en het virus WannaCry. “Zolang we niet een camera hebben gericht op de man achter de computer, blijft dat moeilijk”, zegt de hoofdonderzoeker van het Amerikaanse cybersecuritybedrijf McAfee.

Er zijn aanwijzingen genoeg dat Noord-Korea vorig jaar mei het virus de wereld instuurde, waarna er duizenden computers op slot gingen, zegt Beek. Zo kon hij elementen van het virus herleiden naar 2009, toen het voor het eerst opdook. En dat virus komt volgens Beeks team uit Noord-Korea. “Dat zie je aan de manier waarop de code is geschreven. Vergelijk het met een schrijfstijl.”

Al is dat niet de enige aanwijzing, want het is gebruikelijk dat hackers elkaars virussen kopiëren en hergebruiken. Daarom kijkt Beek ook naar de context. “Wij hebben manieren om te zien of iets uit eenzelfde lab komt als iets anders. Je kunt het een soort meta-data noemen, waarin bijvoorbeeld wordt opgeslagen met welke versie van een programma een code is geschreven.”

Zuid-Amerikaanse banken

Noord-Korea als digitale aanvaller. In de documenten van de veiligheidsdienst AIVD wordt dat land niet genoemd als risico voor de nationale veiligheid van Nederland. Daarin gaat het vooral over China en Rusland. Twee weken geleden nog toonde de Nederlandse overheid Russische staatshackers, die naar Den Haag waren gekomen om de Organisatie voor het Verbod op Chemische Wapens (OPCW) te hacken, met namen en foto’s aan het publiek.

Dat Noord-Korea ontbreekt, betekent niet dat gevaar niet bestaat. Zo is de informatie die openbaar wordt maar zeer beperkt. Ook is West-Europa tot nu toe niet echt een doelwit van Noord-Korea, zegt Beek. Vooral vijand Zuid-Korea wordt aangevallen. En banken in Azië en Zuid-Amerika. Mogelijk omdat daar de digitale beveiliging niet altijd op het hoogste niveau is.

Waar de staatshackers van China volgens de rapporten vooral uit zijn op economische spionage en Rusland op politieke beïnvloeding, richt Noord-Korea zich met name op platte digitale bankovervallen. “Ze hebben het nodig, want het land zit dichtgetimmerd met sancties”, zegt Sico van der Meer, deskundige op het gebied van cyberwapens en Noord-Korea bij Instituut Clingendael. “Digitale bankovervallen zijn dan een relatief eenvoudige manier om geld binnen te hengelen.”

Beek ziet dat terug in de acties. “Toen eerder dit jaar de sancties tegen Noord-Korea werden uitgebreid, was er een enorme piek in aanvallen op wisselkantoren van digitale munten als de bitcoin.”

Houtje-touwtje

Zo begon het land niet, toen het zo’n tien jaar geleden de eerste stappen op de digitale aanvalspad zette. Van der Meer: “Het begon amateuristisch, met houtje-touwtje ddos-aanvallen die websites in Zuid-Korea platlegden. Maar sindsdien zijn Noord-Koreaanse hackers een stuk professioneler geworden. Er volgde militaire spionage, hacks op banken maar ook de hack bij Sony. Dat laat zien dat Noord-Korea het heus wel aandurft om ook westerse landen aan te vallen.” 

Bij die hack van de filmproducent in 2014 zijn interne documenten en nog niet uitgebrachte films gestolen. De Amerikaanse regering wees nadien Noord-Korea als dader aan.

Beeld Studio Vomq

Hoe ziet het leger staatshackers er in het geïsoleerde land uit? Volgens Beek zijn er verschillende groepen met hun eigen missie en hun eigen niveau. Zo is er een groep die op zoek gaat naar militaire geheimen. Vooral via spearphishing – vergelijk het met een phishingmail die iedereen wel eens krijgt, alleen wordt die mail bij spearphising niet naar duizenden mensen tegelijk gestuurd, maar heel doelgericht naar een slachtoffer.

“Is de spearphishing succesvol, dan gaan ze via een achterdeur naar binnen met een programma dat volgt wat er gebeurt. Dat is de verkenningsslag. Dan volgt de tweede stap en installeren ze malware die veel meer kan. Denk aan het kopiëren of stelen van documenten.”

Nu werk je voor mij

Er is ook een unit die financiële aanvallen uitvoert. Beek noemt het specialistisch werk. “We kwamen veel op maat gemaakte malware tegen, die speciaal lijkt te zijn geschreven om een bepaalde bank, of zelfs een bepaald filiaal aan te vallen. Zo zagen we in een stukje malware een printernaam staan. Dat bleek de printer te zijn die een financiële instelling gebruikte om transacties van grote bedragen te controleren. De malware zorgde ervoor dat de transactie wel werd uitgevoerd, maar niet werd geprint. Zo zijn er grote geldbedragen ongezien weggesluisd.”

Het toont aan dat de hackers de tijd nemen om hun doelwit eerst goed te verkennen, meent Beek. Dat er genoeg tijd en mankracht is om aanvallen uit te voeren, vindt Van der Meer niet zo vreemd in een land waar de staat simpelweg kan zeggen: en nu werk je voor mij. “We weten dat veel van de hackers dienstplichtigen zijn. Er geldt een dienstplicht van twaalf jaar voor mannen. Tijd genoeg dus.”

Hoewel het schattingen zijn, gaan Noord-Korea-deskundigen er vanuit dat het leger met hackers uit zo’n vijf- tot zevenduizend man bestaat. Sommige teams werken vanuit andere landen, waar de hackers tijdelijk naar worden uitgezonden. Van der Meer: “Het is bekend dat er dergelijke teams zitten in landen als China, India en Mozambique. Ze hebben geen fantastisch leven, hoor. Ze zitten de hele dag in een kantoorgebouw en wonen samen in een flat.”

En je moet ook niet denken dat al die units op het hoogste niveau kunnen meedraaien, benadrukt Beek. “Voor sommige groepen is de opdracht simpel: haal 100.000 dollar binnen. Dat doen ze via spamcampagnes, via het hacken van online pokergames. Je zou het het laaghangende fruit kunnen noemen, de simpele technieken.”

Mislukte poging

Daarbij kopiëren de Noord-Koreanen rijkelijk uit andermans werk. “Eind vorig jaar duurde het maar zeven dagen voordat een nieuwe, online verschenen hacktool werd gebruikt voor een aanval vanuit Noord-Korea. Ze zitten er bovenop.”

Over WannaCry is vaak gezegd dat het eigenlijk een mislukte hackpoging is geweest. Al vrij snel ontdekte een onderzoeker een soort stopknop in het virus. Mogelijk was het een uit de hand gelopen test, ter voorbereiding voor een grotere aanval. Veel geld lijkt de aanval met het virus niet te hebben opgeleverd. Vooral niet gezien het aantal computers dat WannaCry besmette, waarna er losgeld van de slachtoffers werd geëist voor ze hun computer weer te konden gebruiken.

Beek: “Het gaat om 51,874 bitcoin. Qua geld spreek je over zo’n 146.000 dollar bij een koers in augustus 2017. We weten niet precies waar het geld is gebleven. Het spoor eindigt bij de niet te traceren digitale munt monero en bij een wisselkantoor in Hongkong. Dat is een wat louche bedrijf dat van bitcoins dollars maakt en geen informatie geeft over zijn klanten.”

De vraag is: wat kun je tegen dat oprukkende cyberleger van Noord-Korea doen? Na de hack bij filmproducent Sony Pictures in 2014, kondigde de Amerikaanse president Obama aan dat de Verenigde Staten zouden terugslaan. Of en hoe dat terugslaan is gebeurd, is niet bekend.

In de houdgreep

Dat mogelijke tegenmaatregelen achter de schermen worden genomen, is wellicht om een groter conflict te voorkomen, zegt Van der Meer. Noord-Korea, dat altijd heeft ontkend achter de hack bij Sony te zitten, zou weer kunnen terugslaan. “Al is Noord-Korea wel een apart soort speler. Het land doet niet eens echt zijn best om zich digitaal te verschuilen. Alsof het de Noord-Koreanen weinig kan schelen als er aanvallen aan hen worden toegeschreven. Ze lijken wel digitale potloodventers.”

Daarbij, vraagt de deskundige van Clingendael: wat wil je doen? “Noord-Korea aanvallen zodat het internet platligt? De maatschappij daar is niet zo van internet afhankelijk als wij hier. Noord-Korea erop aanspreken? En dan? Sancties zijn er al. Wil je de aanvallen militair vergelden? De Noord-Koreanen houden de Zuid-Koreaanse hoofdstad Seoul in de houdgreep met hun artillerie.”

Wat scheelt, is dat het voorlopig nog om digitaal speldenprikken gaat, zegt Van der Meer. De hackers stelen weliswaar aanzienlijke bedragen, maar de digitale wapens van het land veroorzaakten tot nu toe nog geen fikse maatschappelijke schade. “Misschien wordt er ook wel alleen met spelden teruggeprikt. Allemaal om te voorkomen dat de zaak escaleert.”

Lees ook: 

‘Een cyberoorlog met Rusland? Daarvan is helemaal geen sprake’

De Russische onderzoeksjournalist Andrej Soldatov waarschuwt het Westen het woord cyberoorlog niet in de mond te nemen.

De online-slechteriken hebben een voorsprong

Er is een wapenwedloop gaande tussen de verdedigers en aanvallers van veilig internet. Recente virusuitbraken tonen opnieuw dat de verdediging achterloopt. Is dat tij te keren?

Nederland pleit voor ferme aanpak van cyberspionage, maar de EU wil er niet aan

Betrapte cyberspionnen blijven vaak ongestraft. Voor een nieuw sanctieregime is geen unanieme EU-steun.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden