I juli förra året skrev jag ett stycke baserat på en fascinerande analys från Recorded Future om hur elitnordkoreanerna på 0,1 % med tillgång till ett ofiltrerat internet använder nätet. Medan den stora majoriteten av landets 25 miljoner invånare är begränsade till färre sidor än vad som skapades för Grand Theft Auto V, de med tillgång till den ofiltrerade webben använde den på ungefär samma sätt som vi gör: sociala medier, strömmande video och onlinespel – med en speciell förkärlek för World of Tanks.
Men uppföljningsrapporten från Recorded Future, publicerad idag, avslöjar en havsförändring i beteende. Sex månader efter att den första rapporten släpptes fann forskarna att nordkoreaner nästan övergav västerländska webbplatser och flyttade till kinesiska alternativ. Kort sagt, Facebook, Amazon, Instagram och Google var ute, medan Alibaba, Tencent och Baidu var med. Facebook gick från att ha mer än dubbelt så mycket daglig användning av sina kinesiska motsvarigheter till att knappt registrera sig på grafen.
”Förändringen i sociala mediers aktivitet är sannolikt en kombination av faktorer”, säger tidningens författare, tidigare NSA-analytiker Priscilla Moriuchi för mig. ”För det första har Nordkorea haft en policy som förbjuder användning av Facebook och andra sociala medietjänster intermittent sedan 2016. Det är möjligt att de precis har börjat upprätthålla det förbudet mer brett.
”För det andra är detta en del av en bredare övergripande rörelse som förbättrar internetsäkerhet och sekretess av nordkoreanska ledare. Kinesiska tjänster är mycket mindre benägna att användas eller övervakas av västerländska regeringar och gör det möjligt för nordkoreanska ledare att fortfarande engagera sig i modern social mediekultur utan oro över västerländsk övervakning.”
Och ja, detta plötsliga tillslag kunde ha utlösts av den breda publiceringen av den senaste rapporten – möjligen skrämmande för den nordkoreanska regeringen. ”Mediegranskning och forskning om nordkoreaners tillgång till information och digitala medier har intensifierats sedan förra året och med tanke på ledarskapets lätthet och komfort på det globala internet är det troligt att de har sett en del av den rapporteringen”, säger Moriuchi. ”Dessutom blir de medel som krävs för att öka säkerheten och ”täcka dina spår” online allt enklare och billigare att använda. Standard VPN [Virtual Private Network] tjänster kan kosta så lite som några dollar i månaden och implementeringen av dessa tjänster är lätt även för en nybörjare.”
Den analysen verkar verkligen stämma överens med uppgifterna. Under loppet av bara sex månader ökade användningen av Tor, VPN, VPS (Virtual Private Servers) och TLS (Transport Layer Security) med 1 200 %.
LÄS NÄSTA: Vad är ett VPN?
Dessa försök till fördunkling, kommer nordkoreanska tjänstemän att bli besvikna över att läsa, har inte visat sig vara helt framgångsrika. Utöver den omfattande analysen av hur medborgarna använder det ofiltrerade internet, finns det också information om hur de använder det för att samla in pengar till nationen. Tidigare har nordkoreanska medborgare baserat sig i andra länder (Indien, Kina, Malaysia, Nya Zeeland, Nepal, Kenya, Moçambique och Indonesien) för cyberattacker, och nu har Recorded Future ytterligare två länder att lägga till på listan: Thailand och Bangladesh.
Länderna som är värd för dessa nordkoreanska expats som samlar in pengar till sitt hemland kan vara helt omedvetna om deras närvaro eller aktiviteter, insisterar Moriuchi. ”Vissa regeringar, som Nya Zeeland, har avstängt visum för nordkoreanska medborgare, och andra kanske inte vidtar några åtgärder alls”, tillägger hon. ”Det är verkligen väldigt individualiserat och beror på nationen.”
Cyberbrottslighet är bara ett sätt på vilket nordkoreanska medborgare tjänar pengar utomlands. Som rapporten förklarar har avhoppare tidigare avslöjat hur att göra förfalskade videospel och bots för att stjäla föremål i spelet tjänar en sund skorpa att skicka hem till Kim-regimen. En sådan avhoppare förklarade att varje operatör förväntades tjäna nästan 100 000 $ per år, med 80% skickas hem.
Jag frågar Moriuchi varför de skulle ta detta tillvägagångssätt när off-the-shelf ransomware sannolikt skulle vara enklare och mer lönsamt. Återigen är svaret sekretess: ”Ransomware-attacker kan övervakas och spåras, och kräver att angriparna samverkar med offren om de ska lyckas”, förklarar hon och tillägger att det finns en förväntan om att lösensummor kommer att resultera i dekryptering av filer. ”Det här är en mycket mer riskabel metod för att samla in pengar än att förfalska programvara eller skapa bots.”
Spelen som spelas av den nordkoreanska eliten, enligt rapporten, kan ge insikter om vilka spel nordkoreanska hackare utomlands sannolikt riktar sig till. World of Tanks verkar ha fallit helt från listan, men andra populära titlar inkluderar 0AD: Empires Ascendant, Ace of Spades, Quake, The Marathon-trilogispel, Armed Assault 1-3, World of Warcraft, Cube 2, Diablo 2, League of Legends, Second Life och olika spel på Steam.
En sista del av intresse i rapporten: medan Nordkorea alltid har sett Bitcoin som ett värdefullt sätt att samla in pengar, vände landet i januari sin uppmärksamhet mot Monero också. Varför? ”Det är mest troligt att nordkoreanerna har valt att använda Monero eftersom det är en av de få allmänt använda och verkligt anonyma digitala valutorna”, förklarar Moriuchi. ”Alla transaktioner är krypterade inom blockkedjan så att endast avsändaren eller mottagaren av en transaktion kan upptäcka den andra. Detta är till skillnad från Bitcoin, där transaktioner som spåras i blockkedjan innehåller IP-adresser och plånboksnummer som kan ses av alla.”
