Noord-Korea offline: Een hacker valt een natie aan
Hij noemt zichzelf P4x. Hij is een hacker. En hij haalde Noord-Korea offline nadat de staat hem probeerde te hacken.
Waarnemers van het Noord-Koreaanse internet hebben de afgelopen weken vreemde dingen opgemerkt. Belangrijke internetinfrastructuur is af en toe offline gegaan, dan weer online gekomen en daarna weer verbroken. Soms zijn zelfs alle verbindingen van het land met de buitenwereld afgesneden. Waren raketproeven op de een of andere manier verantwoordelijk?
Blijkbaar niet. Naar verluidt was het een Amerikaan die zich P4x noemde. Hij vertelde het tijdschrift "Wired" hoe en waarom hij een cyberaanval op een staat zou hebben uitgevoerd.
P4x voert een strijd op twee fronten. Enerzijds neemt hij het op tegen het regime van Kim Jong-Un; anderzijds eist hij meer activiteit, of in ieder geval meer communicatie, van de Amerikaanse regering.
Een jaar tot de hack
P4x heeft Noord-Korea niet willekeurig gekozen. In januari 2021 lekte een hacker hem een hulpmiddel dat hij wilde proberen. Kort daarna leest P4x een beveiligingsadvies dat Noord-Koreaanse hackers - allemaal staatsmedewerkers - proberen in te breken in de systemen van beveiligingsexperts en hun gereedschap stelen.
.
De Noord-Koreaanse hacker heeft geluk. Hij opende het gereedschap uit voorzichtigheid in een virtuele machine en zo kreeg de Noord-Koreaanse Remote Access Tool (RAT) geen toegang tot zijn systeem. Hij meldt dit voorval aan de FBI. P4x wordt afgescheept met "Wij nemen beveiliging zeer serieus" of iets dergelijks. Dit is een zin die geruststellend zou moeten zijn, maar na talloze hacks is het verworden tot een lege zin.
P4x heeft gewacht. Een jaar lang. Voor een verklaring van de regering. Een tegenaanval. Wat dan ook. Maar er gebeurde niets. P4x heeft nooit meer iets gehoord van de FBI of het Cybersecurity and Infrastructure Security Agency (CISA), dat zich er ook mee bemoeide.
Bron: Wikimedia Commons
Terwijl worden beveiligingsexperts aangevallen door Noord-Korea, hun gereedschap gestolen. Deze kunnen misbruikt worden door iemand met kwade bedoelingen. Voormalig NSA-hacker en auteur Dave Aitel beschrijft de potentiële schaal van diefstal van gereedschap als een "tweede SolarWinds". Deze kwetsbaarheid in de gelijknamige software gaf hackers in 2020 ongeoorloofde toegang tot duizenden overheidssystemen en bedrijfsnetwerken. De schade was enorm.
In januari 2022, een jaar na de aanval, heeft P4x er genoeg van. Hij zint niet op wraak, maar wil een statement maken. Hij wil Noord-Korea laten zien dat het land niet ongestraft hackers kan aanvallen. En hij wil de FBI en CISA laten zien dat ze gefaald hebben in hun verantwoordelijkheid. Hun taak is het Amerikaanse volk te beschermen. Het zou niet goed zijn als Noord-Koreaanse hackers ongestraft wegkomen.
De hack die het niet is
Welke kwetsbaarheden hij heeft uitgebuit, wil P4x niet aan Wired vertellen. "Anders zou Noord-Korea die mazen kunnen dichten," zegt de man die zich niet schuldig voelt over het lanceren van een internationale hackaanval
.
Hij heeft principes, zegt hij. Hij wil niet dat het Noord-Koreaanse volk iets overkomt. Voor hem gaat het erom het regime onder dictator Kim Jong-Un een halt toe te roepen.
Het is gemakkelijk, zegt hij.
Het is gemakkelijk om het land lam te leggen. Dit komt deels door de unieke infrastructuur van het netwerk genaamd 광명, getranscribeerd Kwangmyong, en deels door het feit dat veel systemen van Noord-Korea verouderd zijn.
De Amerikaanse hacker vond snel kwetsbaarheden. Er was een versie van Nginx in gebruik die een kwetsbaarheid had in HTTP-headers. Dit uitbuiten was gemakkelijk. Zo kon hij in zijn eentje een effectieve denial-of-service aanval uitvoeren op een heel land. Hij gebruikte de headers om Nginx te overbelasten. Toen, zei hij, crashte de serversoftware en werden andere computers losgekoppeld.
P4x ziet de aanval niet als zomaar een aanval. Hij doet onderzoek. Hij wil precies weten hoe het Noord-Koreaanse internet op technologisch niveau werkt. Zijn informatie moet zo gedetailleerd mogelijk zijn, hij wil elke kwetsbaarheid kennen. Hij vermoedt kwetsbaarheden in het Noord-Koreaanse besturingssysteem Red Star OS en is begonnen dit te onderzoeken. Red Star OS is gebaseerd op Linux - vermoedelijk Fedora - en is volgens alle internationaal beschikbare informatie stokoud. De meest recente versie van de archiefdienst ArchiveOS dateert de daar gehoste versie van Red Star OS op 2019.
De aanvallen vanuit de huiskamer P4xs zijn grotendeels geautomatiseerd. "Het is als een kleine tot middelgrote pentest," vertelt hij aan Wired, hintend dat hij in het echte leven een beveiligingsonderzoeker is of was. Een pentest is immers een acroniem voor een penetratietest.
"Het is verrassend gemakkelijk om enig effect te krijgen in Noord-Korea," zegt hij. En hij geeft aan dat hij nog niet klaar is met denial-of-service aanvallen.
P4x zet FUNK Project op het darknet op
P4x' aanvallen leverden kritiek op. "De hackers die vorig jaar P4x aanvielen zitten hoogstwaarschijnlijk in China," zegt Martyn Williams, onderzoeker bij het 38 North Project, een analysecentrum voor alles wat met Noord-Korea te maken heeft. P4x geeft toe dat zijn acties het Noord-Koreaanse regime hooguit irriteren, maar verder niets. Geen schade, geen blijvende indruk. "Wat ik tot nu toe heb gedaan staat ongeveer gelijk aan het neerhalen van een propagandaposter of graffiti," vertelt P4x aan Wired.
Zo ver.
Maar P4x heeft bloed geproefd. In de volgende fase - hij zit momenteel in de analysefase - wil hij Noord-Koreaanse systemen binnendringen en gegevens stelen. Deze gegevens worden dan beschikbaar gesteld aan deskundigen, die hopelijk belangrijke informatie krijgen over het gesloten land. Hij hoopt op hulp van de hackersgemeenschap en heeft het FUNK Project opgericht. Op de Darknet-site roept hij hackers van alle landen op om te helpen.
Het FUNK Project - de naam staat voor "Fuck You North Korea" - is niet alleen bedoeld om kwetsbaarheden in het Noord-Koreaanse internet bloot te leggen en gegevens te stelen. Haar doel: "Noord-Korea eerlijk houden". Op de FUNK Project pagina schrijft P4x dat één persoon het verschil kan maken. Het doel is om proportionele aanvallen op Noord-Korea uit te voeren en informatie te verzamelen zodat Noord-Korea niet ongehinderd de westerse wereld kan hacken."
Daarnaast hoopt hij dat het hacktivisme van het FUNK Project niet alleen de Noord-Koreanen zal waarschuwen, maar ook de Amerikaanse regering. De cyberaanvallen van het Project, zegt hij, zijn niet alleen een reactie op de hacking van Noord-Korea, maar zijn ook bedoeld om te benadrukken dat de Amerikaanse regering er voortdurend niet in slaagt haar eigen mensen - in dit geval beveiligingsprofessionals - te beschermen.
"Als niemand mij helpt, help ik mezelf," schrijft P4x.
Journalist. Auteur. Hacker. Ik ben een verhalenverteller op zoek naar grenzen, geheimen en taboes. Ik documenteer de wereld in zwart-wit. Niet omdat ik het kan, maar omdat ik het niet kan laten.