Is Noord Korea een Advanced Persistent Threat?

Vanmorgen heeft Noord-Korea een (langeafstands)raket gelanceerd en een satelliet in een vlucht om de aarde gebracht. De North American Aerospace Defense Command bevestigde het bericht. Gelukkig ‘vormden zowel de eerste trap als de tweede trap, inclusief bijbehorende afvalresten, geen gevaar voor Noord Amerika’. 

 

Ik stel me zo voor dat we hier te maken hebben met een geavanceerde tegenstander. Wellicht is de vergelijking met een Advanced Persistent Threat op z’n plaats.

 

Is dat wel zo? Laten we eens kijken naar de karakteristieken van een Advanced Persistent Threat. De volgende figuur geeft de levenscyclus van een APT weer.

 

 

De volgende aspecten zijn karakteristiek voor APT’s:

• Ze zijn erg doelgericht (targeted). Vooraf wordt in kaart gebracht welk doelwit de meest waarschijnlijke grote buit herbergt.
• Ze zijn complex. Ze zijn niet gemakkelijk te herkennen doordat ze samengesteld zijn uit verschillende aanvalsmethoden.
• Ze zijn permanent. Bij de eerste tegenslag laten ze zich niet uit het veld slaan. Vasthoudend als ze zijn blijven ze zoeken naar wegen om de waardevolle informatie te ontfutselen.
• Ze verstaan de kunst van het ontwijken. APT’s laten zich niet gemakkelijk zien. Ze kunnen nieuwe aanvalsmethoden toepassen op het moment van herkenning. Ze duiken zeer gemakkelijk onder de radar. 

 

De raketlancering van Noord-Korea is niet bepaald doelgericht te noemen. Althans niet gericht op een van hun opponenten (Amerika of Zuid-Korea). Maar wellicht dat hier een geavanceerde aanvalsstrategie achter zit en op later moment vanuit de ruimte een aanval gepleegd wordt? De mate waarin doelbewust voor deze aanval is gekozen valt te bezien. Misschien is het niet meer dan een stukje machtsvertoon en kan van een aanval domweg niet gesproken worden.

 

De complexiteit van de aanval laat zich moeilijker analyseren. Noord-Korea beschikt over de technologie om kernbommen te fabriceren. Op zichzelf is dat complex. Maar de complexiteit van de aanval maakt niet dat een potentiële aanval onherkenbaar blijft. Nogmaals, het kan zijn dat op later moment vanuit de ruimte een onverwachte aanval plaatsvindt. Dan zit momenteel de hele wereld zich onterecht te verontwaardigen over een NKISS (North Korean Impersonating Space Station). En hebben we regelrecht te maken met een atoomwapen.

 

Van de buiteland commentator van BNR (Bernard Hammelburg)  begreep ik dat Noord-Korea nog niet in staat is om hun kernkoppen dusdanig klein te maken dat ze op de langeafstandsraket passen. Het blijft gissen in mijn ogen. Wel staat boven water dat de raketlancering zeer zichtbaar is geweest voor de wereld.

 

Hoe lang het projectiel (lees satelliet) in de ruimte blijft is ook onbekend. Hoelang Noord-Korea in deze hoedanigheid dit soort spelletjes kan blijven spelen op het wereldtoneel is ook de vraag. Kortom, het is onduidelijk welke van de twee het meest permanente karakter heeft (de satelliet of Noord-Korea). Bij het permanente karakter van APT’s hoort ook een stuk vasthoudendheid. Met de geschiedenis van Noord-Korea voor ogen, in een snel veranderende wereld, wordt snel duidelijk dat er sprake is van vasthoudendheid bij de leiding van het land.

 

Hoe ontwijkend is Noord-Korea? APT’s hebben het vermogen om de aanvalstactiek aan te passen als ze op het punt staan ontdekt te worden. Hier is nauwelijks sprake van ‘op het punt staan om ontdekt te worden’. Het enige dat ik me kan voorstellen is het moment waarop de satelliet toch blijkt te beschikken over een geavanceerd wapensysteem. Daarbij is het goed mogelijk dat de communicatie tussen het control center in Noord-Korea en de satelliet te onderscheppen is. Ook hier is maar zeer beperkt sprake van enig ontwijkend karakter.

 

Is hiermee de vergelijking tussen Noord-Korea en APT’s voldoende duidelijk geworden?

 

De vraag is natuurlijk of je überhaupt die vergelijking kunt maken? Feit blijft dat APT’s tegenwoordig in vele verschijningsvormen een realiteit zijn. De dagelijkse werkelijkheid maakt dat organisaties zich echt zorgen moeten maken over verlies of diefstal van gevoelige informatie. Dreigend machtsvertoon van wederzijdse ‘Koude Oorlog praktijken’ speelt geen rol van betekenis hierbij.

 

De eenzijdige toepassing van deze tactieken door een land als Noord-Korea maken nog niet dat de wereld met een directe dreiging te maken heeft. Nauwlettend volgen van de situatie door de VN is het enig juiste wat moet gebeuren. Dat is een van de voordelen die deze raketlancering als gevolg heeft. In tegenstelling tot APT’s is het duidelijk welke dreiging er in de lucht hangt.

 

Wat dat betreft kun je jezelf misschien gelukkiger prijzen met deze situatie dan met de eerstvolgende cyberaanval op je IT-infrastructuur. Dat laat onverlet dat diefstal van vertrouwelijke informatie in geen verhouding staat tot de gevolgen van nucleaire dreiging!

 

APT's hebben de vervelende eigenschap onder de radar te duiken en te blijven. Vooropgesteld natuurlijk dat er een radar aanwezig is binnen de organisatie! Daarbij heeft het merendeel van organisaties enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn (Verizon). Er is geenszins te spreken van 'continuous monitoring'!

 

Dit in tegenstelling tot de raketlancering vanmorgen in Noord-Korea. Daarbij is direct duidelijk geworden dat de wereld op verschillende manieren dit soort activiteiten in de gaten houdt. Hier is weldegelijk sprake van een vorm van 'continuous monitoring'.

 

In mijn vorige blogartikel heb ik gesproken over 'terugkeer naar de basis'. Daar hoort wel de ambitie bij om sterk geautomatiseerd gebruik te gaan maken van security intelligence. Het gebruik van 'continuous monitoring' speelt een belangrijke rol. 

 

Is Noord-Korea een APT? Ik denk van niet. De situatie is wereldschokkend, dat wel. Maar de duidelijkheid van hetgeen gebeurt is maakt de behandeling door bijvoorbeeld de VN realiseerbaar. 

 

Vergelijk die situatie met je eigen organisatie. Is het duidelijk welke cyberaanvallen daar hebben plaatsgevonden? Is een concreet behandelplan actief om de infecties op te ruimen? Of duurt het nog enkele maanden voordat je door hebt dat de IT-infrastructuur geïnfecteerd is? 

 

Wat zul je staan te kijken als blijkt dat de eerstvolgende cyberaanval vanuit Noord-Korea plaatsvindt!

 

Succes met je voorbereiding op cyberaanvallen.