SUBEX LIMITED Noord-Korea heeft de afgelopen jaren veel middelen gestoken in het stelen van cryptocurrencies, waardoor het een krachtige hackersbedreiging is geworden en in maart leidde tot een van de grootste cryptocurrency heists ooit, waarbij volgens het Amerikaanse ministerie van Financiën bijna 615 miljoen dollar werd gestolen.
De plotselinge daling van de cryptowaarde, die in mei begon te midden van een bredere economische vertraging, bemoeilijkt Pyongyangs vermogen om die en andere overvallen te verzilveren, en kan gevolgen hebben voor de manier waarop het zijn wapenprogramma's wil financieren, aldus twee Zuid-Koreaanse overheidsbronnen. De bronnen wilden niet bij naam genoemd worden vanwege de gevoeligheid van de zaak.
Dit gebeurt terwijl Noord-Korea een recordaantal raketten test - waarvan het Korea Institute for Defense Analyses in Seoel schat dat ze dit jaar tot nu toe maar liefst 620 miljoen dollar hebben gekost - en zich voorbereidt op het hervatten van kernproeven te midden van een economische crisis.
Oude, niet-geplunderde Noord-Koreaanse cryptobezittingen die worden gecontroleerd door het in New York gevestigde blockchainanalysebedrijf Chainalysis, waaronder fondsen die zijn gestolen bij 49 hacks van 2017 tot 2021, zijn in waarde gedaald van $170 miljoen naar $65 miljoen sinds het begin van het jaar, vertelde het bedrijf aan Reuters.
Een van Noord-Korea's cryptocurrency caches uit een overval van 2021, die tientallen miljoenen dollars waard was, heeft de afgelopen weken 80% tot 85% van zijn waarde verloren en is nu minder dan 10 miljoen dollar waard, zei Nick Carlsen, een analist bij TRM Labs, een ander in de VS gevestigd blockchainanalysebedrijf.
Een persoon die de telefoon opnam bij de Noord-Koreaanse ambassade in Londen zei dat hij geen commentaar kon geven op de crash omdat beschuldigingen van cryptocurrency hacking "totaal nepnieuws" zijn.
"We hebben niets gedaan," zei de persoon, die zich alleen wilde identificeren als diplomaat van de ambassade. Het Noord-Koreaanse ministerie van Buitenlandse Zaken heeft dergelijke beschuldigingen Amerikaanse propaganda genoemd.
De aanval van 615 miljoen dollar op blockchainproject Ronin, dat het populaire online spel Axie Infinity voedt, was het werk van een Noord-Koreaanse hackoperatie met de naam Lazarus Group, aldus de Amerikaanse autoriteiten.
Carlsen vertelde Reuters dat de onderling verbonden prijsbewegingen van verschillende activa die bij de hack betrokken waren, het moeilijk maakten om in te schatten hoeveel Noord-Korea van die roof wist te behouden.
Als dezelfde aanval vandaag zou plaatsvinden, zou de gestolen Ether-valuta iets meer dan 230 miljoen dollar waard zijn, maar Noord-Korea heeft dat bijna allemaal geruild voor Bitcoin, dat afzonderlijke prijsbewegingen heeft gekend, zei hij.
"Onnodig te zeggen dat de Noord-Koreanen veel waarde hebben verloren, op papier," zei Carlsen. "Maar zelfs tegen lage prijzen is dit nog steeds een enorme buit."
Volgens de Verenigde Staten wordt Lazarus gecontroleerd door het Reconnaissance General Bureau, de belangrijkste inlichtingendienst van Noord-Korea. Het wordt beschuldigd van betrokkenheid bij de "WannaCry" ransomware-aanvallen, het hacken van internationale banken en klantenrekeningen, en de cyberaanvallen op Sony Pictures Entertainment in 2014.
Analisten zijn terughoudend in het verstrekken van details over welke soorten cryptocurrency Noord-Korea bezit, wat onderzoeksmethoden zou kunnen verraden. Chainalysis zei dat Ether, een veel voorkomende cryptocurrency gekoppeld aan het open-source blockchainplatform Ethereum, 58%, of ongeveer 230 miljoen dollar, uitmaakte van de 400 miljoen dollar die in 2021 werd gestolen.
Chainalysis en TRM Labs gebruiken openbaar beschikbare blockchaingegevens om transacties te traceren en potentiële misdrijven te identificeren. Dergelijk werk is aangehaald door sanctietoezichthouders, en volgens openbare aanbestedingsgegevens werken beide bedrijven samen met Amerikaanse overheidsinstellingen, waaronder de IRS, FBI en DEA.
Noord-Korea is onderworpen aan wijdverspreide internationale sancties in verband met zijn nucleaire programma, waardoor het beperkte toegang heeft tot de wereldhandel of andere bronnen van inkomsten en crypto-overvallen aantrekkelijk worden, aldus de onderzoekers.
FUNDAMENTEEL' voor nucleair programma
Hoewel cryptocurrencies naar schatting slechts een klein deel van de financiën van Noord-Korea uitmaken, zei Eric Penton-Voak, een coördinator van het deskundigenpanel van de Verenigde Naties dat toezicht houdt op sancties, tijdens een evenement in april in Washington D.C. dat cyberaanvallen "absoluut fundamenteel" zijn geworden voor het vermogen van Pyongyang om sancties te omzeilen en geld in te zamelen voor zijn nucleaire en raketprogramma's.
In 2019 meldden sanctiecontroleurs dat Noord-Korea met behulp van cyberaanvallen naar schatting 2 miljard dollar had gegenereerd voor zijn programma's voor massavernietigingswapens.
Volgens een schatting van de in Genève gevestigde International Campaign to Abolish Nuclear Weapons besteedt Noord-Korea ongeveer 640 miljoen dollar per jaar aan zijn kernwapenarsenaal. Het bruto binnenlands product van het land werd in 2020 geschat op ongeveer 27,4 miljard dollar, volgens de centrale bank van Zuid-Korea.
Officiële inkomstenbronnen voor Pyongyang zijn beperkter dan ooit onder zelf opgelegde grensvergrendelingen ter bestrijding van COVID-19. China, zijn grootste handelspartner, zei in 2021 dat het iets meer dan 58 miljoen dollar aan goederen uit Noord-Korea had ingevoerd, te midden van het laagste niveau van officiële bilaterale handel in decennia. De officiële cijfers zijn exclusief smokkel.
Noord-Korea krijgt al maar een fractie van wat het steelt, omdat het gebruik moet maken van tussenhandelaren die bereid zijn cryptocurrencies zonder vragen om te zetten of te kopen, aldus Aaron Arnold van de RUSI-denktank in Londen. In een rapport van februari van het Center for a New American Security (CNAS) wordt geschat dat Noord-Korea bij sommige transacties slechts een derde van de waarde van de gestolen valuta krijgt.
Na het verkrijgen van cryptocurrency bij een overval, zet Noord-Korea het soms om in Bitcoin en vindt dan makelaars die het met korting willen kopen in ruil voor contant geld, dat vaak buiten het land wordt bewaard.
"Net zoals je een gestolen Van Gogh verkoopt, krijg je geen eerlijke marktwaarde," zei Arnold.
OMZETTEN IN CONTANT GELD
Uit het CNAS-rapport blijkt dat Noord-Koreaanse hackers zich in vergelijking met veel andere aanvallers slechts "matig" druk maken over het verbergen van hun rol. Daardoor kunnen onderzoekers soms digitale sporen volgen en aanvallen toeschrijven aan Noord-Korea, maar zelden op tijd om de gestolen fondsen terug te krijgen.
Volgens Chainalysis heeft Noord-Korea zich gewend tot geraffineerde manieren om gestolen cryptocurrency wit te wassen, door meer gebruik te maken van softwaretools die cryptocurrencies van duizenden elektronische adressen - een aanduiding voor een digitale opslaglocatie - samenvoegen en vervormen.
De inhoud van een bepaald adres is vaak publiekelijk zichtbaar, zodat bedrijven als Chainalysis of TRM de adressen kunnen controleren die door onderzoeken in verband worden gebracht met Noord-Korea.
Aanvallers hebben mensen misleid om toegang te verlenen of hebben de beveiliging gehackt om digitaal geld uit met het internet verbonden portemonnees over te hevelen naar adressen die door Noord-Korea worden gecontroleerd, aldus Chainalysis in een rapport van dit jaar.
Alleen al de omvang van de recente hacks heeft de capaciteit van Noord-Korea om cryptocurrency zo snel als in het verleden om te zetten in contant geld onder druk gezet, aldus Carlsen. Dat betekent dat sommige fondsen vastzitten terwijl hun waarde daalt.
Bitcoin heeft dit jaar ongeveer 54% van zijn waarde verloren en ook kleinere munten hebben het zwaar te verduren gehad, net als een daling van de aandelenkoersen als gevolg van de bezorgdheid van beleggers over de stijgende rente en de toenemende kans op een wereldwijde recessie.
"Het omzetten in contanten blijft een belangrijke vereiste voor Noord-Korea als ze de gestolen fondsen willen gebruiken", aldus Carlsen, die als analist bij de FBI onderzoek deed naar Noord-Korea. "De meeste grondstoffen of producten die de Noord-Koreanen willen kopen, worden alleen verhandeld in USD of andere fiat, niet in cryptocurrencies."
Pyongyang heeft andere, grotere financieringsbronnen waarop het kan vertrouwen, zei Arnold. V.N. sanctietoezichthouders hebben nog in december 2021 gezegd dat Noord-Korea kolen blijft smokkelen - meestal naar China - en andere belangrijke exportproducten die op grond van resoluties van de Veiligheidsraad verboden zijn.
VOLATIELE VALUTA
Noord-Koreaanse hackers lijken soms snelle dalingen in de waarde of wisselkoersen af te wachten alvorens over te gaan op contant geld, zei Jason Bartlett, de auteur van het CNAS-rapport.
"Dit werkt soms averechts omdat er weinig zekerheid is in het voorspellen wanneer de waarde van een munt snel zal stijgen en er zijn verschillende gevallen van sterk in waarde gedaalde cryptofondsen die gewoon in aan Noord-Korea gekoppelde portefeuilles zitten," zei hij.
Sectrio, de cyberbeveiligingsdivisie van het Indiase softwarebedrijf Subex, zei dat er aanwijzingen zijn dat Noord-Korea de aanvallen op conventionele banken in plaats van op cryptocurrencies de afgelopen maanden weer heeft opgevoerd.
De op de banksector gerichte honeypots van het bedrijf, die bedoeld zijn om cyberaanvallen aan te trekken, hebben sinds de cryptocrash een toename van afwijkende activiteiten gezien, evenals een toename van "phishing"-e-mails, waarmee wordt geprobeerd ontvangers te misleiden om veiligheidsinformatie weg te geven, aldus Sectrio in een rapport van vorige week.
Maar Chainalysis zei dat het nog geen grote verandering had gezien in het cryptogedrag van Noord-Korea, en weinig analisten verwachten dat Noord-Korea de diefstal van digitale valuta zal opgeven.
"Pyongyang heeft cryptocurrency toegevoegd aan zijn calculus voor het ontduiken van sancties en het witwassen van geld en dit zal waarschijnlijk een permanent doelwit blijven," zei Bartlett.
