KPのネットインフラ及び関連諸国との関係性
KPのネットインフラ及び関連諸国との関係性
⚫︎KPのインターネットインフラ:
CIDR IPアドレス 割り振り日 レジストリ ASN
175.45.176.0/22 175.45.176.0 - 175.45.179.255 2009/12/21 APNIC/Star Joint Venture Co. Ltd AS131279
Star Joint Venture Co. Ltdの情報: Address: Ryugyong-dong Potong-gang District、 Phone: +66 81 208 7602, +850 2 381 2321, +850-2-3812321,
www.loxley.co.th, postmaster@star-co.net.kp
⚫︎上位プロバイダーとGW:
上位プロバイダーは中国とロシアの2つのASを利用中。
AS134544 - Cenbong Int'l Holdings Limited(HK) →中国聯通China Unicom(AS4837):175.45.176.0/24, 175.45.179.0/24のUpstream
AS20485 - JSC TransTeleKom(RU)= TransTeleCom (TTK, AS20485):175.45.177.0/24, 175.45.178.0/24のUpstream
ロシア経路のGW=Korea-Posts-gw.transtelecom.net: 188.43.225.153(モスクワ)、 中国経路のGW=103.35.255.254(CENBONGT-HK)
⚫︎国内のイントラネット「光明」:
一般国民用にグローバル接続出来ない国内接続専用のイントラネット「光明」が存在。国外から光明に接続できるhangroVPNというソフトがあるらしい(筑波大学のVPN GateプロジェクトのSoft Etherに酷似しているらしい)。
⚫︎KPのリンク集: https://nkinternet.com/websites/、 ポータルサイト:http://www.dprkportal.kp/
⚫︎KPドメイン:
175.45.176.0/22の範囲内に約60の下記のドメインが存在している(一部はアクセス不可、直近の追加ドメインあり)。
175.45.176.15: ns1.com.kp, ns1.edu.kp, ns1.gov.kp, ns1.net.kp, ns1.org.kp
175.45.176.16: ns2.com.kp, ns2.edu.kp, ns2.gov.kp, ns2.net.kp, ns2.org.kp
175.45.176.67:futurere.com.kp
175.45.176.68:rodong.rep.kp
175.45.176.69:airkoryo.com.kp
175.45.176.71:kcna.kp #朝鮮中央通信 http://kcna.kp/kp
175.45.176.73:gnu.rep.kp
175.45.176.75:vok.rep.kp
175.45.176.76:ma.gov.kp
175.45.176.79:ryongnamsan.edu.kp
175.45.176.80:dprkportal.kp, friend.com.kp, kftrade.com.kp, knic.com.kp, koredufund.org.kp, kut.edu.kp, mediaryugyong.com.kp
175.45.176.81:gpsh.edu.kp. kass.org.kp, kiyctc.com.kp, korelcfund.org.kp, korfilm.com.kp, mfa.gov.kp, ryomyong.edu.kp, yongsaeng.org.kp
175.45.176.91:cooks.org.kp, korean-books.com.kp, koreanarchitecture.gov.kp, korstamp.com.kp, manmulsang.com.kp, minzu.rep.kp, moph.gov.kp,
naenara.com.kp, pyongyangtimes.com.kp, sdprk.org.kp, tourismdprk.gov.kp, youth.rep.kp
175.45.177.1:kcna.kp
175.45.177.9:ryongnamsan.edu.kp
175.45.177.10:dprkportal.kp, friend.com.kp, kftrade.com.kp, knic.com.kp, koredufund.org.kp, kut.edu.kp, mediaryugyong.com.kp
175.45.177.11:gpsh.edu.kp, kass.org.kp, kiyctc.com.kp, korelcfund.org.kp, ryomyong.edu.kp
175.45.178.170:portal.net.kp #現在接続不可
⚫︎関連諸国との関係性1:
仮想通貨の窃盗やサイバー攻撃には、主にRU・CN・IN・マレーシア・タイ等のインターネットインフラ(IPアドレス等)が使われることが観測されている。以下はその過去の一例。
ロシア・ハバロフスクのIPアドレス188[.]43[.]33[.]249〜253, 188.43.136.0/24 と ロシア・ハサンの80.237.84.0/24, 80.237.87.0/24, 80.234.227.0/24をKPのHackerが利用。なおKPの脅威アクターが頻繁に使用するVPNサービスはAstrill VPNとのレポート報告が複数あり。
⚫︎関連諸国との関係性2:
KPの海外在住IT労働者がマーケットメイキング会社、オンラインカジノ、ソフトウェア会社など、暗号通貨セクターに属しており脅威アクターとして活動中。
KPフロント企業と疑われる企業は少なくとも以下の7社が特定されている:
Independent Lab LLC inditechlab[.]com(174.138.181[.]198) 、Shenyang Tonywang Technology LTD tonywangtech[.]com(174.138.181[.]198)、Tony WKJ LLC wkjllc[.]com(174.138.181[.]198)、hopanatech[.]com(180.235.135[.]177)、 Shenyang Huguo Technology Ltd huguotechltd[.]com(103.15.29[.]44)、 Beijing Xiwang Technology Company (北京市戏网科技有限公司) 、 Haikou Yilu Changtong Technology Trading Company (海口宜路畅佟科技贸易有限公司)
⚫︎KPフロント企業の詳細:
①Independent Lab LLC: inditechlab.com アクセス不可
②Shenyang Tonywang Technology LTD: tonywangtech.com アクセス不可
③hopanatech.com: アクセス不可
④Shenyang Huguo Technology Ltd: huguotechltd.com(103.15.29.44) ドメイン登録なし
⑤Beijing Xiwang Technology Company(北京市戏网科技有限公司): tongyuze@jswc.com.cn
⑥Haikou Yilu Changtong Technology Trading Company (海口宜路畅佟科技贸易有限公司):