探祕 | 比朝鮮核武器更炸裂更神祕的,是朝鮮黑客部隊

本文作者:謝幺 ,雷鋒網網絡安全作者。

引用最致命的可能是張牙舞爪的猛獸,也可能是腳邊悄然無聲的蛇蠍。

前不久朝鮮大核搞核試驗的消息鬧得沸沸揚揚,卻沒有太多人關注另一則新聞:

引用2017年4月底韓國媒體稱,網絡安全公司賽門鐵克發佈了一個報告,估測朝鮮網絡攻擊集團對世界多國銀行發動了攻擊,竊取資金超過一千億韓元(摺合人民幣6.13億元)

除此之外,已有證據表明,朝鮮網絡攻擊的目標包括孟加拉國、越南、厄瓜多爾、波蘭等國銀行,目前已經從這些國家的銀行盜竊了至少 9400 萬美元。

核武器研發靠“燒錢”來提高震懾力,網絡武器卻能肆無忌憚地從其他國家搶錢。這也難怪有媒體報道,金正恩曾説過這樣一句話:“網絡戰能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍”。


這讓人不免聯想到上個月在監獄病逝的,80年代香港三大賊王之一的葉繼歡。他生前曾多次手持 AK47 衝鋒槍對射警方,搞了一大堆軍火,搶了整條街的金店,最後搶到的總值也就 1000 萬港元。而 2016 年底發生的孟加拉國央行盜竊案,黑客或許只用了一台電腦一根網線就偷走了 8100 萬美元,創造了有史以來最大的銀行搶劫案。該案件目前已被多個安全組織認定為朝鮮黑客所為。


▲香港一代“賊王”葉繼歡,圖片來自網絡

據雷鋒網了解,孟加拉銀行盜竊案中,黑客因為轉賬時把轉賬機構的名字中的“foundation”被寫成了“fandation” 而被發現,否則他們將盜走10億美元。10億美元什麼概念?葉繼歡拿着 AK-47 當煙花放,天天橫掃金店也得連着搶兩年,還得全年無休。

關於朝鮮黑客部隊的説法其實由來已久,説法不一。今天雷鋒網宅客頻道就和大家一起扒一扒朝鮮黑客的故事。

神祕的 121 局

朝鮮組建網絡戰鬥部隊,第一個對付目標多半是誰?韓國無疑,事實也是如此。

早在十多年前,韓國媒體就開始持續地公開指責來自朝鮮的網絡攻擊。2010 年之後攻擊事件越來越多,僅在 2013 年一年內就發生了多起大型黑客攻擊事件,比如:

引用2013年3月,韓國爆發歷史上最大規模的黑客攻擊,韓國主要銀行、媒體、以及個人計算機均受到影響。大量企業,包括國內主流的銀行、電視台計算機都被破壞及癱瘓,導致無法提供服務,大量資料被竊取。

2013年6月,韓國青瓦台總統府在內的16家網站遭攻擊,並陷入癱瘓。一些被黑網站首頁出現“偉大的金正恩領袖”等紅色詞句。

2013年7月,韓國總統府、國防部、外交通商部等政府部門和主要銀行、媒體網站等再次遭到分佈式拒絕服務(DDoS)攻擊,癱瘓時間長達4小時。

雖然韓國方面堅定不移地認定是朝鮮政府幹的,卻拿不出確鑿的技術性證據。最關鍵的是,就算證據確鑿了,又能怎麼辦呢?


▲配字:“就喜歡你看不慣我,又幹不掉我的樣子”

從那之後,這個從外部看來與世隔絕的國家,朝鮮的黑客實力開始得到真正意義上的廣泛關注。人們越來越好奇,這樣一個國家的網絡作戰水平到底怎樣,他們又是怎麼培養出一流水準黑客的呢?


▲朝鮮官兵在使用電腦,圖片來自網絡

一位匿名韓國政府官員曾向美國媒體 CNN 透露,朝鮮有一個網絡作戰部門,隸屬於朝鮮軍方旗下的間諜機構偵察總局。韓國政府認為,在數次朝鮮針對外國機構的網絡攻擊中,起核心作用的就是121局。

2014年,一個曾擔任過朝鮮政府電腦專家的叛逃者張世烈( Jang Se-yul) 向媒體透露,朝鮮有一個人數眾多的部隊,專門從事針對其他國家的網絡戰,而且水平超出了外界的想象。在他的口中,神祕的“121局”逐漸浮出水面。

張世烈説,121局大約由1800名網絡戰士組成,大部分黑客都來自平壤自動化大學。

這個學校是什麼來歷呢?據韓國國防部資料顯示,朝鮮軍方從 20 世紀 80 年代開始就十分重視電腦和網絡人才的培養。在1981年建立了朝鮮第一所專職培養黑客和電子戰部隊的祕密軍事學院 : 美林學校,後來更其名為平壤自動化大學。


▲ 朝鮮黑客 ,圖片來自網絡

名曰“自動化”,但其實朝鮮人民軍內部稱其為電子戰學校。(宅客:這種稱呼風格有點像中國的二炮部隊,小時候我真以為只是普通的炮兵部隊,後來才知道是現代化火箭軍。)

自動化大學的入學篩選非常嚴格,一個班只收 100 名學生,申請者卻有 5000 人之多。人們趨之若鶩的主要原因是朝鮮黑客的生活條件比普通朝鮮人好太多,既有專門提供的繁華區域住房,又能將家人接來同住,還有機會出國去掙美元。

通常,朝鮮黑客會從娃娃抓起,青少年時期就被選拔出來進行專業的黑客訓練。在正式加入 121局之前,要接受接近 9年的嚴格訓練。訓練後還會根據攻擊國家的不同,被分配到不同的小組,派往相應的國家呆上兩年以上,適應當地的語言和文化。

在學校的時候,他們每天上六節課,每節課90分鐘,學習各種編程語言和操作系統,除了花費大量的時間分析微軟的 Windows 操作系統等程序,還要研究如何攻破美國、韓國等敵對國家的電腦信息系統。他們還有一個核心任務,開發屬於自己的黑客程序和電腦病毒。在網絡作戰方面,他們在自主研發的道路上摸索。

張世烈説,朝鮮軍方的黑客可以隨意上網,完全不受限制,他們很了解外面世界發生的一切,也知道朝鮮是多麼的封閉和落後,但是絕大部分依然不願意離開朝鮮,不願意背棄自己的國家,哪怕韓國為他們提供工作。


▲朝鮮士兵用韓國防部長當靶子練習射擊,圖片來自網絡

張世烈認為,朝鮮黑客的技術水平不遜於Google或者美國中情局的頂級程序員,甚至可能會更好。畢竟 “朝鮮為它準備了 20年。”

一個貧窮、資源匱乏的國家如何下這麼大的力氣去搞網絡戰?原因很簡單:便宜。
對於朝鮮來説,培養一名網絡間諜的收益和培養一名傳統士兵的收益完全無法比擬。張世烈説, 朝鮮也許意識到自己在傳統戰爭領域幾乎沒有打贏的機會,但在數字世界依靠少量資源就可以攪亂大局。


▲金元帥利用現代化設備視察工作

2015年,另一位曾給121局的成員上過電腦課的脱北者金恆光(Kim Heung-Kwang)教授透露,雖然他教的是基礎電腦操作而不是黑客技術,但他發現,學生們很喜歡黑客人物,對於能成為“金正恩的網絡戰士”他們感到很自豪。

金教授稱,121 局希望仿造 Stuxnet 蠕蟲病毒,也就是名震江湖的震網病毒。美國和以色列黑客就曾經成功用它來破壞伊朗的發電站離心機,造成核電站推遲發電。

黑客衝冠一怒為金正恩?

在 2014 年之前,朝鮮黑客活動消息多來自於韓國媒體,直到金元帥怒了。

2014 年,Sony影業出了一部黑金正恩的電影《The interview》(又名:刺殺金正恩),故事講的是一個記者藉着採訪機會去刺殺金正恩的故事。情節不再贅述,我們單來看看他把金正恩黑成什麼樣?隨便舉幾個例子:

1. 他生活在父親的陰影之下,時常覺得自己像個廢棄物。


2.金正恩最愛看美劇《生活大爆炸》,美國流行女歌手 Katy Perry 的歌把他唱哭了。


3.影片裏的金正恩有點 Gay 裏 Gay 氣的,請通過畫面自行體會。


此外,片中的金正恩還把屎拉在褲子裏導致採訪中止。最後,金正恩乘坐的直升機爆炸了……他死了。


就這樣的情節,換在其他國家都指不定會發生什麼,更何況朝鮮。該片在公佈預告片時,就有朝鮮官方媒體發出警告,稱好萊塢上映有關刺殺朝鮮領導人的喜劇電影屬於”戰爭行為",如果美國政府默認或支持電影上映,我們將採取果斷而無情的對策”。

此後,朝鮮當局又多次嚴厲斥責該電影“令人作嘔”,甚至連美國國內也有不少人覺得這電影“不負責任”,會加劇地區局勢緊張。這種情況下,Sony公司不依不撓,依然緊鑼密鼓準備公映該片。於是他們印證了“什麼叫不作死就不會死”。

12月,Sony影業的網絡遭遇自稱“和平護衞隊”的黑客團體的攻擊,大量信息被泄露,從員工安全信息到內部高管的郵件,以及大量新片的種子外泄、電影劇本,甚至Sony高管薪酬的詳細構成全部流出。

當月16日,黑客發出了最後通牒,警告所有前去看片的觀眾“別忘了911事件”,威脅要在放映地點發動襲擊,嚇得美國多家院線紛紛決定撤銷放映該電影。 17日,Sony影業也不得不發表聲明,決定取消該電影在全球的一切發行計劃。

襲擊事件發生數月後,影響依然在發酵,電腦故障頻發,電郵持續被凍結等等。最終,因為黑客攻擊導致大量商業機密泄露以及其他不良影響,Sony影業董事長艾米·帕斯卡引咎辭職。那次黑客襲擊也成為了史上最嚴重的十次黑客襲擊之一。

因為一部電影,Sony影業大概哭瞎了。

然而,朝鮮官方並不承認這次攻擊,也沒有直接的技術性證據表明就是他們乾的。越是這樣,就越讓人琢磨不透,令人惴惴不安。一些安全公司和研究者開始專門就這些大型黑客攻擊事件展開研究。

抓住小辮子

2016年 ,孟加拉國、厄瓜多爾、菲律賓以及越南的央行陸續遭遇黑客攻擊,2月份,孟加拉國央行被盜走 8100 萬美元,多家網絡安全公司介入調查,發現大量銀行攻擊來自同一個神祕的幕後組織——拉撒路(Lazarus),因為這一團夥在攻擊銀行時所使用的計算機代碼類似,攻擊手法相同。最重要的是,其中一段用於消除攻擊證據的底層代碼和 2014 年黑客攻擊Sony影業時使用的代碼完全相同。

2016年12月韓國國防部對外表示,韓國軍方內部網絡遭受黑客攻擊,導致內含軍事機密的資料外泄,並明確表示“懷疑此次黑客攻擊是朝鮮所為”,因為此次攻擊代碼與朝鮮黑客常用代碼類似,因此朝鮮所為的可能性極高。

據 CNN 報道,卡巴斯基(Kaspersky)、賽門鐵克(Symantec )、火眼(Fireeye) 三家安全公司發佈的報告,都把 Lazarus 黑客組織的來源指向了朝鮮。

這些安全機構判定的主要依據有:

引用
  • 重複代碼:一般來説黑客會重複利用他們開發出來的代碼,在這方面,大量攻擊案件具有高度一致性。
  • 密碼相同:多次攻擊事件都有一個用於保存病毒生成器的加密壓縮包,密碼是相同的。
  • 韓語元素:Lazarus 的惡意軟件樣本中,有2/3的網絡犯罪可執行文件包含了典型韓語元素。
  • 活動時間:針對 Lazarus 團伙的活動時間調查表明,該團伙的多數人生活在東八區或東九區,也就是中國和朝鮮之間。


▲卡巴斯基對 Lazarus 組織的活動時間進行了分析

2017年初,卡巴斯基實驗室又拿出了新的證據,認定去年 Lazarus 犯罪團伙,就是朝鮮黑客。

根據卡巴斯基實驗室公佈的報告書,Lazarus 團伙在一次攻擊行動中犯了一個錯誤:一台歐洲服務器出現了朝鮮政府專用的 IP 登錄記錄。

一般來説,黑客攻擊時都會用代理服務器來隱藏自己真實的 IP 地址,但1月18日被發現有短暫的幾秒鐘連接了朝鮮的 IP,這是非常罕見的記錄。卡巴斯基據此判定,如果沒有人故意入侵了朝鮮政府的電腦來嫁禍,這就意味着和朝鮮有直接關係。

雷鋒網也發現一個現象:

引用Lazarus 在早年間的主要攻擊目標是韓國和日本,攻擊手段主要為 DDOS(分佈式拒絕服務)。近兩年他們卻無差別地襲擊了韓國、印度、馬來西亞、波蘭、烏拉圭、哥斯達黎加、埃塞俄比亞、加蓬、烏拉圭、台灣等18個金融機構、賭場、加密貨幣公司等,直接奔着錢去了。

有兩位國際安全專家在接受 CNN 採訪時懷疑,這可能是朝鮮為其核彈計劃斂財,作為一部分資金支持

真相如何?

你以為到此就講完了嗎? NO

稍稍注意,你會發現上文提到的關於朝鮮的負面信息,絕大多數來自韓國媒體,其次是美國、日本媒體。例如本文最開頭那句 “金正恩曾説:網絡戰能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍”,其實就是日本媒體報道的。

在對待朝鮮半島問題,日本一些媒體不負責任的態度已經被大家習以為常。比如今年1月底份,日本有一家小媒體放話美軍可能在2月底突襲朝鮮, 轟炸700個軍事據點。日本各大媒體紛紛轉引報道,結果最後發現最初的消息源竟然來自於個人博客網站。

中國也曾經歷過類似的事件。2009 年 Google 等幾十家美國公司受到黑客的攻擊後,《紐約時報》就在沒有充分證據的情況下,就稱該攻擊和中國的藍翔技校有關,之後也不了了之。

很多年前,西方媒體就不斷對中國黑客威脅論進行鼓吹。如今又多俄羅斯和朝鮮兩大角色。

萬一是嫁禍呢?

通過技術認定朝鮮黑客的安全機構也出過一些烏龍事件。

2017年3月,卡巴斯基實驗室表示,過去一年中公司發現的 62 個加密勒索軟件家族中,47 個由俄羅斯人或説俄語的人開發。(詳見:戰鬥民族的黑客又出來嚇人:3/4 的勒索軟件都是“説俄語的人”做的!

結果沒過多久,另一家安全公司的研究者就發現,許多惡意軟件樣本中的俄文看起來狗屁不通,看起來像是有人故意用翻譯軟件將語言翻譯成俄文的,企圖嫁禍俄羅斯人。(詳見:情節反轉!黑客嫁禍俄羅斯被揭穿:連俄文都寫錯了!

到了 2017年3月,維基解密曝光美國中情局的 Vult 7 網絡武器軍火庫,揭露了美國中情局(CIA)企圖通過一款叫“Marble” 的工具,將病毒、惡意代碼、木馬的真實源代碼進行混淆,讓取證調查人員無法溯源到CIA身上,順便嫁禍給其他國家。(詳見:美國中情局祕密文件曝光:企圖嫁禍中國、俄羅斯等別國黑客

Marble 的源代碼中有中文、俄文、朝鮮文、阿拉伯文、伊朗文字……


▲ 美國中情局泄露的黑客工具代碼

從這個角度來看,上文提到的所謂“朝鮮黑客”的證據:

引用重複代碼、密碼相同、韓語元素、活動時間符合東八區九區、短暫連接朝鮮IP……

誰又能保證,這些不是另一種更高明的嫁禍行為呢?

引用新華網記者楊駿的文字:

引用嫁禍“外國黑客”,個別政客和黨派可以增加政治資本,情報機構和軍方可以獲得新的授權或預算,相關承包商可以獲得各類訂單,一些利益團體才能維持網絡霸權——這猶如一條完整的產業鏈。因此,不拉黑其他國家,如何過得滋潤呢?

真實情況如何,宅客不做猜測,這裏只為讀者們提供更多信息量補充。不過話説回來,不正因為真相撲朔迷離,才顯得朝鮮黑客更加神祕?


▲刺殺金正恩劇照

----

附一則消息:就在雷鋒網編輯撰文時(5月2日),韓國媒體又發出報道,韓國防部表示已經發現確鑿證據表明此前入侵韓軍方網絡的是朝鮮黑客。雷鋒網(公眾號:雷鋒網)看了一下,證據大致還是上文提到的那些。


▲相關報道截圖,圖片來自百度搜索界面

本文作者:謝幺 ,雷鋒網網絡安全作者。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知


資料來源:雷鋒網
作者/編輯:謝幺

如果喜歡我們的文章,請即分享到︰