新闻快讯
< >

外媒:朝鲜为什么可以成为黑客超级大国

E安全3月4日讯 作为全球范围内联网程度最低的国家之一,朝鲜与外界只有两条互联网通道:一条跨越鸭绿江接入中国;另一条则连接到俄罗斯远东。尽管资源有限,但朝鲜已然成为黑客攻击领域的巨头。外媒将朝鲜的黑客能力归功于中国为其提供的黑客培养项目,他们认为朝鲜将国内最具天赋的黑客们派往中国沈阳(朝鲜在当地投资了一家四星级商务酒店,目前已被关闭)接受培训,并将学习到的知识转化为攻击手段倾泄在美国及其它敌对方身上。

甲骨文公司互联网情报小组分析总监道格·马多利表示,“对于一个国家来说,朝鲜拥有的互联网流量堪称微乎其微。”正因为如此,朝鲜如何一步步成长为全球性的黑客攻击大国就成了一大谜团,如今的朝鲜掌握着极具破坏性、入侵性且令人惊讶的强大网络攻击力量。

几乎无法接入互联网的朝鲜为何能够成为黑客超级大国?-E安全

朝鲜的崛起就像是个传奇故事,西方世界此前普遍将其视为类似在选秀节目中一鸣惊人的歌手或者拥有出色三分球命中率的失明运动员。即使是在2014年朝鲜黑客成功入侵索尼影业公司,西方世界也才勉强开始正视这位初出茅庐的对手。在那次入侵索尼影业的过程中,朝鲜的目标非常明确:阻止影片《The Interview》在院线上映。这部片子中,塞斯·罗根以极为讽刺的方式描绘了一场计划刺杀朝鲜最高领导人金正恩的阴谋。自那时开始,朝鲜的黑客们陆续实施了一波又一波暴力攻击,这也再次证明了其作为网络世界中强大力量的不争事实。

  • 2016年年初,朝鲜黑客从孟加拉中央银行处窃取到8100万美元。他们利用网络攻击入侵邻国韩国。他们还在越南、波兰与墨西哥成功实施攻击,甚至大肆掠夺比特币交易平台。

  • 2017年5月,黑客们发动WannaCry攻击。这轮攻击利用一款由美国顶级情报机构不慎流出的网络工具,最终导致全球范围内150个国家的无数计算机系统陷入瘫痪。

  • 最近,朝鲜黑客又于2017年9月试图闯入美国电力公司系统。近期,加拿大安大略省指责朝鲜黑客试图攻击多伦多周边的铁路系统。

曾任美国国家安全局东亚网络威胁专家、现任网络情报企业Recorded Future公司战略威胁发展总监的普里西拉·莫瑞奇指出,“他们比我们想象中的更加高效。”其他专家也警告称,万万不可低估朝鲜黑客的威力。

几乎无法接入互联网的朝鲜为何能够成为黑客超级大国?-E安全

对于被称为“隐士王国”的朝鲜来说,一个在21世纪的夜晚卫星图像都会显示漆黑一片的国家,其他国家普遍认为朝鲜黑客水平不足以对其构成威胁。但波士顿网络安全厂商Cybereason公司情报研究高级总监罗斯·鲁斯蒂奇表示,曾经对朝鲜黑客进行过研究的安全行业从业者,都会对朝鲜黑客的水平抱有严肃的态度,朝鲜人“已经一次又一次证明他们确实非常非常能干。

朝鲜如何培养网络能力?

国外研究人员们表示,朝鲜的网络攻击能力很可能源自位于中国沈阳的一家高级酒店。在此之后,朝鲜黑客的足迹又先后遍布非洲、南亚以及其它多个区域。与硅谷技术人员那种崇尚个性的自由文化不同,朝鲜的黑客们更是像由一个全面列宁主义国家打造出的量产型战士,他们能够开发出所谓网络培训管道。这是一种非常苏联式的制度。

莫瑞奇也表示,朝鲜会在数学或者中学阶段的科学课程当中初步发现有天赋的孩子,而后将其送到某几所指定的中学,之后是指定的大学。莫瑞奇与其他分析师们认为,平壤的金日成大学与金泽科学大学正是这些黑客的诞生之地。分析师认为,大多数学生被派往朝鲜侦察总局下辖的网络作战单位(121局)当中。最初,具有天赋的黑客们将被派往海外,尤其是中国沈阳,他们从朝鲜边境乘坐一小时调整列车即可抵达目的地。外媒认为,沈阳有一个叫七宝山大饭店(朝鲜最大的海外投资设施,目前已关闭)的地方,年轻的朝鲜黑客们在那里努力磨练自己的网络攻击技能。沈阳一直是朝鲜非法活动的中心地带,朝鲜还在这里贩卖各类假冒产品。

朝鲜优秀黑客派往海外

多年以来,朝鲜最出色的黑客们将被派往其它允许朝鲜人入境的国家。莫瑞奇表示,他们将在那里从事与餐厅等合法业务有关的活动,当然也会涉及其它一些较为模糊的活动。

除了中国之外,朝鲜还向印度、印度尼西亚、肯尼亚、马来西亚、莫桑比克、尼泊尔以及新西兰共七个国家派遣公民,并在这些国家隐藏起来,从事合法活动。

几乎无法接入互联网的朝鲜为何能够成为黑客超级大国?-E安全

根据美国国会研究服务机构2017年8月3日发布的题为《朝鲜网络能力》的报告指出,朝鲜目前“在网络作战单位中拥有3000到6000名黑客”,其中相当一部分人可能已经被派往海外。美国历届政府都在努力向盟国施压,要求其中止与平壤政府间的贸易与外交往来。

美国华盛顿民主国防基金会(一个专注于国防安全事务的智库)高级研究员安东尼·鲁杰罗表示,“在这样的背景下,我们可以得出结论:不要让朝鲜公民在IT部门工作。不要让他们学习计算机科学。”

朝鲜黑客的一大特点,在于其能够自行设计黑客工具,通常采取模块化风格,且有能力通过筛选互联网信息发现可配合其恶意软件使用的安全漏洞。

总部位于日本东京的网络安全企业Trend Micro公司云研究副总裁马克·努尼霍文表示:“我们已经发现朝鲜黑客所使用的一些独特恶意软件,这些恶意软件从未出现在我们追踪过的任何其它攻击活动当中。这批黑客持续表现出极高的敏锐度水平。”

思科Talos研究员帕尔·拉斯卡格尼瑞斯同样对朝鲜黑客的战略予以高度评价:“他们有能力进行间谍活动与破坏活动,也能够伪造出足以以假乱真的钓鱼文档。“

朝鲜黑客专注于盗取银行资金与加密货币

2016年2月,转折性事件终于出现——孟加拉国与东南亚地区其它多家银行遭遇攻击,攻击者很可能希望借此窃取资金,从而帮助平壤政府抵御其因核弹道导弹计划发展而遭受的经济制裁。黑客们对该全球银行系统进行了监控,并很快理清了Swift(世界银行间金融电信协会)这一神秘全球信息服务的运作原理。作为全球汇款体系的中坚枢纽,Swift目前得到全球范围内11000家银行及企业的使用。朝鲜黑客们伪装成孟加拉国中央银行向纽约联邦储备银行提出将其款项转入位于菲律宾的多个帐户中的要求,且转帐总额高达10亿美元。当时,纽约银行拒绝了其中大部分要求,但仍有8100万美元被转出且无法追回。

与此同时,黑客们还攻击了波兰、越南、墨西哥以及其它多个国家的银行,且同样通过Swift发送转帐申请。威胁分析企业FireEye iSIGHT情报团队负责人约翰·哈尔奎斯特指出,“其中一部分SWIFT利用手段需要极为复杂的技术方案才有可能实现。”

由于朝鲜受到国际社会的经济制裁,其网络部门开始以所谓“打砸抢”的方式筹集资金,其中包括攻击大量韩国自动取款机,并针对伦敦与首尔的加密货币交易平台实施欺诈。比特币交易平台一再受到攻击,其中第一个案例发生于2017年2月,首尔的Bithumb价值700万美元的加密货币遭遇窃取。自那时起,黑客们又从另一家韩国交易所Youbit处窃取到7000比特币,随后又于2017年12月再次发动攻势。

几乎无法接入互联网的朝鲜为何能够成为黑客超级大国?-E安全

朝鲜领导人在用这笔资金买什么?

2017年9月,黑客们得以从Coinis处窃取到一笔数额不明的资金,并很快于10月尝试从其外十家交易所处盗窃财富。取证研究员莫瑞奇表示,她后来观察到其中部分比特币被用于消费,发现了一些个人性质的例子,一部分朝鲜领导人使用比特币购买商品,可能是实体产品或者某种服务,具体内容不详。

2017年5月,朝鲜再次显示出其利用网络造成破坏的能力——事实证明,这种公然亮相的网络力量将造成一种全球性的混乱与恐慌。
在发动攻击的六周之前,作为美国最高机密机构的NSA曾遭遇尴尬。某个自称为“影子经纪人”的黑客组织发布了一套看似来自NSA的攻击性网络武器工具包,其中的一项安全漏洞被命名为“永恒之蓝”。分析师们怀疑朝鲜黑客将这种先进的自我传播工具植入了一款名为WannaCry的勒索软件当中,并于2017年5月12日面向全球进行传播。(E小编:也有另外的说法是,WannaCry是由俄罗斯的黑客发起的)

全球范围内约有30万台计算机因该非法程序的入侵而遭遇磁盘锁定。在一份谴责声明当中,美国白宫国土安全顾问托马斯·博斯特指出:“这一攻击事件引发了广泛的影响,造成数十亿美元的损失,而朝鲜应直接为此负责。”

2017年内发生的攻击活动迫使研究人员们重新对朝鲜的网络威胁水平作出评估。

特朗普政府威胁应对国外黑客活动作出更为积极的回应。白宫网络协调员罗布·乔伊斯则于2018年1月29日指出,美国对于其它国家黑客活动的态度可能将越来越多地转为“回敬射击者,而非一味躲避”,但朝鲜相当难搞。由于该国的联网程度很低,网络反击几乎不会造成什么广泛效果。而其它形式的报复则需要更为审慎地进行设计与考量。

哈尔奎斯特表示,对朝鲜黑客行动的遏制,在难度上堪比美军在伊拉克拆除那些部署在路边的简易爆炸装置,即以极低的投资给敌方制造巨大的损失。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。