当前位置:
前不久北韩大核搞核试验的消息闹得沸沸扬扬,却没有太多人关注另一则新闻:
核武器研发靠「烧钱」来提高震慑力,网路武器却能肆无忌惮地从其他国家抢钱。这也难怪有媒体报导,金正恩曾说过这样一句话:「」。
这让人不免联想到上个月在监狱病逝的,80 年代香港三大贼王之一的叶继欢。他生前曾多次手持 AK47 冲锋枪对射警方,搞了一大堆军火,抢了整条街的金店,最后抢到的总值也就 1000 万港元。
据了解,孟加拉银行盗窃案中,骇客因为转帐时把转帐机构的名字中的「foundation」被写成了「fandation」而被发现,否则他们将盗走 10 亿美元。10 亿美元什么概念?叶继欢拿着 AK-47 当烟花放,天天横扫金店也得连着抢两年,还得全年无休。
关于北韩骇客部队的说法其实由来已久,说法不一。今天就和大家一起扒一扒北韩骇客的故事。
神秘的 121 局
北韩组建网路战斗部队,第一个对付目标多半是谁?南韩无疑,事实也是如此。
早在十多年前,南韩媒体就开始持续地公开指责来自北韩的网路攻击。2010 年之后攻击事件越来越多,仅在 2013 年一年内就发生了多起大型骇客攻击事件,比如:
虽然南韩方面坚定不移地认定是北韩政府做的,却拿不出确凿的技术性证据。最关键的是,就算证据确凿了,又能怎么办呢?
从那之后,这个从外部看来与世隔绝的国家,北韩的骇客实力开始得到真正意义上的广泛关注。
一位匿名南韩政府官员曾向美国媒体 CNN 透露,北韩有一个网路作战部门,隶属于北韩军方旗下的间谍机构侦察总局。南韩政府认为,在数次北韩针对外国机构的网路攻击中,起核心作用的就是 121 局。
2014 年,一个曾担任过北韩政府电脑专家的叛逃者张世烈(Jang Se-yul)向媒体透露,北韩有一个人数众多的部队,专门从事针对其他国家的网路战,而且水平超出了外界的想象。在他的口中,神秘的「121 局」逐渐浮出水面。
张世烈说,121 局大约由 1800 名网路战士组成,大部分骇客都来自平壤自动化大学。
这个学校是什么来历呢?据南韩国防部资料显示,北韩军方从 20 世纪 80 年代开始就十分重视电脑和网路人才的培养。在 1981 年建立了北韩第一所专职培养骇客和电子战部队的秘密军事学院 : 美林学校,后来更其名为平壤自动化大学。
名曰「自动化」,但其实北韩人民军内部称其为电子战学校。
自动化大学的入学筛选非常严格,一个班只收 100 名学生,申请者却有 5000 人之多。人们趋之若鹜的 ,既有专门提供的繁华区域住房,又能将家人接来同住,还有机会出国去赚美元。
通常,北韩骇客会从小孩抓起,青少年时期就被选拔出来进行专业的骇客训练。在正式加入 121 局之前,要接受接近 9 年的严格训练。训练后还会根据攻击国家的不同,被分配到不同的小组,派往相应的国家待上两年以上,适应当地的语言和文化。
在学校的时候,他们每天上六节课,每节课 90 分钟,学习各种编程语言和操作系统,除了花费大量的时间分析微软的 Windows 操作系统等程式,还要研究如何攻破美国、南韩等敌对国家的电脑资讯系统。他们还有一个核心任务,开发属于自己的骇客程式和电脑病毒。在网路作战方面,他们在自主研发的道路上摸索。
张世烈说,北韩军方的骇客可以随意上网,完全不受限制,他们很了解外面世界发生的一切,也知道北韩是多么的封闭和落后,但是绝大部分依然不愿意离开北韩,不愿意背弃自己的国家,哪怕南韩为他们提供工作。
张世烈认为,北韩骇客的技术水平不逊于 Google 或者美国中情局的顶级程式员,甚至可能会更好。毕竟「北韩为它準备了 20 年。」
一个贫穷、资源匮乏的国家如何下这么大的力气去搞网路战?原因很简单:便宜。
对于北韩来说,培养一名网路间谍的收益和培养一名传统士兵的收益完全无法比拟。张世烈说, 北韩也许意识到自己在传统战争领域几乎没有打赢的机会,但在数位世界依靠少量资源就可以搅乱大局。
2015 年,另一位曾给 121 局的成员上过电脑课的脱北者金恆光(Kim Heung-Kwang)教授透露,虽然他教的是基础电脑操作而不是骇客技术,但他发现,学生们很喜欢骇客人物,对于能成为「金正恩的网路战士」他们感到很自豪。
金教授称,121 局希望仿造 Stuxnet 蠕虫病毒,也就是名震江湖的震网病毒。美国和以色列骇客就曾经成功用它来破坏伊朗的发电站离心机,造成核电站推迟发电。
骇客冲冠一怒为金正恩?
在 2014 年之前,北韩骇客活动消息多来自于南韩媒体,直到金元帅怒了。
2014 年,SONY 影业出了一部骇金正恩的电影《The interview》(又名:刺杀金正恩),故事讲的是一个记者借着採访机会去刺杀金正恩的故事。情节不再赘述,我们单来看看他把金正恩骇成什么样?随便举几个例子:
1. 他生活在父亲的阴影之下,时常觉得自己像个废弃物。
2. 金正恩最爱看美剧《生活大爆炸》,美国流行女歌手 Katy Perry 的歌把他唱哭了。
3. 影片把金正恩拍成具有女性气质,请通过画面自行体会。
此外,片中的金正恩还把屎拉在裤子导致採访中止。最后,金正恩乘坐的直升机爆炸了……他死了。
就这样的情节,换在其他国家都指不定会发生什么,更何况北韩。该片在公布预告片时,就有北韩官方媒体发出警告,称好莱坞上映有关刺杀北韩领导人的喜剧电影属于「战争行为,如果美国政府默认或支持电影上映,我们将採取果断而无情的对策」。
此后,北韩当局又多次严厉斥责该电影「令人作呕」,甚至连美国国内也有不少人觉得这电影「不负责任」,会加剧地区局势紧张。这种情况下,SONY 公司不依不挠,依然紧锣密鼓準备公映该片。于是他们印证了「什么叫不作死就不会死」。
12 月,SONY 影业的网路遭遇自称「和平护卫队」的骇客团体的攻击,大量资讯被洩露,从员工安全资讯到内部高层的邮件,以及大量新片的种子外洩、电影剧本,甚至 SONY 高层薪酬的详细构成全部流出。
当月 16 日,骇客发出了最后通牒,警告所有前去看片的观众「别忘了 911 事件」,威胁要在放映地点发动袭击,吓得美国多家院线纷纷决定撤销放映该电影。 17 日,SONY 影业也不得不发表声明,决定取消该电影在全球的一切发行计划。
袭击事件发生数月后,影响依然在发酵,电脑故障频发,电邮持续被冻结等等。最终,因为骇客攻击导致大量商业机密洩露以及其他不良影响,SONY 影业董事长艾米·帕斯卡引咎辞职。那次骇客袭击也成为了史上最严重的十次骇客袭击之一。
因为一部电影,SONY 影业大概哭瞎了。
然而,北韩官方并不承认这次攻击,也没有直接的技术性证据表明就是他们做的。越是这样,就越让人琢磨不透,令人惴惴不安。一些安全公司和研究者开始专门就这些大型骇客攻击事件展开研究。
抓住小辫子
2016 年 ,孟加拉国、厄瓜多尔、菲律宾以及越南的央行陆续遭遇骇客攻击,2 月份,孟加拉国央行被盗走 8100 万美元,多家网路安全公司介入调查,发现大量银行攻击来自同一个神秘的幕后组织——拉撒路(Lazarus),因为这一团伙在攻击银行时所使用的电脑代码类似,攻击手法相同。最重要的是,其中一段用于消除攻击证据的底层代码和 2014 年骇客攻击 SONY 影业时使用的代码完全相同。
2016 年 12 月南韩国防部对外表示,南韩军方内部网路遭受骇客攻击,导致内含军事机密的资料外洩,并明确表示「怀疑此次骇客攻击是北韩所为」,因为此次攻击代码与北韩骇客常用代码类似,因此北韩所为的可能性极高。
据 CNN 报导,卡巴斯基(Kaspersky)、赛门铁克(Symantec)、火眼(Fireeye) 三家安全公司发布的报告,都把 Lazarus 骇客组织的来源指向了北韩。
这些安全机构判定的主要依据有:
重复代码:一般来说骇客会重复利用他们开发出来的代码,在这方面,大量攻击案件具有高度一致性。密码相同:多次攻击事件都有一个用于保存病毒生成器的加密压缩包,密码是相同的。韩语元素:Lazarus 的恶意软体样本中,有 2/3 的网路犯罪可执行文件包含了典型韩语元素。活动时间:针对 Lazarus 团伙的活动时间调查表明,该团伙的多数人生活在东八区或东九区,也就是中国和北韩之间。2017 年初,卡巴斯基实验室又拿出了新的证据,认定去年 Lazarus 犯罪团伙,就是北韩骇客。
根据卡巴斯基实验室公布的报告书,Lazarus 团伙在一次攻击行动中犯了一个错误:一台欧洲伺服器出现了北韩政府专用的 IP 登录记录。
一般来说,骇客攻击时都会用代理伺服器来隐藏自己真实的 IP 地址,但 1 月 18 日被发现有短暂的几秒钟连接了北韩的 IP,这是非常罕见的记录。卡巴斯基据此判定,如果没有人故意入侵了北韩政府的电脑来嫁祸,这就意味着和北韩有直接关係。
这里也发现另一个现象:
真相如何?
你以为到此就讲完了吗? NO
稍稍注意,你会发现上文提到的关于北韩的负面资讯,绝大多数来自南韩媒体,其次是美国、日本媒体。例如本文最开头那句「金正恩曾说:网路战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑」,其实就是日本媒体报导的。
在对待北韩半岛问题,日本一些媒体不负责任的态度已经被大家习以为常。比如今年 1 月底份,日本有一家小媒体放话美军可能在 2 月底突袭北韩, 轰炸 700 个军事据点。日本各大媒体纷纷转引报导,结果最后发现最初的消息源竟然来自于个人网站。
万一是嫁祸呢?
通过技术认定北韩骇客的安全机构也出过一些乌龙事件。
2017 年 3 月,卡巴斯基实验室表示,过去一年中公司发现的 62 个加密勒索软体家族中,47 个由俄罗斯人或说俄语的人开发。
结果没过多久,另一家安全公司的研究者就发现,许多恶意软体样本中的俄文看起来狗屁不通,看起来像是有人故意用翻译软体将语言翻译成俄文的,企图嫁祸俄罗斯人。
到了 2017 年 3 月,维基解密曝光美国中情局的 Vult 7 网路武器军火库,揭露了美国中情局(CIA)企图通过一款叫「Marble」的工具,将病毒、恶意代码、木马的真实源代码进行混淆,让取证调查人员无法溯源到 CIA 身上,顺便嫁祸给其他国家。(详见:美国中情局秘密文件曝光:企图嫁祸中国、俄罗斯等别国骇客
Marble 的源代码中有中文、俄文、北韩文、阿拉伯文、伊朗文字……
从这个角度来看,上文提到的所谓「北韩骇客」的证据:
重复代码、密码相同、韩语元素、活动时间符合东八区九区、短暂连接北韩 IP……谁又能保证,这些不是另一种更高明的嫁祸行为呢?
引用新华网记者杨骏的文字:
嫁祸「外国骇客」,个别政客和党派可以增加政治资本,情报机构和军方可以获得新的授权或预算,相关承包商可以获得各类订单,一些利益团体才能维持网路霸权——这犹如一条完整的产业链。因此,不拉骇其他国家,如何过得滋润呢?
真实情况如何,这裏不做猜测,这里只为读者们提供更多资讯量补充。不过话说回来,不正因为真相扑朔迷离,才显得北韩骇客更加神秘?
