揭秘:比核武器更具威脅性也更神秘的,是北韓駭客部隊

金正恩曾說過這樣一句話:「網路戰能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍」。
評論
Photo Credit: Reuters
Photo Credit: Reuters
評論

本文來自合作媒體 雷鋒網 ,INSIDE 授權轉載

最致命的可能是張牙舞爪的猛獸,也可能是腳邊悄然無聲的蛇蠍。

前不久北韓大核搞核試驗的消息鬧得沸沸揚揚,卻沒有太多人關注另一則新聞:

2017 年 4 月底南韓媒體稱,網路安全公司賽門鐵克發佈了一個報告,估測北韓網路攻擊集團對世界多國銀行發動了攻擊,竊取資金超過一千億韓元(約新台幣 26.69 億元)。

除此之外,已有證據表明,北韓網路攻擊的目標包括孟加拉國、越南、厄瓜多爾、波蘭等國銀行,目前已經從這些國家的銀行盜竊了至少 9400 萬美元。

核武器研發靠「燒錢」來提高震懾力,網路武器卻能肆無忌憚地從其他國家搶錢。這也難怪有媒體報導,金正恩曾說過這樣一句話:「網路戰能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍」。

這讓人不免聯想到上個月在監獄病逝的,80 年代香港三大賊王之一的葉繼歡。他生前曾多次手持 AK47 衝鋒槍對射警方,搞了一大堆軍火,搶了整條街的金店,最後搶到的總值也就 1000 萬港元。 而 2016 年底發生的孟加拉國央行盜竊案,駭客或許只用了一台電腦一根網線就偷走了 8100 萬美元,創造了有史以來最大的銀行搶劫案。該案件目前已被多個安全組織認定為北韓駭客所為。

▲香港一代「賊王」葉繼歡

據瞭解,孟加拉銀行盜竊案中,駭客因為轉帳時把轉帳機構的名字中的「foundation」被寫成了「fandation」而被發現,否則他們將盜走 10 億美元。10 億美元什麼概念?葉繼歡拿著 AK-47 當煙花放,天天橫掃金店也得連著搶兩年,還得全年無休。

關於北韓駭客部隊的說法其實由來已久,說法不一。今天就和大家一起扒一扒北韓駭客的故事。

神秘的 121 局

北韓組建網路戰鬥部隊,第一個對付目標多半是誰?南韓無疑,事實也是如此。

早在十多年前,南韓媒體就開始持續地公開指責來自北韓的網路攻擊。2010 年之後攻擊事件越來越多,僅在 2013 年一年內就發生了多起大型駭客攻擊事件,比如:

2013 年 3 月,南韓爆發歷史上最大規模的駭客攻擊,南韓主要銀行、媒體、以及個人電腦均受到影響。大量企業,包括國內主流的銀行、電視台電腦都被破壞及癱瘓,導致無法提供服務,大量資料被竊取。

2013 年 6 月,南韓青瓦台總統府在內的 16 家網站遭攻擊,並陷入癱瘓。一些被駭網站首頁出現「偉大的金正恩領袖」等紅色詞句。

2013 年 7 月,南韓總統府、國防部、外交通商部等政府部門和主要銀行、媒體網站等再次遭到分布式拒絕服務 (DDoS) 攻擊,癱瘓時間長達 4 小時。

雖然南韓方面堅定不移地認定是北韓政府做的,卻拿不出確鑿的技術性證據。最關鍵的是,就算證據確鑿了,又能怎麼辦呢?

從那之後,這個從外部看來與世隔絕的國家,北韓的駭客實力開始得到真正意義上的廣泛關注。 人們越來越好奇,這樣一個國家的網路作戰水平到底怎樣,他們又是怎麼培養出一流水準駭客的呢?

一位匿名南韓政府官員曾向美國媒體 CNN 透露,北韓有一個網路作戰部門,隸屬於北韓軍方旗下的間諜機構偵察總局。南韓政府認為,在數次北韓針對外國機構的網路攻擊中,起核心作用的就是 121 局。

2014 年,一個曾擔任過北韓政府電腦專家的叛逃者張世烈(Jang Se-yul)向媒體透露,北韓有一個人數眾多的部隊,專門從事針對其他國家的網路戰,而且水平超出了外界的想象。在他的口中,神秘的「121 局」逐漸浮出水面。

張世烈說,121 局大約由 1800 名網路戰士組成,大部分駭客都來自平壤自動化大學。

這個學校是什麼來歷呢?據南韓國防部資料顯示,北韓軍方從 20 世紀 80 年代開始就十分重視電腦和網路人才的培養。在 1981 年建立了北韓第一所專職培養駭客和電子戰部隊的秘密軍事學院 : 美林學校,後來更其名為平壤自動化大學。

名曰「自動化」,但其實北韓人民軍內部稱其為電子戰學校。

自動化大學的入學篩選非常嚴格,一個班只收 100 名學生,申請者卻有 5000 人之多。人們趨之若鶩的 主要原因是北韓駭客的生活條件比普通北韓人好太多 ,既有專門提供的繁華區域住房,又能將家人接來同住,還有機會出國去賺美元。

通常,北韓駭客會從小孩抓起,青少年時期就被選拔出來進行專業的駭客訓練。在正式加入 121 局之前,要接受接近 9 年的嚴格訓練。訓練後還會根據攻擊國家的不同,被分配到不同的小組,派往相應的國家待上兩年以上,適應當地的語言和文化。

在學校的時候,他們每天上六節課,每節課 90 分鐘,學習各種編程語言和操作系統,除了花費大量的時間分析微軟的 Windows 操作系統等程式,還要研究如何攻破美國、南韓等敵對國家的電腦資訊系統。他們還有一個核心任務,開發屬於自己的駭客程式和電腦病毒。在網路作戰方面,他們在自主研發的道路上摸索。

張世烈說,北韓軍方的駭客可以隨意上網,完全不受限制,他們很瞭解外面世界發生的一切,也知道北韓是多麼的封閉和落後,但是絕大部分依然不願意離開北韓,不願意背棄自己的國家,哪怕南韓為他們提供工作。

張世烈認為,北韓駭客的技術水平不遜於 Google 或者美國中情局的頂級程式員,甚至可能會更好。畢竟「北韓為它準備了 20 年。」

一個貧窮、資源匱乏的國家如何下這麼大的力氣去搞網路戰?原因很簡單:便宜。

對於北韓來說,培養一名網路間諜的收益和培養一名傳統士兵的收益完全無法比擬。張世烈說, 北韓也許意識到自己在傳統戰爭領域幾乎沒有打贏的機會,但在數位世界依靠少量資源就可以攪亂大局。

2015 年,另一位曾給 121 局的成員上過電腦課的脫北者金恆光(Kim Heung-Kwang)教授透露,雖然他教的是基礎電腦操作而不是駭客技術,但他發現,學生們很喜歡駭客人物,對於能成為「金正恩的網路戰士」他們感到很自豪。

金教授稱,121 局希望仿造 Stuxnet 蠕蟲病毒,也就是名震江湖的震網病毒。美國和以色列駭客就曾經成功用它來破壞伊朗的發電站離心機,造成核電站推遲發電。

駭客衝冠一怒為金正恩?

在 2014 年之前,北韓駭客活動消息多來自於南韓媒體,直到金元帥怒了。

2014 年,SONY 影業出了一部駭金正恩的電影《The interview》(又名:刺殺金正恩),故事講的是一個記者借著採訪機會去刺殺金正恩的故事。情節不再贅述,我們單來看看他把金正恩駭成什麼樣?隨便舉幾個例子:

1. 他生活在父親的陰影之下,時常覺得自己像個廢棄物。

2. 金正恩最愛看美劇《生活大爆炸》,美國流行女歌手 Katy Perry 的歌把他唱哭了。

3. 影片把金正恩拍成具有女性氣質,請通過畫面自行體會。

此外,片中的金正恩還把屎拉在褲子導致採訪中止。最後,金正恩乘坐的直升機爆炸了……他死了。

就這樣的情節,換在其他國家都指不定會發生什麼,更何況北韓。該片在公佈預告片時,就有北韓官方媒體發出警告,稱好萊塢上映有關刺殺北韓領導人的喜劇電影屬於「戰爭行為,如果美國政府默認或支持電影上映,我們將採取果斷而無情的對策」。

此後,北韓當局又多次嚴厲斥責該電影「令人作嘔」,甚至連美國國內也有不少人覺得這電影「不負責任」,會加劇地區局勢緊張。這種情況下,SONY 公司不依不撓,依然緊鑼密鼓準備公映該片。於是他們印證了「什麼叫不作死就不會死」。

12 月,SONY 影業的網路遭遇自稱「和平護衛隊」的駭客團體的攻擊,大量資訊被洩露,從員工安全資訊到內部高層的郵件,以及大量新片的種子外洩、電影劇本,甚至 SONY 高層薪酬的詳細構成全部流出。

當月 16 日,駭客發出了最後通牒,警告所有前去看片的觀眾「別忘了 911 事件」,威脅要在放映地點發動襲擊,嚇得美國多家院線紛紛決定撤銷放映該電影。 17 日,SONY 影業也不得不發表聲明,決定取消該電影在全球的一切發行計劃。

襲擊事件發生數月後,影響依然在發酵,電腦故障頻發,電郵持續被凍結等等。最終,因為駭客攻擊導致大量商業機密洩露以及其他不良影響,SONY 影業董事長艾米·帕斯卡引咎辭職。那次駭客襲擊也成為了史上最嚴重的十次駭客襲擊之一。

因為一部電影,SONY 影業大概哭瞎了。

然而,北韓官方並不承認這次攻擊,也沒有直接的技術性證據表明就是他們做的。越是這樣,就越讓人琢磨不透,令人惴惴不安。一些安全公司和研究者開始專門就這些大型駭客攻擊事件展開研究。

抓住小辮子

2016 年 ,孟加拉國、厄瓜多爾、菲律賓以及越南的央行陸續遭遇駭客攻擊,2 月份,孟加拉國央行被盜走 8100 萬美元,多家網路安全公司介入調查,發現大量銀行攻擊來自同一個神秘的幕後組織——拉撒路(Lazarus),因為這一團伙在攻擊銀行時所使用的電腦代碼類似,攻擊手法相同。最重要的是,其中一段用於消除攻擊證據的底層代碼和 2014 年駭客攻擊 SONY 影業時使用的代碼完全相同。

2016 年 12 月南韓國防部對外表示,南韓軍方內部網路遭受駭客攻擊,導致內含軍事機密的資料外洩,並明確表示「懷疑此次駭客攻擊是北韓所為」,因為此次攻擊代碼與北韓駭客常用代碼類似,因此北韓所為的可能性極高。

據 CNN 報導,卡巴斯基(Kaspersky)、賽門鐵克(Symantec)、火眼(Fireeye) 三家安全公司發佈的報告,都把 Lazarus 駭客組織的來源指向了北韓。

這些安全機構判定的主要依據有:

  • 重復代碼:一般來說駭客會重復利用他們開發出來的代碼,在這方面,大量攻擊案件具有高度一致性。
  • 密碼相同:多次攻擊事件都有一個用於保存病毒生成器的加密壓縮包,密碼是相同的。
  • 韓語元素:Lazarus 的惡意軟體樣本中,有 2/3 的網路犯罪可執行文件包含了典型韓語元素。
  • 活動時間:針對 Lazarus 團伙的活動時間調查表明,該團伙的多數人生活在東八區或東九區,也就是中國和北韓之間。

2017 年初,卡巴斯基實驗室又拿出了新的證據,認定去年 Lazarus 犯罪團伙,就是北韓駭客。

根據卡巴斯基實驗室公佈的報告書,Lazarus 團伙在一次攻擊行動中犯了一個錯誤:一台歐洲伺服器出現了北韓政府專用的 IP 登錄記錄。

一般來說,駭客攻擊時都會用代理伺服器來隱藏自己真實的 IP 地址,但 1 月 18 日被發現有短暫的幾秒鐘連接了北韓的 IP,這是非常罕見的記錄。卡巴斯基據此判定,如果沒有人故意入侵了北韓政府的電腦來嫁禍,這就意味著和北韓有直接關係。

這裡也發現另一個現象:

Lazarus 在早年間的主要攻擊目標是南韓和日本,攻擊手段主要為 DDOS(分布式拒絕服務)。近兩年他們卻無差別地襲擊了南韓、印度、馬來西亞、波蘭、烏拉圭、哥斯達黎加、衣索比亞、加彭、烏拉圭、台灣等 18 個金融機構、賭場、加密貨幣公司等,直接奔著錢去了。有兩位國際安全專家在接受 CNN 採訪時懷疑,這可能是北韓為其核彈計劃斂財,作為一部分資金支持。

真相如何?

你以為到此就講完了嗎? NO

稍稍注意,你會發現上文提到的關於北韓的負面資訊,絕大多數來自南韓媒體,其次是美國、日本媒體。例如本文最開頭那句「金正恩曾說:網路戰能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍」,其實就是日本媒體報導的。

在對待北韓半島問題,日本一些媒體不負責任的態度已經被大家習以為常。比如今年 1 月底份,日本有一家小媒體放話美軍可能在 2 月底突襲北韓, 轟炸 700 個軍事據點。日本各大媒體紛紛轉引報導,結果最後發現最初的消息源竟然來自於個人網站。

萬一是嫁禍呢?

通過技術認定北韓駭客的安全機構也出過一些烏龍事件。

2017 年 3 月,卡巴斯基實驗室表示,過去一年中公司發現的 62 個加密勒索軟體家族中,47 個由俄羅斯人或說俄語的人開發。

結果沒過多久,另一家安全公司的研究者就發現,許多惡意軟體樣本中的俄文看起來狗屁不通,看起來像是有人故意用翻譯軟體將語言翻譯成俄文的,企圖嫁禍俄羅斯人。

到了 2017 年 3 月,維基解密曝光美國中情局的 Vult 7 網路武器軍火庫,揭露了美國中情局(CIA)企圖通過一款叫「Marble」的工具,將病毒、惡意代碼、木馬的真實源代碼進行混淆,讓取證調查人員無法溯源到 CIA 身上,順便嫁禍給其他國家。(詳見:美國中情局秘密文件曝光:企圖嫁禍中國、俄羅斯等別國駭客

Marble 的源代碼中有中文、俄文、北韓文、阿拉伯文、伊朗文字……

從這個角度來看,上文提到的所謂「北韓駭客」的證據:

重復代碼、密碼相同、韓語元素、活動時間符合東八區九區、短暫連接北韓 IP……誰又能保證,這些不是另一種更高明的嫁禍行為呢?

引用新華網記者楊駿的文字:

嫁禍「外國駭客」,個別政客和黨派可以增加政治資本,情報機構和軍方可以獲得新的授權或預算,相關承包商可以獲得各類訂單,一些利益團體才能維持網路霸權——這猶如一條完整的產業鏈。因此,不拉駭其他國家,如何過得滋潤呢?

真實情況如何,這裏不做猜測,這裡只為讀者們提供更多資訊量補充。不過話說回來,不正因為真相撲朔迷離,才顯得北韓駭客更加神秘?


精選熱門好工作

客服服務品質稽核專員

樂購蝦皮股份有限公司
臺北市.台灣

獎勵 NT$15,000

樂趣買Web Designer(Rakuma)

台灣樂天市場
臺北市.台灣

獎勵 NT$15,000

後端工程師

AsiaYo.com
臺北市.台灣

獎勵 NT$15,000

評論