2016年9月7日,一个监督全球(包括俄罗斯、朝鲜和伊朗等)核试验设施的网站遭受DDoS
攻击,被迫停止服务。网络攻击的目标为存储着核试验数据的“图像分析众包项目(PCIA)”,此次攻击发生在朝鲜核试验的前两天(9月7日),导致
PCIA 不得不将其 “geoserver” 下线,该服务上保管了全球各核试验基地与核设施的卫星图像等数据,由于反应及时,没有发生数据丢失事件。
美国米德尔伯里国际事务研究院的 PCIA 是一个非营利性机构。该机构从通信公司购买卫星图像,志愿者通过扫描图像差异研究当地建筑与景观的变化,并将结果保存在geoserver 中。
针对此次攻击, PCIA官方尚未正式指责任何国家。但是CNS的高级研究员Melissa Hanham表示:“此次攻击时机的选择很令人怀疑。”并坚称此次服务器下线并非是内部技术故障,而是由于外部攻击,目的是为了扰乱服务器。
不幸的是,本周我们遭到了 DoS 攻击,我们不得不暂时下线了 geoserver。我们没有丢失任何数据,这样做是为了以防万一。
——Geo4Nonpro (@geo4nonpro) 2016年9月10日
关于此次攻击,普遍的观点是认为朝鲜具有最大嫌疑,因为朝鲜的核武器试验违反联合国决议,遭到世界主要国家的强烈谴责。但是这个封闭的国家却声称已经掌握了在弹道导弹上安装核弹头的能力。
2016年9月9日,朝鲜进行了核试验,在该国东北部丰溪里引爆了一颗一万吨的弹头,造成了5.3 级地震。而丰溪里正是 PCIA 项目监测的一个地点,其他的敏感核地点有俄罗斯、伊朗、缅甸及其他国家。
朝鲜——排名第三的网络强国?
在过去,这个神秘的王国被称为“地球上最封闭最无网可用的社会”。但现在,它有可能是对国际网络安全最大的威胁之一。
2016年4月,美国一家专业公司以5分为满分对全球160多个国家的网络战能力进行了评价。结果显示,美国和中国的平均分都为4分,并列第一。朝鲜、日本和以色列的平均分为3.6分,紧随其后。韩国的平均分为3.2分…朝鲜网络战能力何德何能居然排名第三?
1. Big boss——朝鲜侦查总局
2015年5月29日,韩国宣布:朝鲜侦察总局一名大校投奔韩国,该职务级别相当于人民军普通部队的二星中将。这位叛逃者名为金恒光(Kim
Heung-Kwang),曾在朝鲜咸兴计算机科技大学教授计算机科学20年,于2004年逃至韩国。金恒光称,朝鲜政府培养了6000多黑客。虽然他本人没有教授致命技术,但他的许多学生后来组成了朝鲜著名的黑客单位121局。
朝鲜侦查总局全权负责朝鲜对外情报工作。同时还有一项神秘的任务:负责针对韩国和美国的网络战,是朝鲜对外网络战的最强大脑。该局表面上属于人民武力部序列,实际上属于最高领导人金正恩直接指挥,与总政治局、总参谋部一并列为“朝鲜三大权力机构”之一,对外编号:第586部队。侦察总局下属的“电子侦查局网络战指导局”(121局)更是直接负责“入侵敌方军事机构电脑网络,盗取资料,必要时传播电脑病毒等”。
该部门直接从小学招募黑客,将全国的电脑人才集中在平壤的金星一、二高中进行黑客基础教育,之后送到金日成军事大学、美林大学、金策工业大学学习,然后政府再将这些黑客送往国外培训,并给予其住房与特权作为奖励。培养1名网络专业人才前后需要10多年,参加该计划的黑客人数已从500人增至6000人。
2. 朝鲜神秘网络部队——121部队
今年夏季,惠普安全团队发布了一份长达75页的详细报告,深挖朝鲜网络战方面人才与能力的演化过程。此外,美国军事情报分析员也于2009年公布了类似报告。以下就是两份报告中安全与情报分析人员对朝鲜网络军团的认识:
朝鲜军事化IT基础设施中最重要的部门就是121部队,一队训练精良的黑客菁英,专注于网络间谍和网络犯罪。该部队收编最聪明最优秀的头脑,从小便被精心挑选入军方培养,训练各种网络战技能。
金恒光教授说:“进入121部队是无上荣光的事。这就是朝鲜的白领工作了,人们都对它充满了幻想和期待。”他们是朝鲜唯一能访问互联网和出国的人。因为朝鲜与世隔绝,不可能知晓这个部队到底有多壮大,但韩国宣称,121部队是现今世界上第三大网络部队(紧跟在美国和俄罗斯后面)。
此外,美国媒体还称,朝鲜黑客在俄罗斯和其他国家接受训练。2012年,朝鲜还与伊朗签署协议,双方在应对“网络空间共同敌人”方面展开合作。促使这个联盟形成的一个激励因素是“震网”病毒的出现,这是美国与以色列开发的网络武器,曾被用于攻击伊朗核研究设施。
骚动的朝鲜,频发的网络战
朝鲜的第一起网络攻击始于本世纪初,最开始,他们删除硬盘,传播恶意软件攻击,进行DDoS攻击,但现在,他们的能力显然已经超出大多数人的预估,演变为影响全球网路安全的重要力量之一。
1. 干扰韩国境内GPS,引天安舰事件
2010年,朝韩爆发天安舰事件,调查显示,天安舰在被袭击前曾遭到来自朝鲜的GPS干扰波。由此认定天安舰事件侦察总局就是主谋之一。此外据悉,朝鲜还曾在2010年8月23—26日、2011年3月4—14日、2012年4月28—5月13日对韩国进行GPS干扰攻击。
今年4月1日,韩国指责朝鲜对韩国首都圈全球定位系统(GPS)进行了长达1个月的干扰试验。3月31日当天更将干扰电波的输出功率调至最大。韩国国防部指出,朝鲜自3月31日下午7时30分许从临近军事分界线(MDL)以北的海州市、延安郡、平康郡、金刚郡4地实施GPS干扰,企图妨碍韩国的军事活动,威胁民间交通安全。
韩国当局认定该行为是“朝鲜侦查总局电子侦查局网络战指导局(121局)”所为。韩国方面称,“朝鲜电子侦查局网络战指导局”具备发动电子战、拒绝服务攻击、黑客攻击、心理战等多种网络攻击的能力。
2. 仁川机场瘫痪事件
2011年9月15日,韩国仁川机场航空交通中心(ATC)电子系统遭遇57分钟的瘫痪事故,原因是向外部机构提供飞行资料的飞行资料传达装置(FDP)突然停止运行,事故共对18架航班的航行产生影响。调查显示,这一事件确实是朝鲜所为。
朝鲜侦察总局将藏有恶意代码的游戏程序在韩国国内扩散以后,在试图通过该恶意代码对仁川机场等国家基础设施网络进行网络攻击时被公安当局发现。游戏开发公司代表赵某(39岁)被逮捕。韩国警方还发现,赵某2009年9月曾在中国沈阳与朝鲜侦察总局2名特工人员会面,商谈引进FFA竞猜游戏程序的事情,委托劳动成本低廉的朝鲜程序开发人员进行游戏程序开发。根据朝方的指示,在游戏程序中植入了能够向特定网站进行DDoS攻击(拒绝分散式服务攻击)等攻击行为的恶意代码。该恶意代码在2011年3月曾经对仁川机场系统进行过3次攻击。在2011年1月就有7300多台韩国国内的个人电脑感染这种病毒。朝鲜黑客可以操纵他们发动攻击,使韩国交通、电力、供水、发电等基础设施全部陷入瘫痪。
3. 攻击韩国电视台
2013年3月20日,韩国多家金融机构和电视台遭到网络袭击,造成5家银行和电视广播公司的5万台电脑和服务器宕机了数日。据称,韩国遭到的网络攻击手段高超,比如经由其他计算机隐藏身份等,找到证据并非易事,因此只能根据手法初步认定系朝鲜所为。
4. 攻击发电厂和核电厂
2014年,他们运用震网类型的攻击袭击了水力发电厂和核电站。金恒光教授称,此类攻击可以是灾难性的,“尽管核电站最终未被攻破,只要控制核反应堆的计算机系统被渗透,其后果的严重程度可能是难以想象的,可能会导致大量人员伤亡。”
5. 黑掉“索尼影业”
或许朝鲜最为人所知的网络攻击,就是电影《刺杀金正恩》上映前对索尼影业的这次了。2014年11月24日早上7点,美国索尼影业总部员工登陆公司网站后,只会听到传出激烈的枪声,屏幕上出现滚动的威胁字样和一个骷髅的图像,骷髅头上有两位索尼影业高管的名字。
IT人员拔出电源插头前,黑客的恶意软件已经传播到了整个索尼园区和各大洲的服务器间,彻底摧毁了索尼全球一半的网络。此次攻击抹掉了全公司6797台电脑中3262台以及1555台服务器中837台的全部数据。
而在黑客删除公司所有数据之前,这些数据已经被黑客所“窃取”。在接下来的三周内,他们分9次将这些机密文件发表在公共文件共享平台上。未来所有要上映的电影信息、员工工资邮件以及47000个社会安全码(相当于美国身份证)全部爆料。五部索尼影片,其中四部尚未发行,泄露并上传到盗版网站免费播放。然后,黑客威胁将对影院进行9-11式的袭击,促使索尼取消在圣诞节上映电影《刺杀金正恩》的计划。
2014年12月20日,美国联邦调查局(FBI)发布声明,正式确定朝鲜侦察总局是索尼影业被黑案幕后主谋。FBI称,我们可以看到,黑客团伙使用的IP是朝鲜专属的。这是他们犯的一个错误,很明显地昭示了是谁干的这事儿。他们本可以一意识到这个错误就立马停手的,但我们已经看到并且非常清楚攻击来自哪里了。由于这些IP地址只被朝鲜使用,而朝鲜普通公民不能接入互联网,很明显该攻击是受国家支持的。
6. 散布中美海战谣言
2015年1月中旬,美国接二连三地发生遭黑客袭击事件。其中,最引人关注的是美国中央司令部、《纽约时报》、合众国际社等的官方Twitter和YouTube遭到黑客入侵。
更离谱的是这则当时吓了中美网民一跳的新闻:2015年1月16日,《纽约时报》与合众国际社的Twitter账号发布类似的消息称,美国参谋长联席会议表示,“美国的海军正在南海同中国舰艇交战,美国华盛顿号航母已经被摧毁”。
但随后,美国海军方面证实,华盛顿号航母仍在母港里,并没有在南海同中国交战。很快,美方认为,这些都是最神秘的朝鲜人民军侦察总局所为。
朝鲜如今的网络攻击现状
今年初,朝鲜黑客试图从孟加拉央行盗取近10亿美元。虽然攻击被纽约的几名警惕性高的银行职员挫败了,黑客还是成功卷走了8100万美元。此次攻击被认为是121部队所为,去年,一位该组织的叛逃者声称,该组织拥有6000多名成员以及充足的资金预算。他告诉英国广播公司(BBC):朝鲜一直骚扰其他国家的原因是为了证明朝鲜的网络战能力,他警告称朝鲜黑客有能力发起攻击致人死命、摧毁城市。
今年6月,韩国警方报告,韩国公司和政府机构的14万台电脑遭到了朝鲜的攻击。他们还发现了为将来的大规模攻击而植入的恶意代码。此次攻击从2014年就开始了,若不是他们试图偷取国防相关材料,还不会被发现。朝鲜已成功获取到超过42000份文档,其中40000份都是国防相关的,包括了一些F-15战机的设计蓝图。
7月,韩国官员表示,仅平壤就针对韩国发起了43起单独攻击,其中27起运用网络钓鱼攻击手段。
9月底,韩国政府研究报告称,去年超过80%的网络攻击来自朝鲜,主要针对韩国军方,包括使用钓鱼邮件攻击。此外,韩联社还报道称,2015年首尔发现74起来自朝鲜的钓鱼邮件攻击事件,邮件中包含恶意软件。
数据显示,国家支持的黑客活动正从传统的攻击形式转变为针对网站发起直接攻击。
众议员Joo
Kwang-Deok补充道:“朝鲜目前正在扩大其黑客攻击能力,旨在窃取更多的军事机密数据等。”报道称,今年早些时候,朝鲜黑客运用钓鱼邮件攻击成功窃取超过50为韩国官员、外交官及安全人员的电子邮件和密码。这种钓鱼邮件中包含恶意链接,重定位至钓鱼网站以此骗取受害者个人信息等。
前FBI成员及现任Cryptzone公司安全官通过邮件告诉IBTimes UK:“世界各地许多的黑客攻击系统中都发现了朝鲜的踪迹,以其独特的恶意软件代码形式谋划着网络攻击大局。“
未来的攻击又将如何演变?
虽然提及朝鲜,我们大多数人还是嗤之以鼻,用内心深处对朝鲜的网络实力持怀疑甚至否定态度。但是事实已经让我们证实,在当今世界的网络生活中必须把朝鲜看做是最大的威胁了。与之相对的是,由于朝鲜的封闭性,其他国家基本上是完全无法或是很难黑入其网络系统的。
如今,网络行动已成为朝鲜国际战略的一个扩展。正如金正恩所言:“网络战,还有核武器和导弹,是万能利剑,保证了我们军队无情打击的能力。”所以,未来的攻击将如何演变,咱且看且论吧…
朝鲜开辟网络战场原因分析
和核试验、导弹发射一样,“网络攻击”是朝鲜最令美韩警惕的挑衅行动。根据朝鲜的叛逃者说,朝鲜向网络战场大力投入有五个原因:
1. 网络战的强度符合成本效益。随着经济形势恶化,朝鲜无法在建设传统陆军、海军和空军力量方面与韩美抗衡;
2. 朝鲜对其软件开发能力非常有信心;
3.
网络战的效用比海军、空军或陆军都高。一个国家可能拥有数以万计的步兵或数以百计的战机,但很少有机会用到,而一旦建立了网络战人力资源,就可从敌国窃取任何加密信息,使对方服务器瘫痪,并通过心理战引发敌方社会恐慌。它在制造困扰与混乱方面效率很高,这是网络战的最大优点;
4. 网络战对朝鲜而言有着不对称优势。朝鲜服务器很少连到互联网上,因此可免遭网络攻击。但对于韩国和其他国家,若电脑系统崩溃都会陷入巨大混乱;
5. 朝鲜认识到,互联网自创始以来就存在固有弱点,只要保持“网络攻击”行动,就能轻易以较快速度攻入战略目标。
扩展知识:你所不知道的朝鲜互联网
关于朝鲜互联网,最让人惊讶的也许莫过于它的极端封闭、与世隔绝,自然也不必担心会失去什么。下面就让我们对朝鲜互联网一探究竟吧。
1. 大部分民众没网,只有朝鲜国家局域网——“光明网”
朝鲜光明网于2000年开通,包括一个搜索引擎、电子邮箱、新闻页面以及一个浏览器。光明网向所有民众开放,只要是能接触到电脑就可以自由访问。然而,拥有电脑的朝鲜人少之又少,因为购买电脑需要得到政府的许可,而且几乎得花去三个月的工资。
朝鲜光明网上大约有1000到5500个网站,可以自由访问。当然,朝鲜民众有时候也可以访问外网,但必须向主管部门请求,并且要经过严格审查,而且只能利用本地主机。
2. 朝鲜能够访问互联网的人少之又少
真正可以访问互联网的都是那些政治领导人及其亲属,精英大学的学生,以及朝鲜网络军团的成员。这些人加起来也不过几千人。然而,一如西方国家,朝鲜政府极有可能也在监控人们的上网活动,并且对此做记录。
3. 朝鲜领导人是“网络专家”
朝鲜前领导人金正日生前在一次峰会讲话上告诉韩国总统卢武铉说他是一个“网络专家”。他还补充说,允许靠近韩国的特别“工业园”访问网络是“没啥问题的”,但是如果让朝鲜普通市民上网就会引发“一系列问题”。
据传朝鲜当前领导人金正恩是一个网络迷,好像也是苹果电脑的忠实粉丝。去年,他曾被拍到在一个电脑桌前工作,桌上摆放的电脑就是一台iMac。因为苹果公司必须遵守相关贸易禁令,不得向朝鲜出售产品,所以仅有的苹果电脑就成了绕不过去的话题。
4. 朝鲜电脑形似苹果Mac但却神不似
如前所述,苹果产品在朝鲜也有粉丝。但是朝鲜却有其自己的操作系统,名为RedStarOS,所有计算机都必须使用这个操作系统。最近几年,朝鲜技术人员照着苹果系统给这个操作系统来了一次“大革新”。
RedStar由朝鲜电脑中心(KoreaComputerCenter)编写。这个中心是朝鲜的科技研究枢纽,大约有1000名员工,而且在德国、叙利亚、中国以及阿联酋设有办事处。这个中心管理着朝鲜官方网站门户、Naenara(朝鲜语意为“我的国家”)网站以及一个政府批准的搜索引擎。
开发一个独立自主的操作系统符合朝鲜独立自主以及自力更生的政治方针。尽管RedSar实际上建立在Linux系统之上,后者是由世界范围内的志愿者开发出来的开放系统。
5. 朝鲜网络只有一条网络通道进出
英国有好几十条高速电缆,直接把英国民众连接到世界上其他国家,但是朝鲜却只有一条网络电缆。要在英国,如果一条通道挂了,还有其他通道来维持网络服务。但是在朝鲜就不是这么回事了。这样设计有其缺陷,但却是有意为之:当进出只有一条通道时,把控互联网就要容易很多。
在朝鲜,唯一的互联网服务提供商是国有的StarJointVenture公司,在中国丹东和平壤之间架设了一条光缆;还有一个卫星连接到德国,偶尔用来支撑网络连接。
6. 朝鲜有自己的顶级域名
就像英国有.co.uk域名一样,朝鲜也有.kp域名。这个顶级域名于2007年9月24日创建,而且域名注册由StarJointVenture公司负责。
7. 朝鲜的互联网空间不足
朝鲜仅有1024个IP地址,而其他国家则很多,比如英国就有超过1.23亿个IP地址。每台接入互联网的电脑必须有一个IP地址,但是在全世界范围内可供利用的IP地址数量却很有限,虽然多台电脑可以共用一个IP地址,通过路由器等硬件来实现。
朝鲜IP地址少,主要是因为需求少。互联网号码分配局(TheInternetAssignedNumbersAuthority)基于需求分配IP地址:如果朝鲜突然成为一个民主的、酷爱互联网的国家,就将得到更多的IP地址。
“以强对强”、“非对称”,是朝鲜战略的一个特点。网络战恰恰是不二之选。当然这也引起了美国及韩国的警惕,尤其是韩国,近几年也开始开展了与朝鲜的网络军备竞赛,更是打造了天才黑客少年Lokihardt的形象来鼓动年轻人投入网络黑客技术探索。由此可见,未来东北亚网络空间态势将不容乐观。
译者:米洛
参考链接:
http://www.ibtimes.co.uk/did-north-korea-launch-ddos-attack-against-website-monitoring-its-nuclear-tests-1580916
http://www.ibtimes.co.uk/how-north-korea-hacks-seoul-warns-email-cyberattacks-by-pyongyang-rise-1582746
http://securityaffairs.co/wordpress/6239/intelligence/increasing-concerns-on-cyber-warfare-capabilities-of-the-north-korea.html
http://www.thetower.org/article/how-iran-and-north-korea-became-cyber-terror-buddies/
http://www.inquisitr.com/1688862/sony-hack-secrets-of-unit-121-north-koreas-elite-hackers-who-live-like-stars-in-luxury-hotel/