Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

0
0

本文作者:谢幺 ,雷锋网网络安全作者。

最致命的可能是张牙舞爪的猛兽,也可能是脚边悄然无声的蛇蝎。

前不久朝鲜大核搞核试验的消息闹得沸沸扬扬,却没有太多人关注另一则新闻:

2017年4月底韩国媒体称,网络安全公司赛门铁克发布了一个报告, 估测朝鲜网络攻击集团对世界多国银行发动了攻击,窃取资金超过一千亿韩元(折合人民币6.13亿元) 。

除此之外, 已有证据表明,朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行,目前已经从这些国家的银行盗窃了至少 9400 万美元。

核武器研发靠“烧钱”来提高震慑力,网络武器却能肆无忌惮地从其他国家抢钱。 这也难怪有媒体报道,金正恩曾说过这样一句话: “网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

这让人不免联想到上个月在监狱病逝的,80年代香港三大贼王之一的叶继欢。他生前曾多次手持 AK47 冲锋枪对射警方,搞了一大堆军火,抢了整条街的金店,最后抢到的总值也就 1000 万港元。而 2016 年底发生的孟加拉国央行盗窃案,黑客或许只用了一台电脑一根网线就偷走了 8100 万美元,创造了有史以来最大的银行抢劫案。该案件目前已被多个安全组织认定为朝鲜黑客所为。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲香港一代“贼王”叶继欢,图片来自网络

据雷锋网了解,孟加拉银行盗窃案中,黑客因为转账时把转账机构的名字中的“foundation”被写成了“fandation” 而被发现,否则他们将盗走10亿美元。10亿美元什么概念?叶继欢拿着 AK-47 当烟花放,天天横扫金店也得连着抢两年,还得全年无休。

关于朝鲜黑客部队的说法其实由来已久,说法不一。今天雷锋网宅客频道就和大家一起扒一扒朝鲜黑客的故事。

神秘的 121 局

朝鲜组建网络战斗部队,第一个对付目标多半是谁?韩国无疑,事实也是如此。

早在十多年前,韩国媒体就开始持续地公开指责来自朝鲜的网络攻击。2010 年之后攻击事件越来越多,仅在 2013 年一年内就发生了多起大型黑客攻击事件,比如:

2013年3月, 韩国爆发历史上最大规模的黑客攻击 ,韩国主要银行、媒体、以及个人计算机均受到影响。大量企业,包括国内主流的银行、电视台计算机都被破坏及瘫痪,导致无法提供服务,大量资料被窃取。

2013年6月,韩国青瓦台总统府在内的16家网站遭攻击,并陷入瘫痪。一些被黑网站首页出现“ 伟大的金正恩领袖 ”等红色词句。

2013年7月,韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站等再次遭到分布式拒绝服务(DDoS)攻击,瘫痪时间长达4小时。

虽然韩国方面坚定不移地认定是朝鲜政府干的,却拿不出确凿的技术性证据。最关键的是,就算证据确凿了,又能怎么办呢?


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲配字:“就喜欢你看不惯我,又干不掉我的样子”

从那之后,这个从外部看来与世隔绝的国家,朝鲜的黑客实力开始得到真正意义上的广泛关注。 人们越来越好奇,这样一个国家的网络作战水平到底怎样,他们又是怎么培养出一流水准黑客的呢?


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲朝鲜官兵在使用电脑,图片来自网络

一位匿名韩国政府官员曾向美国媒体 CNN 透露,朝鲜有一个网络作战部门,隶属于朝鲜军方旗下的间谍机构侦察总局。韩国政府认为,在数次朝鲜针对外国机构的网络攻击中,起核心作用的就是121局。

2014年,一个曾担任过朝鲜政府电脑专家的叛逃者张世烈( Jang Se-yul) 向媒体透露,朝鲜有一个人数众多的部队,专门从事针对其他国家的网络战,而且水平超出了外界的想象。在他的口中,神秘的“121局”逐渐浮出水面。

张世烈说,121局大约由1800名网络战士组成,大部分黑客都来自平壤自动化大学。

这个学校是什么来历呢?据韩国国防部资料显示,朝鲜军方从 20 世纪 80 年代开始就十分重视电脑和网络人才的培养。在1981年建立了朝鲜第一所专职培养黑客和电子战部队的秘密军事学院 : 美林学校,后来更其名为平壤自动化大学。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲ 朝鲜黑客 ,图片来自网络

名曰“自动化”,但其实朝鲜人民军内部称其为电子战学校。(宅客: 这种称呼风格有点像中国的二炮部队,小时候我真以为只是普通的炮兵部队,后来才知道是现代化火箭军。)

自动化大学的入学筛选非常严格,一个班只收 100 名学生,申请者却有 5000 人之多。人们趋之若鹜的主要原因是 朝鲜黑客的生活条件比普通朝鲜人好太多 ,既有专门提供的繁华区域住房,又能将家人接来同住,还有机会出国去挣美元。

通常,朝鲜黑客会从娃娃抓起,青少年时期就被选拔出来进行专业的黑客训练。在正式加入 121局之前,要接受接近 9年的严格训练。训练后还会根据攻击国家的不同,被分配到不同的小组,派往相应的国家呆上两年以上,适应当地的语言和文化。

在学校的时候,他们每天上六节课,每节课90分钟,学习各种编程语言和操作系统,除了花费大量的时间分析微软的 windows 操作系统等程序,还要研究如何攻破美国、韩国等敌对国家的电脑信息系统。他们还有一个核心任务,开发属于自己的黑客程序和电脑病毒。在网络作战方面,他们在自主研发的道路上摸索。

张世烈说,朝鲜军方的黑客可以随意上网,完全不受限制,他们很了解外面世界发生的一切,也知道朝鲜是多么的封闭和落后,但是绝大部分依然不愿意离开朝鲜,不愿意背弃自己的国家,哪怕韩国为他们提供工作。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲朝鲜士兵用韩国防部长当靶子练习射击,图片来自网络

张世烈认为,朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员,甚至可能会更好。毕竟 “朝鲜为它准备了 20年。”

一个贫穷、资源匮乏的国家如何下这么大的力气去搞网络战?原因很简单:便宜。

对于朝鲜来说,培养一名网络间谍的收益和培养一名传统士兵的收益完全无法比拟。张世烈说, 朝鲜也许意识到自己在传统战争领域几乎没有打赢的机会,但在数字世界依靠少量资源就可以搅乱大局。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲金元帅利用现代化设备视察工作

2015年,另一位曾给121局的成员上过电脑课的脱北者 金恒光(Kim Heung-Kwang)教授透露,虽然他教的是基础电脑操作而不是黑客技术,但他发现, 学生们很喜欢黑客人物,对于能成为“金正恩的网络战士”他们感到很自豪。

金教授称,121 局希望仿造 Stuxnet 蠕虫病毒,也就是名震江湖的震网病毒。美国和以色列黑客就曾经成功用它来破坏伊朗的发电站离心机,造成核电站推迟发电。

黑客冲冠一怒为金正恩?

在 2014 年之前,朝鲜黑客活动消息多来自于韩国媒体,直到金元帅怒了。

2014 年,索尼影业出了一部黑金正恩的电影《The interview》(又名:刺杀金正恩),故事讲的是一个记者借着采访机会去刺杀金正恩的故事。情节不再赘述,我们单来看看他把金正恩黑成什么样?随便举几个例子:

1. 他生活在父亲的阴影之下,时常觉得自己像个废弃物。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

2.金正恩最爱看美剧《生活大爆炸》,美国流行女歌手 Katy Perry 的歌把他唱哭了。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

3.影片里的金正恩有点 Gay 里 Gay 气的,请通过画面自行体会。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

此外,片中的金正恩还把屎拉在裤子里导致采访中止。最后,金正恩乘坐的直升机爆炸了……他死了。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

就这样的情节,换在其他国家都指不定会发生什么,更何况朝鲜。该片在公布预告片时,就有朝鲜官方媒体发出警告,称好莱坞上映有关刺杀朝鲜领导人的喜剧电影属于”战争行为",如果美国政府默认或支持电影上映,我们将采取果断而无情的对策”。

此后,朝鲜当局又多次严厉斥责该电影“令人作呕”,甚至连美国国内也有不少人觉得这电影“不负责任”,会加剧地区局势紧张。这种情况下,索尼公司不依不挠,依然紧锣密鼓准备公映该片。于是他们印证了“什么叫不作死就不会死”。

12月,索尼影业的网络遭遇自称“和平护卫队”的黑客团体的攻击,大量信息被泄露,从员工安全信息到内部高管的邮件,以及大量新片的种子外泄、电影剧本,甚至索尼高管薪酬的详细构成全部流出。

当月16日,黑客发出了最后通牒,警告所有前去看片的观众“别忘了911事件”,威胁要在放映地点发动袭击,吓得美国多家院线纷纷决定撤销放映该电影。 17日,索尼影业也不得不发表声明,决定取消该电影在全球的一切发行计划。

袭击事件发生数月后,影响依然在发酵,电脑故障频发,电邮持续被冻结等等。最终,因为黑客攻击导致大量商业机密泄露以及其他不良影响,索尼影业董事长艾米帕斯卡引咎辞职。那次黑客袭击也成为了史上最严重的十次黑客袭击之一。

因为一部电影,索尼影业大概哭瞎了。

然而,朝鲜官方并不承认这次攻击,也没有直接的技术性证据表明就是他们干的。越是这样,就越让人琢磨不透,令人惴惴不安。一些安全公司和研究者开始专门就这些大型黑客攻击事件展开研究。

抓住小辫子

2016年 ,孟加拉国、厄瓜多尔、菲律宾以及越南的央行陆续遭遇黑客攻击,2月份,孟加拉国央行被盗走 8100 万美元,多家网络安全公司介入调查,发现大量银行攻击来自同一个神秘的幕后组织――拉撒路(Lazarus),因为这一团伙在攻击银行时所使用的计算机代码类似,攻击手法相同。 最重要的是, 其中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。

2016年12月韩国国防部对外表示,韩国军方内部网络遭受黑客攻击,导致内含军事机密的资料外泄,并明确表示“怀疑此次黑客攻击是朝鲜所为”,因为此次攻击代码与朝鲜黑客常用代码类似,因此朝鲜所为的可能性极高。

据 CNN 报道,卡巴斯基(Kaspersky)、赛门铁克(Symantec )、火眼(Fireeye) 三家安全公司发布的报告,都把 Lazarus 黑客组织的来源指向了朝鲜。

这些安全机构判定的主要依据有:

重复代码:一般来说黑客会重复利用他们开发出来的代码,在这方面,大量攻击案件具有高度一致性。

密码相同:多次攻击事件都有一个用于保存病毒生成器的加密压缩包,密码是相同的。

韩语元素:Lazarus 的恶意软件样本中,有2/3的网络犯罪可执行文件包含了典型韩语元素。

活动时间:针对 Lazarus 团伙的活动时间调查表明,该团伙的多数人生活在东八区或东九区,也就是中国和朝鲜之间。


探秘 | 比朝鲜核武器更炸裂更神秘的,是黑客部队

▲卡巴斯基对 Lazarus 组织的活动时间进行了分析

2017年初,卡巴斯基实验室又拿出了新的证据,认定去年 Lazarus 犯罪团伙,就是朝鲜黑客。

根据卡巴斯基实验室公布的报告书,Lazarus 团伙在一次攻击行动中犯了一个错误: 一台欧洲服务器出现了朝鲜政府专用的 IP 登录记录。

一般来说,黑客攻击时都会用代理服务器来隐藏自己真实的 IP 地址,但1月18日被发现有短暂的几秒钟连接了朝鲜的 IP,这是非常罕见的记录。卡巴斯基据此判定,如果没有人故意入侵了朝鲜政府的电脑来嫁祸,这就意味着和朝鲜有直接关系。

雷锋网 (公众号:雷锋网) 也发现一个现象:

Lazarus 在早年间的主要攻击目标是韩国和日本,攻击手段主要为 DDOS(分布式拒绝服务)。近两年他们却无差别地袭击了韩国、印度、马来西亚、波兰、乌拉圭、哥斯达黎加、埃塞俄比亚、加蓬、乌拉圭、台湾等18个金融机构、赌场、加密货币公司等,直接奔着钱去了。

有两位国际安全专家在接受 CNN 采访时怀疑, 这可能是朝鲜为其核弹计划敛财,作为一部分资金支持 。

真相如何?

你以为到此就讲完了吗? NO

稍稍注意,你会发现上文提到的关于朝鲜的负面信息,绝大多数来自韩国媒体,其次是美国、日本媒体。例如本文最开头那句 “金正恩曾说:网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”,其实就是日本媒体报道的。

在对待朝鲜半岛问题,日本一些媒体不负责任的态度已经被大家习以为常。比如今年1月底份,日本有一家小媒体放话美军可能在2月底突袭朝鲜, 轰炸700个军事据点。日本各大媒体纷纷转引报道,结果最后发现最初的消息源竟然来自于个人博客网站。

中国也曾经历过类似的事件。2009 年 Google 等几十家美国公司受到黑客的攻击后,《纽约时报》就在没有充分证据的情况下,就称该攻击和中国的蓝翔技校有关,之后也不了了之。

很多年前,西方媒体就不断对中国黑客威胁论进行鼓吹。如今又多俄罗斯和朝鲜两大角色。

万一是嫁祸呢?

通过技术认定朝鲜黑客的安全机构也出过一些乌龙事件。

2017年3月,卡巴斯基实验室表示, 过去一年中公司发现的 62 个加密勒索软件家族中,47 个由俄罗斯人或说俄语的人开发。 (详见: 战斗民族的黑客又出来吓人:3/4 的勒索软件都是“说俄语的人”做的! )

结果没过多久,另一家安全公司的研究者就发现,许多恶意软件样本中的俄文看起来狗屁不通,看起来像是有人故意用翻译软件将语言翻译成俄文的,企图嫁祸俄罗斯人。(详见: 情节反转!黑客嫁祸俄罗斯被揭穿:连俄文都写错了! )

到了 2017年3月,维基解密曝光美国中情局的 Vult 7 网络武器军火库,揭露了美国中情局(CIA)企图通过一款叫“Marble” 的工具,将病毒、恶意代码、木马的真实源代码进行混淆,让取证调查人员无法

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images