勒索病毒始作俑者?揭秘朝鮮121局

+

A

-
2017-05-16 22:33:36

据法新社和路透社等報道,賽門鐵克、卡巴斯基和安全專家Matt Suiche等10位研究員均認為有證据顯示,遍及全球的勒索病毒背后可能是朝鮮黑客团隊“拉撒路組”。不禁令人好奇,在一個電力、互聯網都沒有普及的國度,朝鮮的黑客部隊究竟怎樣。本文選自微信公眾號“虎嗅”,原題為《朝鮮黑客崛起背后:121局、紅星系統和蚊子網絡》,作者波波夫。


勒索病毒(Wanna Cry)肆虐世界(圖源:VCG)

朝鮮這几天著實傲嬌了一把。

就在全球多個陷入“藍瘦香菇”勒索病毒(Wanna Cry)恐慌之時,只有朝鮮安然無恙。在國際空間站工作的宇航員對此決不感到驚訝,他們每隔一個半小時就繞地球一圈,而整個半島北部的夜空通常是漆黑一片。

作為发達國家社會富貴病的一种,電腦病毒對于北韓,几乎就是甜蜜的煩惱。想想一個電力、互聯網都沒有普及的國度……。不過,劇情很快出現反轉

勒索病毒并非高精尖、“想哭”只到賬7万美元

賽門鐵克(Symantec)和卡巴斯基實驗室(Kaspersky Lab)5月15日稱,一個名為Lazarus的組織曾用過勒索病毒早期版本的部分編碼。多家公司的研究員證實該組織為朝鮮運營。卡巴斯基上月发表報告稱,Lazarus近年向台灣、印度、印尼等18個地區和國家的金融機構发動攻擊,企圖竊取巨款。

考慮到近期國際組織加大對朝鮮的制裁力度,勒索病毒很有可能成為朝鮮新的斂財手段。美國中央情報局稱朝鮮為“世界上最不開放的經濟體”,据估算,2015年朝鮮經濟總量折合人民幣約為2,059億元。數据顯示,截止到2014年,朝鮮拖欠國際貿易債務就超過628億美元,主要債權國為美、國、德、法、日。

不過,從目前的情況看,KPI完成的情況并不理想。美國總統特朗普的國土安全顧問博塞特不久前稱,此次勒索病毒共涉及150個國家約30万台電腦受感染,但用戶為了給電腦解鎖而支付給黑客的贖金少于7万美元。

在計算機病毒王國里,勒索病毒大概可以歸為溫和的食草類,與其他病毒最大的不同在于手法以及中毒方式。其中一种勒索軟件僅是單純地將受害者的電腦鎖起來,而另一种則系統性地加密受害者硬盤上的文件。所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權,或是取回受害者根本無從自行获取的解密密鑰以便解密檔案。

勒索病毒最初興起于俄羅斯,后來擴散至全球。历史上比較知名的勒索軟件有Reveton、Crypto Locker、Crypto Locker.F、Crypto Wall等。此前一貫以安全著稱的蘋果電腦也難逃此劫。第一個在OSX操作系統上運作的勒索軟件Ke Ranger出現在2016年,該病毒將.DMG可執行文件偽裝成RTF文件,并有三天的潛伏期。

勒索病毒常假借執法機关的名義,恐嚇受害者的電腦被发現進行非法行動,如色情、盜版媒體,或是非法的操作系統等。获得贖金是這類病毒的最終目標,為了逃避執法追究,通常要求受害者以比特幣支付贖金。僅WinLock在2010年就曾非法获取贖金1,500多万美元。

121局和神秘的朝鮮黑客部隊

朝鮮据信在1980年代就建立起一支黑客部隊。

韓國國防部的報告稱,該支黑客部隊自1986年起,在金日成軍事大學接受五年的大學電腦課程,然后部署在國防部總參謀部的指揮自動化局和偵察局,專責電腦大戰,入侵韓國、美國和日本的電腦系統,目的是搜集情報或发動電腦攻擊。

受制于北韓自身的互聯網基礎設施的羸弱,黑客部隊在海外設置有多個秘密据點。朝鮮人民軍121局被認為是負責黑客攻擊的單位,該局成立于1990年代末期,編制大約1,800人,隸屬于軍方精銳情報機構偵察總局,2005年開始在大規運作。

紐約時報報道認為,朝鮮黑客網絡龐大,共有1,700名黑客,另有逾5,000名受訓人員、主管和其他支援人手。為了避免外界懷疑,朝鮮黑客通常會在中國內地、東南亞及歐洲運作,并受到主管密切監控。

朝鮮黑客部隊有兩大目標,一是获取資金,二是获取情報。

電腦安全軟件生產商賽門鐵克認為,今年來多起黑客攻擊皆指向北韓黑客所為——包括2014年索尼電影公司遭到網絡攻擊,2016年波蘭銀行遭惡意軟體攻擊,以及同年的孟加拉央行遭竊取8,100万美元。

金融機構是朝鮮黑客的重點攻擊目標。俄羅斯知名網絡安全公司卡巴斯基指出,涉及多次攻擊的Lazarus組織,設于歐洲的伺服器被发現接連至朝鮮1個IP位址。卡巴斯基研究人員認為,朝鮮黑客行動已襲擊台灣、哥斯達黎加、埃塞俄比亞、加蓬、印度、印尼、伊拉克、肯尼亞、馬來西亞、尼日利亞、波蘭、泰國及烏拉圭等國家及地區的金融機構。

美國聯邦調查局局長James Comey稱,“我們可以看到他們使用的IP地址,這些IP地址都是朝鮮的,他們犯了一個錯誤。這是一個很明顯的證据,證明了誰发起的網絡攻擊,雖然我們沒有看到发起攻擊的人,但是我們可以知道從哪里開始发起網絡攻擊的。”

北韓黑客還曾成功入侵過韓國軍方網絡。韓國軍方在今年5月初承認,2016年9月,朝鮮黑客突破南韓軍電腦網絡樞紐國防綜合數据中心后,將資料偷走,其中包括應對朝鮮半島爆发全面戰爭的《作戰計划5027》等機密文件,而韓國軍方直到20天后才发現資料被竊。

此外,韓國警方在2016年4月對外披露,朝鮮已透過植入惡意代碼,入侵了160家韓國政府和SK和韓進(Hanjin)集团的逾14万部電腦。据統計,朝鮮對韓國的網絡攻擊每天每天高達1.5万余次。

朝鮮的黑客攻擊,也令比特幣的安全問題雪上加霜。Yonhap News估計在2013年到2015年之間黑客在Bitcoin中盜竊了88,100美元。韓國網絡安全公司HauriIn稱:“自2012年以來,朝鮮已經跳上了Bitcoin敲詐勒索的舞台。”

紅星操作系統、光明網和1,024個IP地址

與朝鮮黑客部隊咄咄逼人相比,民間互聯網顯得十分原始。

直到2012年,BBC記者发現,整個平壤只有一家網吧。在那里,打開電腦不是熟悉的windows開機画面和聲音,而是北韓自研的一套名為紅星的操作系統,屬于Linux的北韓深度定制版。舊版紅星操作系統與Windows几乎相同,新版的界面則酷似蘋果OSX,所使用的瀏覽器為Naenara(基于火狐瀏覽器改版)。

朝鮮在2000年前后搭建了供本國民眾使用的局域網——光明網,朝鮮國內用戶只需到各電話分局辦理入網申請手續,即可通過電話线上網,瀏覽朝鮮的門戶網站,同時也有英文版。這些網站主要提供官方的新聞服務,比如朝鮮之聲,和國家機关報刊《勞動新聞》,這里也有朝鮮版Facebook,不過,只能在上面发布生日信息和一些祝福信息。

BBC的報道稱,“朝鮮的官方網站都有一個怪癖,每一頁都需要包含一個特殊程序。這個程序的效果也許過于直接了当但是非常重要,那就是網頁上所有金正恩名字的字體都會自動顯示出比其他文字大一些。尽管差别并不是很大,但是足夠突出。”

CNN在2014年報道稱,朝鮮全國只有1,024個已知IP地址,且并非每個IP地址只針對一台電腦。据估算,2014年,朝鮮全國的互聯網流量僅相当于美國1,000戶高速網絡家庭的流量。

外國人在北韓可以接入真正的互聯網。《環球時報》曾報道該記者在平壤使用朝鮮的有线互聯網(朝鮮目前嚴禁使用Wifi),每月包月費為545美元左右,收費單位為朝鮮星合營會社,網速理論上是2M。

美聯社報道稱,一家埃及公司在2008年前后幫助朝鮮搭建了3G網絡,目前已覆蓋大部分主要城市。2013年,朝鮮開始允許外國人通過3G網絡接入互聯網,手機上網包月費用為14美元左右,每月免費提供50M流量,收費單位為朝鮮Koryolink會社,超出部分按照每兆1元人民幣左右標准收費。

《現代國際关系》雜志在2014年刊登的一篇文章提到了,朝鮮所面臨的“網絡发展困境”:“一旦接入國際互聯網,保持其意識形態的純潔性、統一性、感召力的難度和成本都在增加,對政權的說服能力構成挑戰。”

未來朝鮮更為可行的方式是構建一張蚊子網絡:即在享受互聯網便利的同時,尽可能地屏蔽和過濾消極影響,維持政權穩定。

更多精彩內容請关注多維新聞FaceBook專頁

編輯:荏苒

評論

【聲明】評論應與內容相关,如含有侮辱、淫穢等詞語的字句,將不予发表。