勒索病毒始作俑者?揭秘朝鲜121局

+

A

-
2017-05-16 22:33:36

据法新社和路透社等报道,赛门铁克、卡巴斯基和安全专家Matt Suiche等10位研究员均认为有证据显示,遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”。不禁令人好奇,在一个电力、互联网都没有普及的国度,朝鲜的黑客部队究竟怎样。本文选自微信公众号“虎嗅”,原题为《朝鲜黑客崛起背后:121局、红星系统和蚊子网络》,作者波波夫。


勒索病毒(Wanna Cry)肆虐世界(图源:VCG)

朝鲜这几天着实傲娇了一把。

就在全球多个陷入“蓝瘦香菇”勒索病毒(Wanna Cry)恐慌之时,只有朝鲜安然无恙。在国际空间站工作的宇航员对此决不感到惊讶,他们每隔一个半小时就绕地球一圈,而整个半岛北部的夜空通常是漆黑一片。

作为发达国家社会富贵病的一种,电脑病毒对于北韩,几乎就是甜蜜的烦恼。想想一个电力、互联网都没有普及的国度……。不过,剧情很快出现反转

勒索病毒并非高精尖、“想哭”只到账7万美元

赛门铁克(Symantec)和卡巴斯基实验室(Kaspersky Lab)5月15日称,一个名为Lazarus的组织曾用过勒索病毒早期版本的部分编码。多家公司的研究员证实该组织为朝鲜运营。卡巴斯基上月发表报告称,Lazarus近年向台湾、印度、印尼等18个地区和国家的金融机构发动攻击,企图窃取巨款。

考虑到近期国际组织加大对朝鲜的制裁力度,勒索病毒很有可能成为朝鲜新的敛财手段。美国中央情报局称朝鲜为“世界上最不开放的经济体”,据估算,2015年朝鲜经济总量折合人民币约为2,059亿元。数据显示,截止到2014年,朝鲜拖欠国际贸易债务就超过628亿美元,主要债权国为美、国、德、法、日。

不过,从目前的情况看,KPI完成的情况并不理想。美国总统特朗普的国土安全顾问博塞特不久前称,此次勒索病毒共涉及150个国家约30万台电脑受感染,但用户为了给电脑解锁而支付给黑客的赎金少于7万美元。

在计算机病毒王国里,勒索病毒大概可以归为温和的食草类,与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的电脑锁起来,而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密档案。

勒索病毒最初兴起于俄罗斯,后来扩散至全球。历史上比较知名的勒索软件有Reveton、Crypto Locker、Crypto Locker.F、Crypto Wall等。此前一贯以安全着称的苹果电脑也难逃此劫。第一个在OSX操作系统上运作的勒索软件Ke Ranger出现在2016年,该病毒将.DMG可执行文件伪装成RTF文件,并有三天的潜伏期。

勒索病毒常假借执法机关的名义,恐吓受害者的电脑被发现进行非法行动,如色情、盗版媒体,或是非法的操作系统等。获得赎金是这类病毒的最终目标,为了逃避执法追究,通常要求受害者以比特币支付赎金。仅WinLock在2010年就曾非法获取赎金1,500多万美元。

121局和神秘的朝鲜黑客部队

朝鲜据信在1980年代就建立起一支黑客部队。

韩国国防部的报告称,该支黑客部队自1986年起,在金日成军事大学接受五年的大学电脑课程,然后部署在国防部总参谋部的指挥自动化局和侦察局,专责电脑大战,入侵韩国、美国和日本的电脑系统,目的是搜集情报或发动电脑攻击。

受制于北韩自身的互联网基础设施的羸弱,黑客部队在海外设置有多个秘密据点。朝鲜人民军121局被认为是负责黑客攻击的单位,该局成立于1990年代末期,编制大约1,800人,隶属于军方精锐情报机构侦察总局,2005年开始在大规运作。

纽约时报报道认为,朝鲜黑客网络庞大,共有1,700名黑客,另有逾5,000名受训人员、主管和其他支援人手。为了避免外界怀疑,朝鲜黑客通常会在中国内地、东南亚及欧洲运作,并受到主管密切监控。

朝鲜黑客部队有两大目标,一是获取资金,二是获取情报。

电脑安全软件生产商赛门铁克认为,今年来多起黑客攻击皆指向北韩黑客所为——包括2014年索尼电影公司遭到网络攻击,2016年波兰银行遭恶意软体攻击,以及同年的孟加拉央行遭窃取8,100万美元。

金融机构是朝鲜黑客的重点攻击目标。俄罗斯知名网络安全公司卡巴斯基指出,涉及多次攻击的Lazarus组织,设于欧洲的伺服器被发现接连至朝鲜1个IP位址。卡巴斯基研究人员认为,朝鲜黑客行动已袭击台湾、哥斯达黎加、埃塞俄比亚、加蓬、印度、印尼、伊拉克、肯尼亚、马来西亚、尼日利亚、波兰、泰国及乌拉圭等国家及地区的金融机构。

美国联邦调查局局长James Comey称,“我们可以看到他们使用的IP地址,这些IP地址都是朝鲜的,他们犯了一个错误。这是一个很明显的证据,证明了谁发起的网络攻击,虽然我们没有看到发起攻击的人,但是我们可以知道从哪里开始发起网络攻击的。”

北韩黑客还曾成功入侵过韩国军方网络。韩国军方在今年5月初承认,2016年9月,朝鲜黑客突破南韩军电脑网络枢纽国防综合数据中心后,将资料偷走,其中包括应对朝鲜半岛爆发全面战争的《作战计划5027》等机密文件,而韩国军方直到20天后才发现资料被窃。

此外,韩国警方在2016年4月对外披露,朝鲜已透过植入恶意代码,入侵了160家韩国政府和SK和韩进(Hanjin)集团的逾14万部电脑。据统计,朝鲜对韩国的网络攻击每天每天高达1.5万余次。

朝鲜的黑客攻击,也令比特币的安全问题雪上加霜。Yonhap News估计在2013年到2015年之间黑客在Bitcoin中盗窃了88,100美元。韩国网络安全公司HauriIn称:“自2012年以来,朝鲜已经跳上了Bitcoin敲诈勒索的舞台。”

红星操作系统、光明网和1,024个IP地址

与朝鲜黑客部队咄咄逼人相比,民间互联网显得十分原始。

直到2012年,BBC记者发现,整个平壤只有一家网吧。在那里,打开电脑不是熟悉的windows开机画面和声音,而是北韩自研的一套名为红星的操作系统,属于Linux的北韩深度定制版。旧版红星操作系统与Windows几乎相同,新版的界面则酷似苹果OSX,所使用的浏览器为Naenara(基于火狐浏览器改版)。

朝鲜在2000年前后搭建了供本国民众使用的局域网——光明网,朝鲜国内用户只需到各电话分局办理入网申请手续,即可通过电话线上网,浏览朝鲜的门户网站,同时也有英文版。这些网站主要提供官方的新闻服务,比如朝鲜之声,和国家机关报刊《劳动新闻》,这里也有朝鲜版Facebook,不过,只能在上面发布生日信息和一些祝福信息。

BBC的报道称,“朝鲜的官方网站都有一个怪癖,每一页都需要包含一个特殊程序。这个程序的效果也许过于直接了当但是非常重要,那就是网页上所有金正恩名字的字体都会自动显示出比其他文字大一些。尽管差别并不是很大,但是足够突出。”

CNN在2014年报道称,朝鲜全国只有1,024个已知IP地址,且并非每个IP地址只针对一台电脑。据估算,2014年,朝鲜全国的互联网流量仅相当于美国1,000户高速网络家庭的流量。

外国人在北韩可以接入真正的互联网。《环球时报》曾报道该记者在平壤使用朝鲜的有线互联网(朝鲜目前严禁使用Wifi),每月包月费为545美元左右,收费单位为朝鲜星合营会社,网速理论上是2M。

美联社报道称,一家埃及公司在2008年前后帮助朝鲜搭建了3G网络,目前已覆盖大部分主要城市。2013年,朝鲜开始允许外国人通过3G网络接入互联网,手机上网包月费用为14美元左右,每月免费提供50M流量,收费单位为朝鲜Koryolink会社,超出部分按照每兆1元人民币左右标准收费。

《现代国际关系》杂志在2014年刊登的一篇文章提到了,朝鲜所面临的“网络发展困境”:“一旦接入国际互联网,保持其意识形态的纯洁性、统一性、感召力的难度和成本都在增加,对政权的说服能力构成挑战。”

未来朝鲜更为可行的方式是构建一张蚊子网络:即在享受互联网便利的同时,尽可能地屏蔽和过滤消极影响,维持政权稳定。

更多精彩内容请关注多维新闻FaceBook专页

编辑:荏苒

评论

【声明】评论应与内容相关,如含有侮辱、淫秽等词语的字句,将不予发表。