本文作者：謝幺 ，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者。

最致命的可能是張牙舞爪的猛獸，也可能是腳邊悄然無聲的蛇蝎。

前不久朝鮮大核搞核試驗的消息鬧得沸沸揚揚，卻沒有太多人關(guān)注另一則新聞：

2017年4月底韓國媒體稱，網(wǎng)絡(luò)安全公司賽門鐵克發(fā)布了一個報告，估測朝鮮網(wǎng)絡(luò)攻擊集團對世界多國銀行發(fā)動了攻擊，竊取資金超過一千億韓元（折合人民幣6.13億元）。

除此之外，已有證據(jù)表明，朝鮮網(wǎng)絡(luò)攻擊的目標包括孟加拉國、越南、厄瓜多爾、波蘭等國銀行，目前已經(jīng)從這些國家的銀行盜竊了至少 9400 萬美元。

核武器研發(fā)靠“燒錢”來提高震懾力，網(wǎng)絡(luò)武器卻能肆無忌憚地從其他國家搶錢。這也難怪有媒體報道，金正恩曾說過這樣一句話：“網(wǎng)絡(luò)戰(zhàn)能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍”。

這讓人不免聯(lián)想到上個月在監(jiān)獄病逝的，80年代香港三大賊王之一的葉繼歡。他生前曾多次手持 AK47 沖鋒槍對射警方，搞了一大堆軍火，搶了整條街的金店，最后搶到的總值也就 1000 萬港元。而 2016 年底發(fā)生的孟加拉國央行盜竊案，黑客或許只用了一臺電腦一根網(wǎng)線就偷走了 8100 萬美元，創(chuàng)造了有史以來最大的銀行搶劫案。該案件目前已被多個安全組織認定為朝鮮黑客所為。

▲香港一代“賊王”葉繼歡，圖片來自網(wǎng)絡(luò)

據(jù)雷鋒網(wǎng)了解，孟加拉銀行盜竊案中，黑客因為轉(zhuǎn)賬時把轉(zhuǎn)賬機構(gòu)的名字中的“foundation”被寫成了“fandation” 而被發(fā)現(xiàn)，否則他們將盜走10億美元。10億美元什么概念？葉繼歡拿著 AK-47 當煙花放，天天橫掃金店也得連著搶兩年，還得全年無休。

關(guān)于朝鮮黑客部隊的說法其實由來已久，說法不一。今天雷鋒網(wǎng)宅客頻道就和大家一起扒一扒朝鮮黑客的故事。

神秘的 121 局

朝鮮組建網(wǎng)絡(luò)戰(zhàn)斗部隊，第一個對付目標多半是誰？韓國無疑，事實也是如此。

早在十多年前，韓國媒體就開始持續(xù)地公開指責來自朝鮮的網(wǎng)絡(luò)攻擊。2010 年之后攻擊事件越來越多，僅在 2013 年一年內(nèi)就發(fā)生了多起大型黑客攻擊事件，比如： 

2013年3月，韓國爆發(fā)歷史上最大規(guī)模的黑客攻擊，韓國主要銀行、媒體、以及個人計算機均受到影響。大量企業(yè)，包括國內(nèi)主流的銀行、電視臺計算機都被破壞及癱瘓，導致無法提供服務(wù)，大量資料被竊取。

 

2013年6月，韓國青瓦臺總統(tǒng)府在內(nèi)的16家網(wǎng)站遭攻擊，并陷入癱瘓。一些被黑網(wǎng)站首頁出現(xiàn)“偉大的金正恩領(lǐng)袖”等紅色詞句。

 

2013年7月，韓國總統(tǒng)府、國防部、外交通商部等政府部門和主要銀行、媒體網(wǎng)站等再次遭到分布式拒絕服務(wù)(DDoS)攻擊，癱瘓時間長達4小時。

雖然韓國方面堅定不移地認定是朝鮮政府干的，卻拿不出確鑿的技術(shù)性證據(jù)。最關(guān)鍵的是，就算證據(jù)確鑿了，又能怎么辦呢？

▲配字：“就喜歡你看不慣我，又干不掉我的樣子”

從那之后，這個從外部看來與世隔絕的國家，朝鮮的黑客實力開始得到真正意義上的廣泛關(guān)注。人們越來越好奇，這樣一個國家的網(wǎng)絡(luò)作戰(zhàn)水平到底怎樣，他們又是怎么培養(yǎng)出一流水準黑客的呢？

▲朝鮮官兵在使用電腦，圖片來自網(wǎng)絡(luò)

一位匿名韓國政府官員曾向美國媒體 CNN 透露，朝鮮有一個網(wǎng)絡(luò)作戰(zhàn)部門，隸屬于朝鮮軍方旗下的間諜機構(gòu)偵察總局。韓國政府認為，在數(shù)次朝鮮針對外國機構(gòu)的網(wǎng)絡(luò)攻擊中，起核心作用的就是121局。

2014年，一個曾擔任過朝鮮政府電腦專家的叛逃者張世烈（ Jang Se-yul） 向媒體透露，朝鮮有一個人數(shù)眾多的部隊，專門從事針對其他國家的網(wǎng)絡(luò)戰(zhàn)，而且水平超出了外界的想象。在他的口中，神秘的“121局”逐漸浮出水面。

張世烈說，121局大約由1800名網(wǎng)絡(luò)戰(zhàn)士組成，大部分黑客都來自平壤自動化大學。

這個學校是什么來歷呢？據(jù)韓國國防部資料顯示，朝鮮軍方從 20 世紀 80 年代開始就十分重視電腦和網(wǎng)絡(luò)人才的培養(yǎng)。在1981年建立了朝鮮第一所專職培養(yǎng)黑客和電子戰(zhàn)部隊的秘密軍事學院 : 美林學校，后來更其名為平壤自動化大學。

 

▲ 朝鮮黑客 ，圖片來自網(wǎng)絡(luò)

名曰“自動化”，但其實朝鮮人民軍內(nèi)部稱其為電子戰(zhàn)學校。（宅客：這種稱呼風格有點像中國的二炮部隊，小時候我真以為只是普通的炮兵部隊，后來才知道是現(xiàn)代化火箭軍。）

自動化大學的入學篩選非常嚴格，一個班只收 100 名學生，申請者卻有 5000 人之多。人們趨之若鶩的主要原因是朝鮮黑客的生活條件比普通朝鮮人好太多，既有專門提供的繁華區(qū)域住房，又能將家人接來同住，還有機會出國去掙美元。

通常，朝鮮黑客會從娃娃抓起，青少年時期就被選拔出來進行專業(yè)的黑客訓練。在正式加入 121局之前，要接受接近 9年的嚴格訓練。訓練后還會根據(jù)攻擊國家的不同，被分配到不同的小組，派往相應(yīng)的國家呆上兩年以上，適應(yīng)當?shù)氐恼Z言和文化。

在學校的時候，他們每天上六節(jié)課，每節(jié)課90分鐘，學習各種編程語言和操作系統(tǒng)，除了花費大量的時間分析微軟的 Windows 操作系統(tǒng)等程序，還要研究如何攻破美國、韓國等敵對國家的電腦信息系統(tǒng)。他們還有一個核心任務(wù)，開發(fā)屬于自己的黑客程序和電腦病毒。在網(wǎng)絡(luò)作戰(zhàn)方面，他們在自主研發(fā)的道路上摸索。

張世烈說，朝鮮軍方的黑客可以隨意上網(wǎng)，完全不受限制，他們很了解外面世界發(fā)生的一切，也知道朝鮮是多么的封閉和落后，但是絕大部分依然不愿意離開朝鮮，不愿意背棄自己的國家，哪怕韓國為他們提供工作。

▲朝鮮士兵用韓國防部長當靶子練習射擊，圖片來自網(wǎng)絡(luò)

張世烈認為，朝鮮黑客的技術(shù)水平不遜于谷歌或者美國中情局的頂級程序員，甚至可能會更好。畢竟 “朝鮮為它準備了 20年?！?/strong>

一個貧窮、資源匱乏的國家如何下這么大的力氣去搞網(wǎng)絡(luò)戰(zhàn)？原因很簡單：便宜。

對于朝鮮來說，培養(yǎng)一名網(wǎng)絡(luò)間諜的收益和培養(yǎng)一名傳統(tǒng)士兵的收益完全無法比擬。張世烈說， 朝鮮也許意識到自己在傳統(tǒng)戰(zhàn)爭領(lǐng)域幾乎沒有打贏的機會，但在數(shù)字世界依靠少量資源就可以攪亂大局。

▲金元帥利用現(xiàn)代化設(shè)備視察工作

2015年，另一位曾給121局的成員上過電腦課的脫北者金恒光（Kim Heung-Kwang）教授透露，雖然他教的是基礎(chǔ)電腦操作而不是黑客技術(shù)，但他發(fā)現(xiàn)，學生們很喜歡黑客人物，對于能成為“金正恩的網(wǎng)絡(luò)戰(zhàn)士”他們感到很自豪。

金教授稱，121 局希望仿造 Stuxnet 蠕蟲病毒，也就是名震江湖的震網(wǎng)病毒。美國和以色列黑客就曾經(jīng)成功用它來破壞伊朗的發(fā)電站離心機，造成核電站推遲發(fā)電。

黑客沖冠一怒為金正恩？

在 2014 年之前，朝鮮黑客活動消息多來自于韓國媒體，直到金元帥怒了。

2014 年，索尼影業(yè)出了一部黑金正恩的電影《The interview》（又名：刺殺金正恩），故事講的是一個記者借著采訪機會去刺殺金正恩的故事。情節(jié)不再贅述，我們單來看看他把金正恩黑成什么樣？隨便舉幾個例子：

1. 他生活在父親的陰影之下，時常覺得自己像個廢棄物。

2.金正恩最愛看美劇《生活大爆炸》，美國流行女歌手 Katy Perry 的歌把他唱哭了。

3.影片里的金正恩有點 Gay 里 Gay 氣的，請通過畫面自行體會。

此外，片中的金正恩還把屎拉在褲子里導致采訪中止。最后，金正恩乘坐的直升機爆炸了……他死了。

就這樣的情節(jié)，換在其他國家都指不定會發(fā)生什么，更何況朝鮮。該片在公布預告片時，就有朝鮮官方媒體發(fā)出警告，稱好萊塢上映有關(guān)刺殺朝鮮領(lǐng)導人的喜劇電影屬于”戰(zhàn)爭行為"，如果美國政府默認或支持電影上映，我們將采取果斷而無情的對策”。

此后，朝鮮當局又多次嚴厲斥責該電影“令人作嘔”，甚至連美國國內(nèi)也有不少人覺得這電影“不負責任”，會加劇地區(qū)局勢緊張。這種情況下，索尼公司不依不撓，依然緊鑼密鼓準備公映該片。于是他們印證了“什么叫不作死就不會死”。

12月，索尼影業(yè)的網(wǎng)絡(luò)遭遇自稱“和平護衛(wèi)隊”的黑客團體的攻擊，大量信息被泄露，從員工安全信息到內(nèi)部高管的郵件，以及大量新片的種子外泄、電影劇本，甚至索尼高管薪酬的詳細構(gòu)成全部流出。

當月16日，黑客發(fā)出了最后通牒，警告所有前去看片的觀眾“別忘了911事件”，威脅要在放映地點發(fā)動襲擊，嚇得美國多家院線紛紛決定撤銷放映該電影。 17日，索尼影業(yè)也不得不發(fā)表聲明，決定取消該電影在全球的一切發(fā)行計劃。

襲擊事件發(fā)生數(shù)月后，影響依然在發(fā)酵，電腦故障頻發(fā)，電郵持續(xù)被凍結(jié)等等。最終，因為黑客攻擊導致大量商業(yè)機密泄露以及其他不良影響，索尼影業(yè)董事長艾米·帕斯卡引咎辭職。那次黑客襲擊也成為了史上最嚴重的十次黑客襲擊之一。

因為一部電影，索尼影業(yè)大概哭瞎了。 

然而，朝鮮官方并不承認這次攻擊，也沒有直接的技術(shù)性證據(jù)表明就是他們干的。越是這樣，就越讓人琢磨不透，令人惴惴不安。一些安全公司和研究者開始專門就這些大型黑客攻擊事件展開研究。

抓住小辮子

2016年 ，孟加拉國、厄瓜多爾、菲律賓以及越南的央行陸續(xù)遭遇黑客攻擊，2月份，孟加拉國央行被盜走 8100 萬美元，多家網(wǎng)絡(luò)安全公司介入調(diào)查，發(fā)現(xiàn)大量銀行攻擊來自同一個神秘的幕后組織——拉撒路（Lazarus），因為這一團伙在攻擊銀行時所使用的計算機代碼類似，攻擊手法相同。最重要的是，其中一段用于消除攻擊證據(jù)的底層代碼和 2014 年黑客攻擊索尼影業(yè)時使用的代碼完全相同。

2016年12月韓國國防部對外表示，韓國軍方內(nèi)部網(wǎng)絡(luò)遭受黑客攻擊，導致內(nèi)含軍事機密的資料外泄，并明確表示“懷疑此次黑客攻擊是朝鮮所為”，因為此次攻擊代碼與朝鮮黑客常用代碼類似，因此朝鮮所為的可能性極高。

據(jù) CNN 報道，卡巴斯基（Kaspersky）、賽門鐵克（Symantec ）、火眼（Fireeye)  三家安全公司發(fā)布的報告，都把 Lazarus 黑客組織的來源指向了朝鮮。

這些安全機構(gòu)判定的主要依據(jù)有：

• 重復代碼：一般來說黑客會重復利用他們開發(fā)出來的代碼，在這方面，大量攻擊案件具有高度一致性。

• 密碼相同：多次攻擊事件都有一個用于保存病毒生成器的加密壓縮包，密碼是相同的。

• 韓語元素：Lazarus 的惡意軟件樣本中，有2/3的網(wǎng)絡(luò)犯罪可執(zhí)行文件包含了典型韓語元素。

• 活動時間：針對 Lazarus 團伙的活動時間調(diào)查表明，該團伙的多數(shù)人生活在東八區(qū)或東九區(qū)，也就是中國和朝鮮之間。

▲卡巴斯基對 Lazarus 組織的活動時間進行了分析

2017年初，卡巴斯基實驗室又拿出了新的證據(jù)，認定去年 Lazarus  犯罪團伙，就是朝鮮黑客。

根據(jù)卡巴斯基實驗室公布的報告書，Lazarus 團伙在一次攻擊行動中犯了一個錯誤：一臺歐洲服務(wù)器出現(xiàn)了朝鮮政府專用的 IP 登錄記錄。

一般來說，黑客攻擊時都會用代理服務(wù)器來隱藏自己真實的 IP 地址，但1月18日被發(fā)現(xiàn)有短暫的幾秒鐘連接了朝鮮的 IP，這是非常罕見的記錄?？ò退够鶕?jù)此判定，如果沒有人故意入侵了朝鮮政府的電腦來嫁禍，這就意味著和朝鮮有直接關(guān)系。

雷鋒網(wǎng)也發(fā)現(xiàn)一個現(xiàn)象：

Lazarus 在早年間的主要攻擊目標是韓國和日本，攻擊手段主要為 DDOS（分布式拒絕服務(wù)）。近兩年他們卻無差別地襲擊了韓國、印度、馬來西亞、波蘭、烏拉圭、哥斯達黎加、埃塞俄比亞、加蓬、烏拉圭、臺灣等18個金融機構(gòu)、賭場、加密貨幣公司等，直接奔著錢去了。

有兩位國際安全專家在接受 CNN 采訪時懷疑，這可能是朝鮮為其核彈計劃斂財，作為一部分資金支持。

真相如何？

你以為到此就講完了嗎？ NO

稍稍注意，你會發(fā)現(xiàn)上文提到的關(guān)于朝鮮的負面信息，絕大多數(shù)來自韓國媒體，其次是美國、日本媒體。例如本文最開頭那句 “金正恩曾說：網(wǎng)絡(luò)戰(zhàn)能力是與核武器和導彈共同保障我軍打擊能力的尚方寶劍”，其實就是日本媒體報道的。

在對待朝鮮半島問題，日本一些媒體不負責任的態(tài)度已經(jīng)被大家習以為常。比如今年1月底份，日本有一家小媒體放話美軍可能在2月底突襲朝鮮， 轟炸700個軍事?lián)c。日本各大媒體紛紛轉(zhuǎn)引報道，結(jié)果最后發(fā)現(xiàn)最初的消息源竟然來自于個人博客網(wǎng)站。 

中國也曾經(jīng)歷過類似的事件。2009 年 Google 等幾十家美國公司受到黑客的攻擊后，《紐約時報》就在沒有充分證據(jù)的情況下，就稱該攻擊和中國的藍翔技校有關(guān)，之后也不了了之。 

很多年前，西方媒體就不斷對中國黑客威脅論進行鼓吹。如今又多俄羅斯和朝鮮兩大角色。

萬一是嫁禍呢？

通過技術(shù)認定朝鮮黑客的安全機構(gòu)也出過一些烏龍事件。

 2017年3月，卡巴斯基實驗室表示，過去一年中公司發(fā)現(xiàn)的 62 個加密勒索軟件家族中，47 個由俄羅斯人或說俄語的人開發(fā)。（詳見：戰(zhàn)斗民族的黑客又出來嚇人：3/4 的勒索軟件都是“說俄語的人”做的！）

結(jié)果沒過多久，另一家安全公司的研究者就發(fā)現(xiàn)，許多惡意軟件樣本中的俄文看起來狗屁不通，看起來像是有人故意用翻譯軟件將語言翻譯成俄文的，企圖嫁禍俄羅斯人。（詳見：情節(jié)反轉(zhuǎn)！黑客嫁禍俄羅斯被揭穿：連俄文都寫錯了！ ）

到了 2017年3月，維基解密曝光美國中情局的 Vult 7 網(wǎng)絡(luò)武器軍火庫，揭露了美國中情局（CIA）企圖通過一款叫“Marble” 的工具，將病毒、惡意代碼、木馬的真實源代碼進行混淆，讓取證調(diào)查人員無法溯源到CIA身上，順便嫁禍給其他國家。（詳見：美國中情局秘密文件曝光：企圖嫁禍中國、俄羅斯等別國黑客

Marble 的源代碼中有中文、俄文、朝鮮文、阿拉伯文、伊朗文字……

▲ 美國中情局泄露的黑客工具代碼

從這個角度來看，上文提到的所謂“朝鮮黑客”的證據(jù)：

重復代碼、密碼相同、韓語元素、活動時間符合東八區(qū)九區(qū)、短暫連接朝鮮IP……

誰又能保證，這些不是另一種更高明的嫁禍行為呢？

引用新華網(wǎng)記者楊駿的文字：

嫁禍“外國黑客”，個別政客和黨派可以增加政治資本，情報機構(gòu)和軍方可以獲得新的授權(quán)或預算，相關(guān)承包商可以獲得各類訂單，一些利益團體才能維持網(wǎng)絡(luò)霸權(quán)——這猶如一條完整的產(chǎn)業(yè)鏈。因此，不拉黑其他國家，如何過得滋潤呢？

真實情況如何，宅客不做猜測，這里只為讀者們提供更多信息量補充。不過話說回來，不正因為真相撲朔迷離，才顯得朝鮮黑客更加神秘？

▲刺殺金正恩劇照

----

附一則消息：就在雷鋒網(wǎng)編輯撰文時（5月2日），韓國媒體又發(fā)出報道，韓國防部表示已經(jīng)發(fā)現(xiàn)確鑿證據(jù)表明此前入侵韓軍方網(wǎng)絡(luò)的是朝鮮黑客。雷鋒網(wǎng)看了一下，證據(jù)大致還是上文提到的那些。

▲相關(guān)報道截圖，圖片來自百度搜索界面

本文作者：謝幺 ，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。