俄罗斯网安挖出朝鲜黑客

赛门铁克、卡巴斯基和网安大V马特·苏彻（Matt Suiche）均认为：有证据显示，殃及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”。

上个周末，中国适逢盛会，朝鲜试验最先进的弹道导弹火星-12，另一个重大事件就是：勒索病毒Wannacy席卷全球150多个国家，中国2.8万家校园网、政府专网、银行机构网络等被攻陷，苏浙粤为重灾区。

网安给出了应对方案：拔网线，及时安装补丁修复漏洞，将文件备份后再联网。

勒索病毒Wannacy可远程攻击Windows系统中用于文件共享服务的“445端口”，进而攻击主机并加密主机上存储的文件，并要求计算机用户以要用户支付价值300-600美元的比特币的形式支付赎金。

世界各地的政府和安全专家都开始调查谁是勒索软件大规模爆发背后的推手。一个线索暴露了黑客的行踪：幕后推手或来自朝鲜。

线索在于代码。谷歌安全研究员梅赫塔发布了一条神秘的推文，提到了两款恶意软件的样本：一个是WannaCry勒索病毒，另一个样本，是一个名为“拉撒路组”（Lazarus Group）的黑客团伙的创作。后者与2014年对索尼的灾难性攻击相关联，并且还攻击了SWIFT 银行系统导致孟加拉国的一家银行遭受网络盗窃，盗窃金额达到了创纪录的8100万美元。

根据许多安全公司以前的分析，“拉撒路组”属于朝鲜。

卡巴斯基实验室随即检测了代码，安全软件开发商Proofpoint安全研究员达里恩·哈斯和安全公司Comae Technologies的创始人、安全专家马特·苏彻也进行了代码监测。

卡巴斯基是世界顶尖的网络安全公司，为全世界提供反击恶意软件的安全保护。美国执法部门一直怀疑该公司和俄罗斯政府有联系，但是卡巴斯基对此坚决否认。

在勒索病毒高发期间，卡巴斯基、苏彻、哈斯等一直在积极调查、对抗WannaCry，并不约而同发现了勒索软件与朝鲜之间可能的关联。

什么代码被复制了？

梅赫塔和研究人员在这款勒索软件中发现，一大块WannaCry的代码100％与Contopee的代码相同，而Contopee是“拉撒路组”使用的恶意软件。

WannaCry从2017年2月出现，而Contopee是从2015年2月开始。在两个恶意软件样本中，黑客都使用了明显相同的代码，用于随机代码生成；勒索软件会生成0到75之间的随机数，并将其用于数据编码，对恶意软件的操作进行混淆，以躲过安全工具的检测。

卡巴斯基实验室基于复制的代码表示，这是“目前为止，WannaCry起源最重要的线索”。 

苏彻对此表示同意：“关于拉撒路组的叙述，是对的，这个组织以攻击如银行这类金融机构而臭名远播，他们以勒索软件的方式，借助口令货币窃取资金的事实，将被视为同样的勒索手法。”

让这条线索特别引人注意的是，代码似乎是独一无二的，只与“拉撒路组”有联系，与其他任何方面，都没有关系。

在可以访问的大型病毒库中，将代码与恶意软件进行比较，却几乎没有匹配的已知恶意软件。使用WannaCry的黑客，很有可能只是从“拉撒路组”所使用的工具中借用了非常有限的一部分，没有其他恶意软件的代码，这使得两者相关联的可能性更大。

近几年跟踪“拉撒路组”的安全巨头赛门铁克的研究人员发现，WannaCry的早期版本在4月份和5月初并未广泛流传，但是在人们得知勒索软件使用了拉撒路集团的工具后不久，勒索软件的早期版本就在系统中发现了。

“但是，我们还不能确认，是否是“拉撒路组”的工具在这些系统上部署了WannaCry。”该公司有所保留地说道，WannaCry还使用了“拉撒路组的工具一直以来特有的”Web加密形式。

赛门铁克技术总监塔库尔表示，自星期五以来，他的团队一直在调查勒索软件与主要网络组织可能的联系。

从对索尼的攻击和在韩国的破坏性入侵，勒索软件的归属指向了“拉撒路组”，该组织的确有可能参与了这款勒索软件的大规模爆发，进而引起了在英国医院出现病人生命堪忧的情况。

目前，最能明确的指向就是朝鲜“拉撒路组”。但盖棺定论，现在还为时尚早。可能有2000个恶意软件样本在一些地下论坛上被秘密分享，而犯罪分子则正在共享工具。

攻击全世界银行，盗取美元比特币

相对于其他黑客，来自“拉撒路组”的黑客更在意经济利益。该组织被认为窃取了孟加拉国一家银行的8100万美元资金。

上个月，赛门铁克发布消息称，朝鲜黑客正在对全球31个银行进行疯狂的“网络攻击”，盗窃了至少9400万美元（约合人民币超6亿元）！

卡巴斯基的最新网络安全报告来看，朝鲜现在和18个国家的银行袭击案有关。两个国际安全专家称，偷来的钱被用于朝鲜的核弹计划。

卡巴斯基的研究人员认为，“拉撒路组”袭击了哥斯达黎加、埃塞俄比亚、加蓬、印度、印度尼西亚、伊拉克、肯尼亚、马来西亚、尼日利亚、波兰、台湾、乌拉圭、泰国的金融机构。

为了隐藏位置，“拉撒路组”黑客使用了远离朝鲜的服务器发动攻击。黑客通过法国，韩国和台湾精心设置信号来布置这个攻击服务器， 但是卡巴斯基发现了黑客犯的一个错误：其中的一个连接设备明显来自来自朝鲜。

2017年4月，研究者在卡巴斯基的安全分析峰会上发布了这项调查结果。

朝鲜的目标一直在变。2013年，韩国的银行和广播机构被攻击，韩国认为是朝鲜动的手脚。2014年，美国政府谴责朝鲜袭击了索尼影视，这两个案例的线索都直指“拉撒路组”行动。

卡巴斯基、赛门铁克、FireEye 等公司的检测显示，2015年开始，“拉撒路组”的黑客把目光投向了全球财政系统。最早的受害者是越南商业银行，随后是非洲加蓬和尼日利亚的金融机构。

赛门铁克称，尽管其中几次袭击并没有成功盗取资金，但黑客的攻击更加变本加厉，方式更为复杂且高频。

最近一个例子是黑客在波兰金融监管机构的网站设置的陷阱，黑客将恶意代码嵌入该机构的网站，他们将感染限制在来自特定IP地址的访客，如银行的员工。

赛门铁克的研究人员表示，代码还显示，“拉撒路组”的黑客创建了一份名单，内含150个攻击的网络地址，2017年初，赛门铁克发布了一个关于警惕朝鲜黑客袭击的警告。

通过由网络安全公司保存的互联网记录来运行这些地址，结果发现这些IP地址属于世界银行、巴西、智利、爱沙尼亚、墨西哥和委内瑞拉的中央银行，以及其他知名全球银行。

卡巴斯基表示，该公司的防护软件已经阻挡了来自“拉撒路组”的一连串感染，现在尚不知道到底哪些银行网站被感染。

几家网络公司的研究者还认为，朝鲜正在尝试针对感染银行构建一个网络，转移盗取的资金。例如，2016年数百万美元从孟加拉国的账户转移到了斯里兰卡和菲律宾的赌场。

据FireEye的研究人员透露，朝鲜方面试图通过东南亚的一家被感染的银行汇出一些钱。 但是，FireEye的一个紧急小组及时阻止了它。

洛杉矶的美国检察官现在正在调查针对孟加拉国银行的入侵行为，这笔钱可能会帮助发展朝鲜的核计划。2016年2月，朝鲜黑客入侵孟加拉国央行开设在纽约联邦储备银行的账户，盗走了1.01亿美元。 

比特币是价值最高的加密货币，比特币的去中心化特性使其成为任何地区人们的理想资产选项。然而正是这个特性让朝鲜黑客在2013到2015年之间肆意盗取邻国的数字货币……

朝鲜第一次从韩国盗取比特币是在2013年，当时朝鲜和韩国的关系一度达到了极度紧张的状态，所以朝鲜攻击者就从韩国窃取了价值4000万韩元的比特币……

此后，在2013年到2015年期间，朝鲜黑客每月至少窃取价值1亿韩元的比特币，价值约为约为88000美元！

朝鲜目前总共约有100万台电脑，这些电脑主要供政府机关和教育机构使用。朝鲜民众要想使用电脑，必须先登记注册。另外，朝鲜已知的网络IP地址只有1024个，仅军队、大学、图书馆等核心机构才能连接。 

朝鲜网民约为7200个，占整个国家人口的0.03%，能上网绝对是炫富一族。

这在客观上也构成朝鲜黑客部队的“战略优势”：他们可以肆意展开对外攻击，但其他国家却很难对他们进行反击……

根据脱北者的陈述，朝鲜目前从事网络战的黑客部队约有3000人，约占朝鲜网民的一半，约1800名黑客分布在世界各个地方，并被认为是精锐力量。

2016年4月，韩国宣布：朝鲜侦察总局一名大校投奔韩国，该职务级别相当于人民军普通部队的二星中将。

这名大校有一项神秘的任务：负责针对韩国和美国的网络战，属于朝鲜对外网络战的最强大脑。

和大陆帝吧喊破嗓子出征、表情包乱飞不同，朝鲜侦察总局领导下的黑客更喜欢甩开膀子闷头做事：黑索尼、干扰韩国GPS制造天安舰事件、侵入韩国仁川机场，发动水军水淹韩国网站。

2015年5月29日，一名朝鲜叛逃者警告称朝鲜黑客有能力发起攻击致人死命、摧毁城市。

这位叛逃者名为金恒光，曾在朝鲜咸兴计算机科技大学教授计算机科学20年，于2004年逃至韩国。

金恒光称，虽然他本人没有教授致命技术，但他的许多学生后来组成了朝鲜著名的黑客单位121局。

121局隶属于朝鲜间谍机构侦察总局，是专门搞网络战的部门，在数次朝鲜针对外国机构的网络攻击中，起核心作用的就是121局。

金恒光说：朝鲜一直骚扰其他国家的是为了显示朝鲜有能力发起网络战争，他们发起的网络攻击能达到军事攻击的效果，杀人和摧毁城市。

韩国专家警告说：朝鲜可能同时向核电站、军事设施、交通机构和通信基础设施发起“网络攻击”。

2016年6月，朝鲜黑客曾对韩国部分企业、机构、政府部门发动网络袭击，盗取4.2608万份文件，内容涉及韩军通信网、美军F-15战斗机机翼设计图、中高空无人侦察机零部件照片、各种研发文件等。

2017年4月披露：朝鲜黑客2016年9月23日侵入韩国国防部内部网，12月5日，韩国才察觉这一情况。朝鲜半岛发生全面战争时韩美联合对朝军事作战计划5027等重要文件外泄。

生活在被孤立国度的朝鲜黑客，其价值观更为扭曲，他们甚至在边境韩国首都圈进行民用GPS（全球定位系统）干扰试验，从2016年3月31日起攻击长达一个月。攻击民用GPS通常被认为违反国际法。

朝鲜每年将军费的10%至20%用于网络部队。朝鲜全国的电脑人才被集中在平壤金星一、二高进行黑客基础教育，之后送到金日成军事大学、朝鲜自动化大学、金策工业大学学习，培养1名网络专业人才前后需要10多年。

121局的绝大多数黑客都来自自动化大学，其入学筛选过程十分严格，每个班只接收100名学生，而申请者有5000人之多。

之所以那么多人趋之若鹜，原因之一就是，这些黑客的生活条件会比普通朝鲜人好很多，“成为朝鲜最上层那1%的人”。

这些黑客能出国还能挣到美元，薪水都很高，且可以免费入住平壤市中心超过185平米的公寓，还能把家人也迁到平壤，这可是许多人梦寐以求的待遇。

这些黑客正式加入121局之前，要接受近9年的严格训练，最小的从17岁开始就接受训练。他们会根据攻击国家的不同（比如美国、韩国、日本等）被分配到不同的小组。一旦分派的小组确定，他们就会被派往相应的国家呆上至少近两年的时间，学习当地的语言和文化。

在学校的时候，他们每天上6节课，每节课90分钟，学习各种编程语言和操作系统。他们花大量的时间分析微软的Windows操作系统等程序，研究如何攻破美国、韩国等敌对国家的电脑信息系统。

此外，朝鲜侦查总局成立了由200多人组成的网络水军队伍，专门在网上发帖，针对韩国进行心理战、有目的地传播谣言。

朝鲜200多名网络水军利用在韩国国内非法取得的个人信息，成为韩国国内的著名网站、社区等的会员，有组织地进行回帖。比如，一个韩国国内保守右派倾向的网站上，一天之内出现了1000多个亲北倾向的回帖。

2015年，中美军事力量在南海高强度对峙，中国境内互联网上突然传出“中美发生激烈海战”的谣言，美国的跟踪调查显示：谣言始作俑者可能来自朝鲜。

感谢天涯文摘读者群 “薛玉成” 推荐本文。欢迎粉丝入群讨论，回复：【512】入群。

| 天 | 涯 | 文 | 摘 |

微信号：tianyawenzhai

最有深度、最具影响力的华语新媒体资讯平台

活动A费: 2980/人（成都起止）

小 孩 儿: 2180/人（1.2m以下）

两人同行送折叠包一个；四人同行立减400元

费用包含：住宿（7晚当地精品标间）；用餐（含7天早餐6正餐，不含餐时建议大家AA）；门票（亚丁150元/人，丹巴甲居藏寨50元/人;四姑娘山长坪沟70元）；领队（专业户外领队服务）；交通（活动全程车费路费司机补助）；保险（60万旅行意外险，含10万高原病险）如有相关正规减免证件请提前出示。

费用不含：四姑娘长坪沟观光车20元/人、亚丁观光车120元/人、冲古寺服务区至洛绒牛场电瓶车往返80元/人（可选坐）和部分正餐。（个人再带600元左右即可）

儿童费用说明：1.2米以下儿童（不占床位、不含门票）含餐和交通费。

扫二维码添加领队了解详情

领队（峰子）：18838810098/18338809670

报名所需资料：网名+姓名+身份证（正面拍照）+电话